¿Qué es la Ley 21.459 de Delitos Informáticos y por qué es relevante para mi empresa?

La Ley 21.459, vigente desde junio de 2022, actualiza el marco penal chileno frente al cibercrimen y alinea al país con la Convención de Budapest. Define delitos informáticos específicos, como acceso ilícito, sabotaje, ransomware, phishing y tráfico de malware, estableciendo penas de prisión para los atacantes. Para las empresas, implica la obligación de preservar evidencia digital, cooperar con la PDI y Fiscalía y entregar logs y registros forenses cuando se requiera.

¿Qué exige la Ley Marco de Ciberseguridad 21.663 a las organizaciones?

La Ley Marco de Ciberseguridad 21.663 crea la Agencia Nacional de Ciberseguridad (ANCI) y establece obligaciones específicas según el tipo de organización. Exige implementar controles de seguridad proporcionales al riesgo, gestionar vulnerabilidades, mantener planes de continuidad operativa, capacitar al personal y reportar incidentes significativos dentro de plazos definidos (por ejemplo, alerta temprana en 3 horas y reporte inicial en 24 horas para Operadores de Importancia Vital).

¿Qué obligaciones introduce la Ley 21.719 de Protección de Datos Personales?

La Ley 21.719 moderniza la regulación de datos personales en Chile, crea la Agencia de Protección de Datos Personales y obliga a las empresas a proteger los datos con medidas técnicas y organizacionales robustas. También exige notificar brechas de seguridad a la Agencia y a los titulares dentro de 72 horas, documentar los tratamientos de datos, realizar evaluaciones de impacto cuando corresponda, respetar los derechos de acceso, rectificación y eliminación, y nombrar un encargado de protección de datos en ciertos casos.

¿Qué ocurre si mi empresa no cumple con estas leyes de ciberseguridad y datos personales?

El incumplimiento puede tener consecuencias penales, económicas y reputacionales. La Ley de Delitos Informáticos puede derivar en procesos penales y responsabilidad civil si hubo negligencia en las medidas de seguridad. La Ley Marco de Ciberseguridad contempla multas de hasta 40.000 UTM para Operadores de Importancia Vital, además de órdenes de remediación y fiscalización intensiva. La Ley de Protección de Datos Personales establece multas de alto impacto, que pueden llegar hasta 20.000 UTM o hasta el 4% de las ventas anuales, suspensión del tratamiento y sanciones adicionales si hubo negligencia o afectación masiva.

¿Cómo se activan estas tres leyes frente a un ataque de ransomware?

Ante un ataque de ransomware, la Ley de Delitos Informáticos obliga a preservar evidencia digital y cooperar con la investigación penal. La Ley Marco de Ciberseguridad exige activar el plan de continuidad y reportar el incidente a la ANCI dentro de los plazos establecidos, especialmente si la organización es infraestructura crítica u Operador de Importancia Vital. Si el ataque expone, destruye o cifra datos personales, la Ley de Protección de Datos obliga a notificar la brecha a la Agencia de Protección de Datos Personales y, cuando corresponda, a los titulares afectados dentro de 72 horas.

¿Qué medidas mínimas debería considerar una empresa para cumplir con este nuevo marco legal?

Al menos, se recomienda implementar autenticación robusta (como MFA) para accesos críticos, respaldos seguros y probados frente a ransomware, gestión centralizada de logs para trazabilidad y soporte a investigaciones, segmentación de red para limitar el movimiento lateral de atacantes, un plan de respuesta a incidentes con roles y flujos de notificación definidos y programas de capacitación continua en ciberhigiene, phishing y protección de datos personales.

Ley de Delitos Informáticos 21.459: El origen del nuevo marco de ciberseguridad en Chile y lo que significa para las empresas

Q: ¿Cómo ayuda Netsus 360 a mi empresa a cumplir con estas leyes?

Netsus 360 es un servicio integral de gestión TI y ciberseguridad diseñado para apoyar a las empresas frente al nuevo marco legal chileno. Centraliza el monitoreo 24/7 de infraestructura y endpoints, integra controles de seguridad, gestión de vulnerabilidades y respaldos, aporta trazabilidad y registros para auditorías y requerimientos regulatorios, e incluye soporte experto y acompañamiento en la respuesta ante incidentes. Esto facilita el cumplimiento de las exigencias de la Ley de Delitos Informáticos, la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales.

Mientras las empresas chilenas esperaban regulaciones de ciberseguridad, el Congreso aprobó primero las sanciones penales. La Ley 21.459, vigente desde junio de 2022, convirtió conductas que antes quedaban impunes en delitos con cárcel efectiva. Dos años después, llegaron las leyes que completan el ecosistema: ahora las organizaciones no solo deben prevenir ataques, sino también preservar evidencia para procesos judiciales.

