Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp Bluesky

La ANCI publica nuevas instrucciones que aclaran elementos de la Ley Marco de Ciberseguridad

Tres instrucciones publicadas a fines de 2025 se suman a la primera, de mediados de año, escritas para dar más claridad a disposiciones de la Ley Marco de Ciberseguridad.
Captura de pantalla 2026-01-02 123339

En la sección Instrucciones del sitio anci.gob.cl encuentran desde este lunes cuatro importantes instrucciones generales elaboradas por la Agencia Nacional de Ciberseguridad (ANCI), tres de ellas publicadas la última semana de 2025, con el objetivo de hacer más claras algunas disposiciones de la Ley N°21.663 Marco de Ciberseguridad.

Estas instrucciones son las siguientes (se describe un resumen de los principales contenidos de cada una, los que en ningún caso reemplazan la necesidad de leer cabalmente cada instrucción):

  1. Instrucción General número 1, de 2025 (publicada en junio de 2025)- Imparte instrucciones sobre inscripción de las instituciones calificadas como prestadores de servicios esenciales en la plataforma de reporte de incidentes de la Agencia Nacional de Ciberseguridad, conforme a la ley 21.663. Entre otras cosas, esta instrucción:
    • Explica que, para cumplir con la obligación de reportar, las instituciones prestadoras de servicios esenciales deben inscribirse en la plataforma portal.anci.gob.cl, y que esta inscripción debe ser hecha por una o más personas definidas por cada institución como sus encargados de reportar.
    • Al mismo tiempo, aclara que una misma persona puede ser encargada de reportar para dos o más instituciones, siempre que haga el registro en la plataforma una vez por cada institución.
    • El registro en la plataforma debe ser hecho con una casilla electrónica institucional y usando cada persona su propia ClaveÚnica (la situación de las personas sin ClaveÚnica es aclarada en la instrucción No. 2) y doble factor de autenticación.
    • Detalla que las instituciones reguladas deberán velar por que la persona designada como encargado de realizar los reportes de ciberseguridad cuente con formación o experiencia técnica o profesional en ciberseguridad.
  1. Instrucción General número 2, de 2025.- Imparte instrucciones complementarias sobre inscripción en la plataforma de reporte de incidentes de la Agencia Nacional de Ciberseguridad. Entre otras cosas, esta instrucción:
    • Autoriza de manera excepcional la inscripción en el Portal ANCI de encargados que no puedan acceder a ClaveÚnica.
  1. Instrucción General número 3, de 2025.- Imparte instrucciones sobre la designación del delegado de Ciberseguridad, conforme al literal i) del artículo 8° de la ley N° 21.663. Entre otras cosas, esta instrucción:
    • Detalla que las instituciones calificadas como operadores de importancia vital (OIV) mediante resolución de la Agencia deberán designar un delegado de ciberseguridad dentro de sesenta días corridos de la publicación en el Diario Oficial de la nómina final de calificación de OIV mediante la cual hayan sido calificadas como tales.
    • Establece que el delegado deberá:
      • Contar con formación, certificación o experiencia especializada, en el nivel técnico o profesional, en materia de ciberseguridad, gestión de riesgos tecnológicos, continuidad operacional o disciplinas afines.
      • Contar con canal de comunicación y reporte directo a la máxima autoridad institucional señalada en el literal i) del artículo 8° de la ley N° 21.663, Marco de Ciberseguridad.
      • Contar con independencia funcional suficiente para comunicar riesgos, incidentes y brechas de cumplimiento a la autoridad interna, sin interferencias de áreas operativas de la institución que pudiesen comprometer la objetividad de dichas comunicaciones.
      • Contar con la habilitación para representar a la institución ante la Agencia.
    • Define que el delegado no podrá ser la misma persona que sea encargado, jefe, director o responsable del área de tecnologías de la información (TI) y solo podrá depender jerárquicamente de esta última cuando existan mecanismos que aseguren la independencia en el ejercicio de sus funciones y que cuente con canal de comunicación y reporte directo a la autoridad o jefatura señalada en el literal i) del artículo 8° de la ley N° 21.663, Marco de Ciberseguridad.
    • También indica que cada OIV deberá asegurar que su delegado:
      • Pueda informar directamente a la autoridad superior cuando lo estime necesario, especialmente respecto de riesgos, amenazas, vulnerabilidades, incidentes de ciberseguridad o eventuales incumplimientos.
      • Pueda ejercer sus funciones con autonomía suficiente y sin subordinación técnica a las áreas operativas que implementan las medidas de ciberseguridad.
      • Cuente con las facultades, recursos y condiciones para el adecuado cumplimiento de las obligaciones contempladas en la ley, en los reglamentos y en la presente instrucción general.
    • Asimismo, se aclara que "la obligación de designar un delegado de ciberseguridad establecida en la presente instrucción general es complementaria y no sustitutiva de la obligación de designar un encargado/a de reportar incidentes prevista en la Instrucción General N° 1. Los operadores de importancia vital deberán contar con ambas designaciones, las cuales podrán recaer en una misma persona, siempre que cumpla con el perfil requerido para el delegado de ciberseguridad".
