Comienza obligación de reportar los incidentes de ciberseguridad a la ANCI

Desde hoy 1 de marzo de 2025 es obligatorio para todas las empresas y organizaciones que prestan servicios esenciales reportar a la Agencia Nacional de Ciberseguridad (ANCI) los ciberataques o incidentes de impacto significativo que les ocurran, conforme dispone la ley.

¿Qué implica el deber de reportar?

El deber de reportar obliga a dichas instituciones a informar a la ANCI de todo ciberataque o incidente de ciberseguridad que pueda tener efectos significativos, los que están definidos tanto en la ley como en el reglamento que se publicó en el Diario Oficial.

Los servicios esenciales deberán reportar dentro del plazo máximo de tres horas desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad.

Así, si su organización, sea pública o privada, presta un servicio calificado como esencial por la Ley Marco de Ciberseguridad o por la ANCI, desde el 1 de marzo de 2025 tiene esta obligación.

¿Cómo se cumple con la obligación legal?

Para facilitar el reporte de incidentes, la ANCI puso a disposición de los usuarios el sitio portal.anci.gob.cl donde las instituciones públicas y privadas que proveen servicios esenciales podrán reportar sus incidentes significativos.

Para ello, deberán registrarse en la plataforma, utilizando la Clave Única de la persona responsable de notificar y completando la información requerida en cada uno de los tres pasos del proceso: Alerta Temprana, Segunda Notificación e Informe Final.

El contenido del reporte está regulado por el Decreto N°295/2024, que aprueba el reglamento de reporte de incidentes de ciberseguridad, que fue publicado en el Diario Oficial el 1 de marzo de 2025. Adicionalmente, para efectos de entregar lineamientos técnicos, la Agencia aprobó y publicó una taxonomía de incidentes de ciberseguridad.

Adicionalmente, se mantendrán operativos los siguientes canales disponibles para reportar y comunicarse con la ANCI en caso de contingencia:

• Al teléfono 1510
• Al correo electrónico [email protected]

¿Cuáles son los servicios esenciales?

Los servicios esenciales son definidos por la Ley Marco de Ciberseguridad y corresponde a los siguientes:

1. Organismos de la Administración del Estado
2. Empresas públicas creada por ley
3. Sociedades donde el Estado tiene participación accionaria superior al 50%
4. Sociedades donde el Estado tiene mayoría en el directorio
5. Coordinador Eléctrico Nacional
6. Concesionarios de servicios públicos
7. Prestadores de servicios de generación eléctrica
8. Prestadores de servicios de transmisión eléctrica
9. Prestadores de servicios de distribución eléctrica
10. Prestadores de servicios de transporte de combustibles
11. Prestadores de servicios de almacenamiento de combustibles
12. Prestadores de servicios de distribución de combustibles
13. Prestadores de servicios de suministro de agua potable
14. Prestadores de servicios de saneamiento o tratamiento de aguas servidas
15. Prestadores de servicios de telecomunicaciones
16. Prestadores de servicios de infraestructura digital
17. Prestadores de servicios digitales
18. Prestadores de servicios de tecnología de la información gestionados por terceros
19. Prestadores de servicios de transporte terrestre
20. Prestadores de servicios de operación de infraestructura de transporte terrestre
21. Prestadores de servicios de transporte aéreo
22. Prestadores de servicios de operación de infraestructura de transporte aéreo
23. Prestadores de servicios de transporte ferroviario
24. Prestadores de servicios de operación de infraestructura de transporte ferroviario
25. Prestadores de servicios de transporte marítimo
26. Prestadores de servicios de operación de infraestructura de transporte marítimo
27. Prestadores de servicios bancarios
28. Prestadores de servicios financieros
29. Prestadores de servicios de medios de pago
30. Prestadores de servicios de administración de seguridad social (incluye AFP, AFC, Isapres, Mutualidad de Empleadores).
31. Prestadores de servicios postales
32. Prestadores de servicios de mensajería
33. Prestadores institucionales de servicios de salud
34. Prestadores de servicios de producción de productos farmacéuticos
35. Prestadores de servicios de investigación de productos farmacéuticos

La notificación de incidentes

La Ley Marco de Ciberseguridad, y el reglamento de reporte de incidentes, establecen la obligación de enviar tres informes al CSIRT Nacional. Estos tres informes corresponden a tres entregas progresivas de información a través del portal de notificación de incidentes. Podría parecer mucho, pero en realidad el portal está diseñado para pre-llenar la mayor parte de los antecedentes descritos en el Art. 5 del reglamento y posteriores.

A continuación, cómo entender la información que debe ser incluida en cada uno de los informes:

1. Alerta temprana, descrita en el art. 9 del reglamento. El espíritu de esta alerta es simplemente decirle al CSIRT Nacional que se tiene un problema; no se espera saber por qué se produjo, ni detalles de quién lo produjo. En este informe se esperan los efectos observables (letra f del art. 5) sobre los activos afectados (letra g del art. 5).
2. Segundo reporte, descrito en el art. 10 del reglamento. En este informe se espera cualquier información adicional que haya podido ser obtenida en el intertanto; deseablemente, una identificación de los activos y recursos potencialmente afectados (letra g del art. 5 del reglamento).
3. Informe final, descrito en el art. 12 del reglamento. En este informe se espera una identificación más detallada de los incidentes, las vulnerabilidades, y deseablemente las técnicas, tácticas y procedimientos (TTP) usados por los atacantes (en caso de que haya sido un ataque), y los Indicadores de Compromiso (IoC), en caso de que se haya podido extraer esta información de la actividad de los atacantes (nuevamente, en caso de que haya sido un ataque).