Un ejecutivo de una PYME santiaguina recibió un correo aparentemente de su banco solicitando “verificar urgentemente” sus credenciales. Hizo clic. Días después, la cuenta de la empresa estaba vacía y el atacante había desaparecido con $80 millones. Hasta 2022, perseguir penalmente a estos delincuentes digitales era casi imposible: la legislación databa de los años 90 y no contemplaba ransomware, phishing sofisticado ni las técnicas modernas de cibercrimen.

Lo que pocos anticiparon es que esta ley penal llegaría primero, dos años antes que las regulaciones preventivas. Mientras las empresas esperaban conocer qué medidas de seguridad debían implementar, el Estado ya había definido qué conductas enviarían a los atacantes directo a la cárcel.

Eso cambió radicalmente el 20 de junio de 2022, cuando entró en vigor la Ley 21.459 de Delitos Informáticos. Por primera vez en más de dos décadas, Chile actualizó su arsenal legal contra el cibercrimen, estableciendo penas de prisión de hasta varios años para atacantes digitales y alineándose con la Convención de Budapest, el tratado internacional que define estándares globales para combatir estos delitos.

El ecosistema legal que se construyó en reversa

Durante décadas, Chile enfrentó el cibercrimen con herramientas legales obsoletas. Luego, en apenas tres años, el Congreso aprobó tres leyes que transformaron radicalmente el panorama. Pero lo hizo en un orden que desconcierta a expertos: primero estableció las penas de cárcel, y solo después definió qué medidas de seguridad debían implementar las empresas. Hoy, este ecosistema de tres pilares finalmente está completo, aunque con distintos niveles de vigencia:

Primera pieza: El castigo (2022)

Ley 21.459 - Delitos Informáticos (Vigente desde junio de 2022)

Esta fue la pionera. Define siete delitos informáticos específicos y establece penas de prisión para quienes los cometan. Alinea a Chile con la Convención de Budapest, el tratado internacional contra el cibercrimen.

Lo que obliga a las empresas:

-Preservar toda evidencia digital cuando sufren
-Cooperar con investigaciones de la PDI y Fiscalía
-Entregar logs, registros y análisis forenses cuando se requiera

Lo que castiga:

Acceso ilícito, interceptación, sabotaje, ransomware, phishing, falsificación digital, tráfico de malware.

En términos simples:

Define qué te lleva a la cárcel y obliga a las víctimas a guardar las pruebas.

Segunda pieza: La prevención (2024-2025)

Ley 21.663 - Marco de Ciberseguridad (Promulgada en abril 2024, entrando en vigor entre enero y marzo 2025)

Casi dos años después del marco penal, llegó la ley que establece qué deben hacer las empresas para prevenir ataques. Crea la Agencia Nacional de Ciberseguridad (ANCI) como ente rector y define obligaciones específicas según el tipo de organización.

Lo que obliga a las empresas:

-Implementar controles de seguridad proporcionales a su riesgo
-Gestionar vulnerabilidades y mantener sistemas actualizados
-Reportar incidentes significativos a ANCI (especialmente infraestructura crítica)
-Elaborar planes de continuidad operacional
-Capacitar al personal en ciberseguridad
-Definir un responsable de la seguridad y protección de los datos

Lo que castiga:

Incumplimiento de obligaciones regulatorias, no reporte oportuno de incidentes, entregar información falsa, obstruir la labor de la ANCI o negarse a implementar medidas instruidas.

En términos simples:

Castiga a las organizaciones que no hacen lo que la ley exige: no reportan incidentes, no implementan controles, mienten a la autoridad o ignoran instrucciones obligatorias. Las multas pueden llegar hasta 40.000 UTM (≈ 3 millones de USD) en casos gravísimos, además de un fuerte daño reputacional y pérdida de confianza.

El detalle:

Muchas empresas llevan tres años sujetas a responsabilidades penales sin saber exactamente qué controles preventivos exige el Estado. Eso cambia ahora.

Tercera pieza: La privacidad (2024-2026)

Ley 21.719 - Protección de Datos Personales (Publicada en diciembre 2024, vigencia plena en diciembre 2026)

La más reciente del trío moderniza completamente la protección de datos personales en Chile, reemplazando una ley de 1999 que no contemplaba la realidad digital actual. Crea la Agencia de Protección de Datos Personales como fiscalizador.

