Saltar al contenido
Mariano Orquín vCISO · Ciberseguridad
Volver a Insights
Regulación LATAM 6 min de lectura

Chile ya tiene una ley de ciberseguridad con dientes. Tu empresa argentina también está expuesta.

El 1 de marzo de 2025 empezaron a regir las obligaciones más duras de la Ley Marco 21.663. Si operás, vendés o prestás servicios en Chile, el reloj de las 72 horas ya corre para vos también.

Durante años, en buena parte de LATAM la ciberseguridad fue una recomendación. En Chile, desde el 1 de marzo de 2025, es una obligación legal con plazos, con una agencia que fiscaliza y con un régimen de sanciones que ya está vigente. La diferencia no es semántica: cambia quién responde cuando algo sale mal.

Y si tu organización es argentina pero le vende, le presta servicios o integra la cadena de un operador chileno, la pregunta no es si esto te aplica. Es por dónde te llega.

Qué exige, concretamente

La Ley Marco de Ciberseguridad (21.663) creó la Agencia Nacional de Ciberseguridad (ANCI) y puso en vigencia, el 1 de marzo de 2025, sus disposiciones más exigentes: la calificación de los Operadores de Importancia Vital (OIV), sus deberes específicos, la obligación de reportar incidentes al CSIRT Nacional y el régimen de infracciones y sanciones.

El corazón operativo son los plazos perentorios de reporte ante un incidente de impacto significativo:

  • Alerta temprana: dentro de las 3 horas.
  • Reporte: dentro de las 72 horas.
  • Cierre: dentro de los 15 días.

No son metas de buenas prácticas. Son obligaciones con consecuencias, supervisadas por una autoridad con potestad sancionatoria.

El contexto que muchos subestiman

La calificación de OIV no es una lista cerrada y publicada de una vez: es un proceso progresivo que la ANCI continúa durante 2026 y los años siguientes. Es decir, una organización puede no ser OIV hoy y serlo después, sin haber cambiado su operación. Esperar a “ver si me toca” es, en sí mismo, una decisión de riesgo.

El efecto cascada al sector privado

Acá está el punto que más se subestima desde Argentina. Las obligaciones de un OIV no se quedan dentro del OIV: bajan por la cadena de proveedores. Un operador chileno que debe responder en 72 horas va a exigirles a sus proveedores críticos (de software, de cloud, de servicios gestionados) que puedan sostener ese mismo estándar. Tu contrato, tu SLA y tu due diligence de seguridad pasan a ser la evidencia con la que tu cliente cumple su ley.

Y Chile no es un caso aislado: es el modelo que el resto de LATAM está mirando. Lo que hoy te llega como cláusula contractual de un cliente chileno, mañana es regulación local.

Las preguntas que tu directorio debería estar haciéndose

  • Si un cliente nos exige hoy capacidad de reporte en 72 horas, ¿la tenemos? ¿O recién nos enteraríamos del incidente mucho después de ese plazo?
  • ¿Sabemos qué porción de nuestros ingresos depende de clientes que ya están, o estarán, bajo la 21.663?
  • Cuando ese cliente nos pida evidencia de nuestra postura de seguridad para cumplir su propia ley, ¿qué le mostramos?
  • ¿Estamos tratando esto como un tema técnico de IT, o como lo que es: una condición de acceso al mercado?

La regulación de ciberseguridad en LATAM dejó de ser un problema de cumplimiento futuro. Para quien factura cruzando fronteras, ya es una condición del negocio de hoy. La única pregunta que queda es si lo vas a descubrir leyendo una ley o leyendo una cláusula que te dejó afuera de una licitación.

Este análisis hace referencia a normativa vigente al momento de su publicación. La regulación cambia: verificá la vigencia y los plazos con la fuente oficial antes de tomar decisiones.

Fuentes

Agendá una conversación