Ley de Delitos Informáticos 21.459: El origen del nuevo marco de ciberseguridad
Mientras las empresas chilenas esperaban regulaciones de ciberseguridad, el Congreso aprobó primero las sanciones penales. La Ley 21.459, vigente desde junio de 2022, convirtió conductas que antes quedaban impunes en delitos con cárcel efectiva. Dos años después, llegaron las leyes que completan el ecosistema: ahora las organizaciones no solo deben prevenir ataques, sino también preservar evidencia para procesos judiciales.
Un ejecutivo de una PYME santiaguina recibió un correo aparentemente de su banco solicitando “verificar urgentemente” sus credenciales. Hizo clic. Días después, la cuenta de la empresa estaba vacía y el atacante había desaparecido con $80 millones. Hasta 2022, perseguir penalmente a estos delincuentes digitales era casi imposible: la legislación databa de los años 90 y no contemplaba ransomware, phishing sofisticado ni las técnicas modernas de cibercrimen.
Eso cambió radicalmente el 20 de junio de 2022, cuando entró en vigor la Ley 21.459 de Delitos Informáticos. Por primera vez en más de dos décadas, Chile actualizó su arsenal legal contra el cibercrimen, estableciendo penas de prisión de hasta varios años para atacantes digitales y alineándose con la Convención de Budapest, el tratado internacional que define estándares globales para combatir estos delitos.
Lo que pocos anticiparon es que esta ley penal llegaría primero, dos años antes que las regulaciones preventivas. Mientras las empresas esperaban conocer qué medidas de seguridad debían implementar, el Estado ya había definido qué conductas enviarían a los atacantes directo a la cárcel.
El ecosistema legal que se construyó en reversa
Durante décadas, Chile enfrentó el cibercrimen con herramientas legales obsoletas. Luego, en apenas tres años, el Congreso aprobó tres leyes que transformaron radicalmente el panorama. Pero lo hizo en un orden que desconcierta a expertos: primero estableció las penas de cárcel, y solo después definió qué medidas de seguridad debían implementar las empresas. Hoy, este ecosistema de tres pilares finalmente está completo, aunque con distintos niveles de vigencia:
Primera pieza: El castigo (2022)
Ley 21.459 - Delitos Informáticos (Vigente desde junio de 2022)
Esta fue la pionera. Define siete delitos informáticos específicos y establece penas de prisión para quienes los cometan. Alinea a Chile con la Convención de Budapest, el tratado internacional contra el cibercrimen.
Lo que obliga a las empresas:
-Preservar toda evidencia digital cuando sufren
-Cooperar con investigaciones de la PDI y Fiscalía
-Entregar logs, registros y análisis forenses cuando se requiera
Lo que castiga:
Acceso ilícito, interceptación, sabotaje, ransomware, phishing, falsificación digital, tráfico de malware.
En términos simples:
Define qué te lleva a la cárcel y obliga a las víctimas a guardar las pruebas.
Lo que obliga a las empresas:
-Gestionar vulnerabilidades y mantener sistemas actualizados
-Reportar incidentes significativos a ANCI (especialmente infraestructura crítica)
-Elaborar planes de continuidad operacional
-Capacitar al personal en ciberseguridad
-Definir un responsable de la seguridad y protección de los datos
Lo que castiga:
En términos simples:
El detalle:
Lo que obliga a las empresas:
-Proteger datos personales con medidas técnicas y organizacionales robustas
-Notificar brechas de seguridad a la Agencia y a los afectados
-Documentar tratamientos de datos y realizar evaluaciones de impacto
-Respetar derechos de acceso, rectificación y eliminación de datos
-Nombrar encargados de protección de datos en ciertos casos
Lo que castiga:
En términos simples:
Protege la información personal de ciudadanos y castiga económicamente a quien no lo haga bien, con multas hasta 20.000 UTM por infracciones graves.
