- Por Alexis Campos, CEO y fundador de Grupotech
La Ley 21.663, conocida como Ley Marco de Ciberseguridad, es un avance real. Chile se incorpora a un grupo todavía pequeño de países latinoamericanos con legislación específica en materia de seguridad digital, y eso tiene valor.
Pero llevan meses diciéndoles a las empresas que con cumplir la ley están protegidas. Y eso no es completamente cierto.
Trabajo en ciberseguridad hace más de una década. He visto organizaciones que pasan auditorías de cumplimiento con nota máxima y tienen vulnerabilidades críticas activas en su infraestructura. He visto también organizaciones que no cumplen formalmente con ningún estándar pero tienen una cultura de seguridad genuina que las hace considerablemente más resilientes que sus pares certificadas.
La ley y la seguridad real no son lo mismo. Y mientras no hablemos de eso con claridad, seguiremos construyendo sobre una base que se ve sólida pero que tiene fisuras.
Lo que la ley hace bien
La Ley 21.663 establece la Agencia Nacional de Ciberseguridad (ANCI), crea un marco de clasificación de infraestructura crítica, define obligaciones de reporte de incidentes y establece sanciones para quienes no cumplan. Eso es sustancial. Antes de esta ley, una empresa podía operar sin ningún control de ciberseguridad y nadie tenía autoridad para exigirle lo contrario.
La ley también instala el tema en el nivel directivo. Cuando existe una sanción económica asociada, la ciberseguridad deja de ser un problema técnico y se convierte en un riesgo de negocio. Ese cambio de encuadre es quizás el aporte más importante de la legislación.
Lo que la ley no cubre y dónde están los riesgos reales
El primer vacío es el alcance. La ley se enfoca en operadores de infraestructura crítica y servicios esenciales. La mayoría de las empresas medianas en Chile, que representan la columna vertebral de la economía, no están en esa categoría y pueden operar sin ninguna obligación formal. Eso no significa que no tengan riesgos. Significa que nadie las obliga a gestionarlos.
El segundo vacío es la profundidad técnica. El cumplimiento legal puede satisfacerse con documentación, con la implementación de controles básicos y con la presentación de reportes en los plazos establecidos. Nada de eso garantiza que un atacante determinado no pueda entrar. La ley define el mínimo. La seguridad real a menudo exige bastante más.
El tercer vacío es la velocidad. Las amenazas evolucionan en semanas. La regulación evoluciona en años. Una empresa que se limita a cumplir lo que la ley exige hoy puede estar perfectamente alineada con la norma y completamente desactualizada frente al panorama de amenazas actual.
La trampa del checklist
La trampa más peligrosa del cumplimiento normativo es la sensación de seguridad que genera. Una organización que completa el proceso de certificación, que pasa la auditoría y que tiene los papeles en orden tiende a creer que el trabajo está hecho.
No está hecho. El trabajo de ciberseguridad no termina. Es un ciclo continuo de identificación de nuevas vulnerabilidades, actualización de controles, capacitación del personal y simulación de escenarios de ataque. Una foto tomada hoy no describe el estado de la seguridad en seis meses.
Esto no es una crítica a la ley. Es una descripción de la naturaleza del problema. Ninguna norma puede legislar la velocidad del cambio tecnológico. Lo que pueden hacer las organizaciones es no confundir el cumplimiento con la protección.
Qué significa esto en la práctica
Significa que el cumplimiento de la Ley Marco es necesario pero no suficiente. Las empresas que entienden esto construyen sobre la base legal una estrategia de seguridad activa: pruebas de penetración regulares, monitoreo continuo, gestión de vulnerabilidades en tiempo real, cultura interna de seguridad.
Las empresas que no lo entienden pueden terminar pagando multas a la ANCI y pagando rescates a los atacantes al mismo tiempo.
Chile está en un momento de construcción de su madurez digital. La ley es el cimiento. Lo que se construya sobre ese cimiento determinará si el país avanza de verdad hacia una economía digital más segura o si simplemente formaliza el statu quo.