Lo que obliga a las empresas:

-Proteger datos personales con medidas técnicas y organizacionales robustas
-Notificar brechas de seguridad a la Agencia y a los afectados
-Documentar tratamientos de datos y realizar evaluaciones de impacto
-Respetar derechos de acceso, rectificación y eliminación de datos
-Nombrar encargados de protección de datos en ciertos casos

Lo que castiga:

El uso indebido de datos personales, la falta de resguardo adecuado, no notificar brechas de seguridad, tratar datos sin base legal, vulnerar derechos de los titulares (acceso, rectificación, eliminación), no documentar tratamientos, o no cumplir instrucciones de la Agencia de Protección de Datos Personales.

En términos simples:

Protege la información personal de ciudadanos y castiga económicamente a quien no lo haga bien, con multas hasta 20.000 UTM por infracciones graves.

Cómo dialogan estas tres leyes en la realidad

Aunque nacieron en secuencia invertida, en la práctica funcionan como engranajes de una misma máquina. Un incidente de seguridad activa simultáneamente las tres, veamos en el siguiente ejemplo cómo se activan las tres leyes en caso de que tu empresa sufra un ataque de ransomware:

Fase del incidente	Ley 21.459 — Delitos Informáticos	Ley 21.663 — Ley Marco de Ciberseguridad	Ley 21.719 — Protección de Datos Personales
1. Detección del ataque	El ransomware constituye un “atentado contra la integridad de los datos”. Se debe preservar evidencia digital: logs, artefactos, respaldos forenses y comunicaciones con los atacantes.	Si eres infraestructura crítica u OIV: Alerta temprana: 3 horas Reporte inicial: 24 horas si afecta servicio esencial Para el resto con incidente significativo: 24 horas. Se activa el plan de continuidad.	Si el incidente expuso, destruyó o cifró datos personales, se debe notificar en: 72 horas a la Agencia de Protección de Datos A los titulares afectados cuando corresponda
2. Respuesta y contención	Toda acción debe registrarse con cadena de custodia. La PDI o Fiscalía pueden solicitar cooperación técnica.	Ejecución de acciones de contención, mitigación y continuidad operativa. La ANCI puede requerir reportes de avance.	Evaluación del alcance del compromiso de datos personales. Preparación de las notificaciones a la Agencia y a los titulares afectados.
3. Investigación y remediación	La evidencia se entrega a la investigación penal. Si se identifica al responsable, puede enfrentar penas de prisión.	Implementación de medidas correctivas y envío del reporte final. Plazo referencial: 15 días corridos.	Completar todas las notificaciones obligatorias (Agencia y titulares). Documentar cada acción realizada durante la gestión del incidente.
4. Recuperación y mejora continua	Cierre formal de la cadena de custodia y entrega final de evidencia cuando corresponda.	Validación del restablecimiento seguro de los servicios. Análisis post-incidente y actualización de controles.	Aplicación de mejoras para prevenir futuras brechas. Refuerzo de las medidas de seguridad en el tratamiento de datos personales.

Fase del incidente

Ley 21.459 — Delitos Informáticos

Ley 21.663 — Ley Marco de Ciberseguridad

Ley 21.719 — Protección de Datos Personales

1. Detección del ataque

El ransomware constituye un “atentado contra la integridad de los datos”.

Se debe preservar evidencia digital: logs, artefactos, respaldos forenses y comunicaciones con los atacantes.

Si eres infraestructura crítica u OIV:

Alerta temprana: 3 horas
Reporte inicial: 24 horas si afecta servicio esencial

Para el resto con incidente significativo: 24 horas.

Se activa el plan de continuidad.

Si el incidente expuso, destruyó o cifró datos personales, se debe notificar en:

72 horas a la Agencia de Protección de Datos
A los titulares afectados cuando corresponda

2. Respuesta y contención

Toda acción debe registrarse con cadena de custodia.

La PDI o Fiscalía pueden solicitar cooperación técnica.

Ejecución de acciones de contención, mitigación y continuidad operativa.

La ANCI puede requerir reportes de avance.

Evaluación del alcance del compromiso de datos personales.

Preparación de las notificaciones a la Agencia y a los titulares afectados.

3. Investigación y remediación

La evidencia se entrega a la investigación penal.

Si se identifica al responsable, puede enfrentar penas de prisión.

Implementación de medidas correctivas y envío del reporte final.

Plazo referencial: 15 días corridos.

Completar todas las notificaciones obligatorias (Agencia y titulares).

Documentar cada acción realizada durante la gestión del incidente.

4. Recuperación y mejora continua

Cierre formal de la cadena de custodia y entrega final de evidencia cuando corresponda.