Cómo dialogan estas tres leyes en la realidad
| Fase del incidente | Ley 21.459 — Delitos Informáticos | Ley 21.663 — Ley Marco de Ciberseguridad | Ley 21.719 — Protección de Datos Personales |
|---|---|---|---|
| 1. Detección del ataque |
El ransomware constituye un “atentado contra la integridad de los datos”. Se debe preservar evidencia digital: logs, artefactos, respaldos forenses y comunicaciones con los atacantes. |
Si eres infraestructura crítica u OIV:
Para el resto con incidente significativo: 24 horas. Se activa el plan de continuidad. |
Si el incidente expuso, destruyó o cifró datos personales, se debe notificar en:
|
| 2. Respuesta y contención |
Toda acción debe registrarse con cadena de custodia. La PDI o Fiscalía pueden solicitar cooperación técnica. |
Ejecución de acciones de contención, mitigación y continuidad operativa. La ANCI puede requerir reportes de avance. |
Evaluación del alcance del compromiso de datos personales. |
| 3. Investigación y remediación |
La evidencia se entrega a la investigación penal. Si se identifica al responsable, puede enfrentar penas de prisión. |
Implementación de medidas correctivas y envío del reporte final. Plazo referencial: 15 días corridos. |
Documentar cada acción realizada durante la gestión del incidente. |
| 4. Recuperación y mejora continua |
Cierre formal de la cadena de custodia y entrega final de evidencia cuando corresponda. |
Validación del restablecimiento seguro de los servicios. Análisis post-incidente y actualización de controles. |
Aplicación de mejoras para prevenir futuras brechas. Refuerzo de las medidas de seguridad en el tratamiento de datos personales. |
Tabla resumen que toda empresa debe tener
| Ley | Qué hace | Qué exige | Consecuencias si no cumples |
|---|---|---|---|
| Delitos Informáticos (21.459) | Penaliza ataques y accesos indebidos. | Preservar evidencia digital, mantener cadena de custodia, cooperar con la investigación penal. | Responsabilidad penal del atacante; posible responsabilidad civil si hubo negligencia en las medidas de seguridad. |
| Ley Marco de Ciberseguridad (21.663) | Regula, previene y establece obligaciones de ciberseguridad a nivel país. | Implementar controles mínimos, gestionar riesgos, mantener planes de continuidad y reportar incidentes (3 h si eres OIV; 24 h si eres servicio esencial o si el incidente es significativo). |
Multas por infracciones gravísimas de hasta 20.000 UTM, y hasta 40.000 UTM cuando el infractor es un Operador de Importancia Vital (OIV). Además: órdenes de remediación, fiscalización intensiva y posible exclusión de contratos públicos. |
| Protección de Datos Personales (21.719) | Protege privacidad y derechos de los titulares. | Medidas de seguridad adecuadas, notificación de brechas en 72 h, cumplimiento de los derechos de los titulares (acceso, rectificación, eliminación, oposición, portabilidad y limitación del tratamiento) | Multas de alto impacto (hasta 20.000 UTM en infracciones gravísimas o hasta el 4% de las ventas anuales, lo que sea mayor), suspensión del tratamiento y sanciones adicionales si hubo negligencia o afectación masiva. |
Medidas esenciales para un cumplimiento integral
-Autenticación robusta (MFA): protege accesos críticos y mitiga el abuso de credenciales.
-Respaldos seguros y probados: requisito de continuidad operativa y defensa frente a ransomware.
-Gestión centralizada de logs: permite detección temprana, trazabilidad y soporte a investigaciones.
-Segmentación de red: limita el movimiento lateral de atacantes y la exposición de sistemas sensibles.
-Plan de respuesta a incidentes: con roles definidos, flujos de notificación y preservación de evidencia.
-Capacitación continua: en ciberhigiene, phishing, uso seguro de sistemas y protección de datos personales.
-Centraliza el monitoreo 24/7 de infraestructura y endpoints.
-Integra controles de seguridad, gestión de vulnerabilidades y respaldos.
-Aporta trazabilidad y registros para auditorías y requerimientos regulatorios.
-Incluye soporte experto y acompañamiento en la respuesta ante incidentes.
Fortalece tu cumplimiento normativo y la seguridad de tu empresa con Netsus 360. Agenda una asesoría y conversemos sobre el nivel de preparación de tu empresa frente a la Ley de Delitos Informáticos, la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales.