El reciente ataque al Instituto de Salud Pública (ISP) puso de relieve la vulnerabilidad de los sistemas sanitarios en Chile y de las pequeñas y medianas empresas proveedoras del sector. Un antecedente fue la vulneración de las plataformas del Ministerio de Salud en 2016, que ya anticipaba la necesidad de reforzar la protección digital.
Según Ricardo Seguel, director de DTC Cyber y académico de la Universidad Adolfo Ibáñez, “en Chile, las nuevas leyes (21.663 y 21.719) reubican el riesgo de un ataque desde un problema técnico a una responsabilidad legal y financiera”.
El especialista sostiene que, de haber estado plenamente vigentes, “el ISP habría tenido la obligación legal de haber estado registrado ante la ANCI y de notificar la filtración de datos”, lo que habría permitido una respuesta “más estructurada y transparente” y mitigado un impacto que se prolongó por semanas, afectando la entrega de resultados de VIH y Hepatitis a pacientes del sistema público.
De la reacción a la prevención
Las leyes promulgadas este año obligan a pasar de un enfoque reactivo a uno proactivo. En la práctica, se exige a los operadores de servicios esenciales registrar incidentes y cumplir estándares de seguridad.
Para Seguel, “la debilidad está en la protección y prevención proactiva de ataques, antes que ocurran, debido a la falta de sistemas de ciberdefensa robustos y resilientes con capacidades de ciberinteligencia para anticipar y predecir amenazas”.
Esto implica que hospitales, laboratorios y pymes proveedoras deberán invertir en tecnologías y procesos que permitan detectar riesgos de manera temprana, no sólo responder después del ataque.
Transparencia obligatoria y fiscalización
Hasta ahora, el temor a sanciones y pérdida reputacional llevaba a muchas instituciones a no reportar ciberataques. Con la nueva regulación, “la opacidad ya no es una opción para los operadores de servicios esenciales”, advierte Seguel.
La Agencia Nacional de Ciberseguridad (ANCI) será la receptora de reportes bajo la Ley 21.663, mientras que la Agencia de Protección de Datos hará lo propio bajo la Ley 21.719, generando por primera vez una obligación de transparencia institucional.
Estas normas colocan a las instituciones chilenas en un escenario similar al de países desarrollados, donde los reportes públicos de incidentes aumentaron masivamente al entrar en vigor leyes equivalentes, fortaleciendo la defensa colectiva.
Pymes: el eslabón más débil
En la cadena de suministro digital del sector salud, las pymes proveedoras son un punto crítico. El ataque a Change Healthcare en Estados Unidos en 2024 y al NHS en Reino Unido demostraron la importancia de asegurar toda la red, no sólo a las grandes instituciones.
Seguel subraya que, en Chile, la situación es similar: las empresas pequeñas no siempre cuentan con recursos para sistemas avanzados de ciberseguridad. “Este tipo de apoyo será crucial en Chile para que la ley no se convierta en una carga insostenible”, sostiene, en referencia a los modelos de asistencia técnica que ofrecen organismos públicos en otros países.
Coordinación institucional y responsabilidad compartida
Para que la legislación sea efectiva, Seguel considera indispensable la coordinación entre la ANCI y la Agencia de Protección de Datos. Una respuesta fragmentada entre dos agencias distintas podría generar confusión y retrasos. “Además de las multas, es necesaria una buena coordinación entre ambas instituciones, ya que una respuesta fragmentada podría causar confusión y retrasos”, concluye.
Así, la ciberseguridad en Chile deja de ser un asunto exclusivamente técnico y pasa a formar parte del marco regulatorio y de la gestión estratégica tanto en el sector público como en sus proveedores privados.
Obligaciones de ciberseguridad para salud pública y pymes proveedoras
| Aspecto | Situación previa | Con nuevas leyes (21.663 y 21.719) |
|---|---|---|
| Registro ante ANCI | No obligatorio | Obligatorio para instituciones de salud y operadores críticos |
| Notificación de incidentes | Voluntaria, sujeta a criterio interno | Obligatoria a ANCI y Agencia de Protección de Datos |
| Clasificación de servicios | Sin categoría específica | Salud pública es “servicio esencial” con requisitos mínimos |
| Protección de datos personales | Ley 19.628 con estándares básicos | Ley 21.719 endurece medidas y amplía sanciones |
| Cadena de suministro (pymes) | Sin obligación formal | Se exigirán estándares como ISO 27001, NIST o SOC 2 en contratos |
| Multas y sanciones | Limitadas, con bajo impacto | Multas y responsabilidades legales y financieras significativas |
| Pago de rescates (ransomware) | Sin regulación | No prohibido, pero se obliga a reportar incidentes |
| Fiscalización | Fragmentada | Coordinación integrada entre ANCI y Agencia de Protección de Datos |
Suscríbete para estar al día con Poder y Liderazgo