  1. Instrucción General número 4, de 2025.- Imparte instrucciones sobre las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, conforme al artículo 8 literal e) de la ley N° 21.663. Entre otras cosas, esta instrucción:
    • Define que los OIV, ante la ocurrencia de un incidente de ciberseguridad, deben adoptar de manera inmediata las medidas necesarias para:
      • Restringir total o parcialmente el acceso a los sistemas informáticos, redes, servicios o cuentas de usuario que se encuentren comprometidos o respecto de los cuales exista riesgo de compromiso.
      • Aislar los sistemas afectados del resto de la infraestructura tecnológica, cuando ello resulte necesario para evitar la propagación del incidente.
      • Suspender temporalmente funcionalidades, integraciones o accesos remotos que puedan facilitar la expansión del incidente.
      • Cambiar inmediatamente las contraseñas de todas las cuentas de usuario con permisos totales o parciales de administración de redes, sistemas e infraestructura en los sistemas afectados, o sobre los cuales existe sospecha de afectación.
      • Revisar todos los sistemas anteriormente mencionados y eliminar inmediatamente aquellas cuentas administrativas que sean genéricas o no estén asociadas a funcionarios o proveedores activos, creando previamente, si no existiese, al menos una cuenta administrativa personal.
      • Revisar que no existan accesos remotos o administrativos expuestos públicamente a Internet. En caso de detectar su existencia, deberán ser informados a la Agencia en la alerta temprana del proceso de reporte de incidentes, además de ser bloqueados o dados de baja dentro de las primeras tres horas de toma de conocimiento del incidente.
      • Permitir el acceso exclusivamente a través de la VPN institucional, en caso de existir sistemas de acceso remoto expuestos a Internet. En la eventualidad de que la infraestructura de VPN no pudiese ser utilizada, el acceso debe restringirse solamente a conexiones desde segmentos o direcciones IP específicas indispensables, para la gestión del incidente, bloqueando y llevando registro de cualquier intento de conexión desde un origen no permitido explícitamente.
      • Configurar mecanismos seguros de acceso remoto, con credenciales aleatorias y, en caso de ser factible su configuración inmediata, el uso obligatorio de autenticación multifactor.
      • Deshabilitar todo acceso remoto tan pronto como la tarea que le dio origen durante el proceso de gestión del incidente se haya completado.
      • Suspender temporalmente la operación de sitios web, servicios transaccionales o interfaces expuestas, cuando exista riesgo de explotación activa, añadiendo un mensaje que informe de su suspensión intencional como medida mitigatoria de seguridad.
      • Redireccionar o limitar el acceso a dichos servicios únicamente a entornos confidenciales e íntegros, cuando ello sea técnicamente viable.
      • Asegurar que, en caso de mantenerse operativos, dichos servicios utilicen mecanismos de cifrado robustos y correctamente configurados, con el objeto de evitar la interceptación o manipulación de las comunicaciones durante el incidente.
    • Los OIV también deberán:
      • Contar con herramientas de seguridad que les permitan realizar las siguientes acciones durante la gestión de un incidente de ciberseguridad:
        • Identificar dispositivos, cuentas o procesos comprometidos.
        • Bloquear, aislar o deshabilitar de forma remota dichos dispositivos o cuentas.
        • Monitorear la evolución del incidente y detectar intentos de propagación a otros sistemas.
        • Estas herramientas pueden ser tanto soluciones comerciales como herramientas gratuitas o de código abierto, siempre que permitan cumplir de manera efectiva con las acciones de detección, contención y monitoreo del incidente.
      • Se menciona también que los OIV deben instalar y mantener firewalls y sus políticas de ciberseguridad deben ser configuradas bajo el principio de bloqueo de conexiones entrantes por defecto (whitelisting).
    • Los OIV deben, asimismo, implementar medidas de segmentación lógica y/o física de redes, para limitar el movimiento lateral de un incidente.
      • Si se detecta un incidente, o se sospecha que pueda estar ocurriendo, la institución deberá:
        1. Aislar de forma inmediata los segmentos de red, entornos de virtualización, servidores físicos o lógicos, y otros activos digitales respecto de los cuales exista compromiso o riesgo razonable de compromiso.
        2. Restringir o bloquear el tráfico de red entrante y saliente entre sistemas productivos, entornos de respaldo, sistemas de gestión, administración o monitoreo, excepto cuando dicha comunicación sea estrictamente necesaria para la contención del incidente.
        3. Implementar, cuando sea técnicamente posible, segmentación específica para entornos de virtualización.
        4. Separar y proteger los sistemas de respaldo del resto de la infraestructura afectada, restringiendo su acceso y comunicación durante la gestión del incidente.
        5. Suspender temporalmente las credenciales, integraciones o servicios compartidos que permitan el desplazamiento lateral del incidente entre segmentos de red.