Santiago, 24 de abril de 2026 – La ciberseguridad en el Estado dejó de ser un problema exclusivamente tecnológico. Así quedó en evidencia durante la cuarta sesión de la Mesa de Ciberseguridad del Sector Público 2026, donde representantes de la Contraloría General de la República, la Agencia Nacional de Ciberseguridad y la Alianza Chilena de Ciberseguridad analizaron el impacto de los incidentes en la operación institucional y, especialmente, en la confianza pública.
En la instancia también participó la contralora general de la República, Dorothy Pérez, quien destacó la relevancia de avanzar en soluciones más allá de la inversión tecnológica. “Este evento es un llamado a la acción. La ciberseguridad no se trata solo de más recursos o tecnología, sino de encontrar soluciones incluso en contextos de estrechez fiscal”, señaló.
Desde la Contraloría se planteó que las debilidades en ciberseguridad no siempre responden a fallas tecnológicas complejas, sino a problemas estructurales en la gestión. En esa línea, se advirtió que gran parte de los hallazgos en fiscalizaciones están vinculados a prácticas básicas, como controles de acceso deficientes, ausencia de planes de continuidad y políticas desactualizadas.
En ese contexto, el jefe del Departamento de Sistemas Informáticos de la Contraloría General de la República, Jean Paul Thibaut, relevó el rol del CISO como una figura que ha ido evolucionando dentro del Estado. “Hoy día debiésemos avanzar hacia un gestor institucional, con capacidad de incidir en la toma de decisiones”, señaló, enfatizando que la ciberseguridad requiere una articulación más directa con la alta dirección.
A esto se suma el impacto concreto que los incidentes tienen en la ciudadanía. “Más allá del costo económico, hay una afectación directa a las personas, que muchas veces no se puede dimensionar”, agregó, apuntando al vínculo entre ciberseguridad y confianza institucional.
Desde la Agencia Nacional de Ciberseguridad, la directora, Michelle Bordachar profundizó en la importancia del reporte de incidentes como herramienta clave para la prevención. “Sin reporte no hay inteligencia de amenazas”, explicó, destacando que la información compartida permite identificar patrones, emitir alertas y evitar que un mismo ataque se replique en distintas instituciones.
En ese sentido, subrayó que el aumento en los reportes no necesariamente implica un incremento en los ataques, sino una mayor visibilidad del fenómeno. “Desde que el reporte es obligatorio, tenemos una mejor comprensión de lo que está ocurriendo”, señaló, agregando que esta información es fundamental para orientar acciones preventivas y fortalecer capacidades a nivel país.
La exposición también abordó el impacto económico de los incidentes, donde la recuperación puede alcanzar montos significativos, mientras que la prevención, basada en información y coordinación, permite evitar pérdidas mucho mayores. A esto se suma el factor humano como principal vector de riesgo, considerando que la mayoría de los incidentes se originan en compromisos de cuentas o malas prácticas en el uso de sistemas.
“Muchas veces usamos la misma contraseña para todo o no contamos con doble factor de autenticación, lo que facilita el ingreso de atacantes”, explicó Bordachar, reforzando la necesidad de avanzar en cultura organizacional y buenas prácticas digitales.
Sin embargo, más allá de la gestión de incidentes y el uso de datos, la discusión avanzó hacia un plano más estratégico. En este punto, el académico de la Universidad de Chile y socio de principal de Cybertrust, José Antonio Lagos, planteó que el desafío actual no radica únicamente en la tecnología, sino en la forma en que las organizaciones abordan la ciberseguridad.
En esa línea, advirtió que el rol del CISO debe evolucionar desde una función técnica hacia una posición con incidencia en la toma de decisiones, capaz de traducir los riesgos digitales en impactos concretos para la operación del Estado. “El problema no es la ciberseguridad, es la ausencia de un CISO estratégico”, afirmó.
Lagos explicó que, en un escenario donde surgen constantemente nuevas vulnerabilidades, muchas de ellas críticas, resulta inviable responder desde una lógica puramente técnica, por lo que la ciberseguridad debe entenderse como un proceso de gestión de riesgos, alineado con los objetivos institucionales.
Asimismo, destacó que uno de los principales desafíos es la comunicación entre los equipos técnicos y la alta dirección, así como el fortalecimiento de la cultura organizacional. En este contexto, subrayó que el factor humano sigue siendo una de las principales vulnerabilidades, pero también una primera línea de defensa clave frente a amenazas como el phishing.
El académico también abordó el impacto de la inteligencia artificial en el escenario actual, señalando que ha permitido sofisticar y personalizar los ataques, aumentando la complejidad de la respuesta institucional.
En este marco, enfatizó la necesidad de avanzar hacia modelos de gobernanza que integren la ciberseguridad en la toma de decisiones, priorizando la continuidad de los servicios por sobre una visión exclusivamente tecnológica. “La pregunta no es cuántos sistemas tenemos protegidos, sino si somos capaces de seguir prestando servicios críticos frente a un incidente”, sostuvo.
La sesión dejó en evidencia que el desafío de la ciberseguridad en el sector público ya no se limita a la protección de sistemas, sino que involucra la capacidad del Estado para anticipar riesgos, coordinar respuestas y resguardar la confianza de la ciudadanía en un entorno cada vez más complejo y dinámico.
La Mesa de Ciberseguridad del Sector Público es una instancia que busca fortalecer las capacidades, estrategias y la defensa digital de los órganos del Estado, promoviendo la prevención de incidentes, la gestión de riesgos y la estandarización de la seguridad en el contexto de la transformación digital. La mesa está conformada por Ricardo Andrés Arancibia Bustos, CISO de la Contraloría General de la República; Paulina Soto, del Centro de Estudios de la Administración (CEA); Daniel Caviedes, del Departamento de Sistemas Informáticos de la División de Fiscalización; Carolina Covarrubias, profesional de la Agencia Nacional de Ciberseguridad (ANCI); y Narciso Basic, de Equifax y director de la Alianza Chilena de Ciberseguridad.