Validación del restablecimiento seguro de los servicios.

Análisis post-incidente y actualización de controles.

Aplicación de mejoras para prevenir futuras brechas.

Refuerzo de las medidas de seguridad en el tratamiento de datos personales.

Tabla resumen que toda empresa debe tener

Ley	Qué hace	Qué exige	Consecuencias si no cumples
Delitos Informáticos (21.459)	Penaliza ataques y accesos indebidos.	Preservar evidencia digital, mantener cadena de custodia, cooperar con la investigación penal.	Responsabilidad penal del atacante; posible responsabilidad civil si hubo negligencia en las medidas de seguridad.
Ley Marco de Ciberseguridad (21.663)	Regula, previene y establece obligaciones de ciberseguridad a nivel país.	Implementar controles mínimos, gestionar riesgos, mantener planes de continuidad y reportar incidentes (3 h si eres OIV; 24 h si eres servicio esencial o si el incidente es significativo).	Multas por infracciones gravísimas de hasta 20.000 UTM, y hasta 40.000 UTM cuando el infractor es un Operador de Importancia Vital (OIV). Además: órdenes de remediación, fiscalización intensiva y posible exclusión de contratos públicos.
Protección de Datos Personales (21.719)	Protege privacidad y derechos de los titulares.	Medidas de seguridad adecuadas, notificación de brechas en 72 h, cumplimiento de derechos ARCO.	Multas de alto impacto (hasta 20.000 UTM en infracciones gravísimas o hasta el 4% de las ventas anuales, lo que sea mayor), suspensión del tratamiento y sanciones adicionales si hubo negligencia o afectación masiva.

Medidas esenciales para un cumplimiento integral

Para abordar de forma coordinada las exigencias de las tres leyes, las empresas deberían considerar, como mínimo:

-Autenticación robusta (MFA): protege accesos críticos y mitiga el abuso de credenciales.
-Respaldos seguros y probados: requisito de continuidad operativa y defensa frente a ransomware.
-Gestión centralizada de logs: permite detección temprana, trazabilidad y soporte a investigaciones.
-Segmentación de red: limita el movimiento lateral de atacantes y la exposición de sistemas sensibles.
-Plan de respuesta a incidentes: con roles definidos, flujos de notificación y preservación de evidencia.
-Capacitación continua: en ciberhigiene, phishing, uso seguro de sistemas y protección de datos personales.

Fortalece tu cumplimiento normativo con Netsus 360

En este contexto, Netsus 360 fue diseñado para ayudar a las empresas a enfrentar las exigencias del nuevo marco legal chileno. Se trata de un servicio integral de gestión TI y ciberseguridad que:

-Centraliza el monitoreo 24/7 de infraestructura y endpoints.
-Integra controles de seguridad, gestión de vulnerabilidades y respaldos.
-Aporta trazabilidad y registros para auditorías y requerimientos regulatorios.
-Incluye soporte experto y acompañamiento en la respuesta ante incidentes.

Fortalece tu cumplimiento normativo y la seguridad de tu empresa con Netsus 360. Agenda una asesoría y conversemos sobre el nivel de preparación de tu empresa frente a la Ley de Delitos Informáticos, la Ley Marco de Ciberseguridad y la Ley de Protección de Datos Personales.

Ley de Delitos Informáticos 21.459: El origen del nuevo marco de ciberseguridad en Chile

Ley de Delitos Informáticos 21.459: El origen del nuevo marco de ciberseguridad en Chile y lo que significa para las empresas

El ecosistema legal que se construyó en reversa

Primera pieza: El castigo (2022)

Ley 21.459 - Delitos Informáticos (Vigente desde junio de 2022)

Lo que obliga a las empresas:

Lo que castiga:

En términos simples:

Segunda pieza: La prevención (2024-2025)

Ley 21.663 - Marco de Ciberseguridad (Promulgada en abril 2024, entrando en vigor entre enero y marzo 2025)

Lo que obliga a las empresas:

Lo que castiga:

En términos simples:

El detalle:

Tercera pieza: La privacidad (2024-2026)

Ley 21.719 - Protección de Datos Personales (Publicada en diciembre 2024, vigencia plena en diciembre 2026)

Lo que obliga a las empresas:

Lo que castiga:

En términos simples:

Cómo dialogan estas tres leyes en la realidad

Tabla resumen que toda empresa debe tener

Medidas esenciales para un cumplimiento integral

Fortalece tu cumplimiento normativo con Netsus 360

Leave a Comment Cancelar la respuesta

Netsus.com

Servicios

Productos

Legal

Ciberseguridad

Información de contacto

Métodos de pago