Política Nacional de Ciberseguridad: ¿suficiente para los desafíos de la próxima década?

El reciente Plan de Acción de la Política Nacional de Ciberseguridad 2023–2028, publicado en el Diario Oficial el 6 de agosto de 2025, constituye una fecha importante en la consolidación del marco regulatorio inaugurado por la Ley N° 21.663 Marco de Ciberseguridad. Se trata de la primera hoja de ruta concreta que traduce los grandes objetivos estratégicos en medidas operativas, seleccionando 15 acciones prioritarias de un universo de 76. La pregunta que surge es si este enfoque progresivo será suficiente para enfrentar las crecientes amenazas del entorno digital.

Ignacio Villavicencio

El Plan acierta al poner a la Agencia Nacional de Ciberseguridad (ANCI) como articuladora central, considerando su rol técnico y de coordinación. Las medidas como la elaboración de protocolos de comunicación de incidentes, el reporte anual de ciberseguridad y la creación de una agenda internacional común en la materia, son pasos complementarios para construir confianza y dar coherencia al ecosistema.

Un aspecto relevante del Plan es el énfasis que otorga a los impactos diferenciados que los incidentes de ciberseguridad pueden tener en grupos vulnerables, tales como mujeres, niñas, niños, adolescentes y personas mayores.

Este reconocimiento rompe con la aproximación tradicional, que suele tratar la ciberseguridad como un desafío estrictamente técnico u organizacional, sin considerar las asimetrías sociales y de acceso a la tecnología. Incorporar esta perspectiva supone reconocer que una misma brecha o ataque no afecta de manera homogénea a toda la población: puede exacerbar brechas de género, exponer con mayor intensidad a menores frente a riesgos de abuso o manipulación, o dejar en situación de indefensión a adultos mayores que dependen crecientemente de plataformas digitales para trámites básicos. Este enfoque inclusivo enriquece el Plan Nacional como política pública y también acerca a Chile a los estándares promovidos por la OCDE y la Unión Europea, que insisten en la necesidad de una ciberseguridad con perspectiva de derechos.

Sin embargo, el carácter no vinculante del Plan para ciertos sectores y la falta de destinatarios explícitos puede diluir su impacto. En la práctica, los organismos públicos, prestadores de servicios esenciales y los futuros Operadores de Importancia Vital serán los más directamente alcanzados. Ellos deberán anticipar que estas medidas no quedarán en recomendaciones, sino que probablemente evolucionarán hacia estándares certificables de cumplimiento, con implicancias en materia de inversión, gobernanza interna y gestión de riesgos.

En este escenario, las organizaciones alcanzadas por la Ley Marco de Ciberseguridad deben adoptar medidas desde ya para integrar la seguridad en sus procesos, actuar preventivamente ante la ocurrencia de incidentes y trabajar en la reducción de riesgos e impactos. Este esfuerzo debe incluir la consideración de los impactos diferenciados y la protección especial de los grupos vulnerables, de manera que la ciberseguridad se convierta en un eje transversal de su gestión y no en una reacción tardía frente a las crisis.

Un efecto adicional que no debe pasarse por alto es que la exigencia de mayores estándares de ciberseguridad en la contratación de servicios generará un impacto directo en la cadena de suministros. Las organizaciones que sean sujetos obligados bajo la Ley Marco de Ciberseguridad, al incorporar requisitos más estrictos en sus procesos de compra o licitación, trasladarán estas exigencias a sus proveedores y socios estratégicos.

De esta manera, se producirá un efecto cascada que obligará a toda la red de suministros a elevar sus criterios de seguridad, fomentando mejores prácticas, reduciendo vulnerabilidades compartidas y complementándose para la construcción de un ecosistema digital más confiable.

El valor de este Plan no puede residir únicamente en la selección de medidas actuales, sino también en su capacidad de adaptarse a escenarios cambiantes. La priorización de acciones resulta razonable como punto de partida, pero la dinámica propia del ciberespacio exige flexibilidad. Si el contexto del país lo demanda, deberá existir la posibilidad de incorporar nuevas prioridades o alterar la urgencia de las ya definidas, de modo que la hoja de ruta no se convierta en un corsé, sino en un instrumento vivo y reactivo frente a amenazas emergentes y necesidades estratégicas sobrevinientes. La clave está en entender este Plan como un marco en permanente construcción, más que como un documento cerrado y estático.

La velocidad con que evolucionan las amenazas digitales exige que la política pública se actualice de manera continua, recogiendo la experiencia técnica de la Agencia Nacional de Ciberseguridad, y también las inquietudes y aprendizajes de los distintos actores del ecosistema. En este sentido, el éxito del Plan dependerá de su capacidad para abrirse a la participación ciudadana, integrando a empresas, gremios, universidades, organizaciones de la sociedad civil y usuarios finales en un diálogo constante sobre prioridades y buenas prácticas.

En definitiva, el Plan de Acción es un paso adelante que abre un período de prueba para la institucionalidad naciente y un llamado a las organizaciones a alinear sus programas de compliance en ciberseguridad con la nueva agenda estatal. De su implementación efectiva dependerá si Chile logra consolidarse en un referente regional en materia de seguridad digital y confianza en el entorno de datos.

 
Ignacio Villavicencio es consultor asociado en Data Compliance.
 
También te puede interesar:
— La Corte Suprema y los datos biométricos
— Nueva ley de datos personales: lecciones desde el viejo continente
— El principio de finalidad en la nueva ley de protección de datos chilena