Hace tres años, Chile sancionó su legislación sobre ciberseguridad e infraestructuras críticas y la incorporación de las redes de telecomunicaciones significó una visión poderosa y un avance de largo plazo. Sin embargo, un apagón masivo que dejó a oscuras casi 24 horas al país y la continuidad de desastres naturales (en el territorio local, pero también en la región y el mundo), impuso al gobierno la urgencia de repensar la autonomía y la resiliencia de las comunicaciones y de las baterías que dan sustento a los sitios móviles. La novedad de la jornada es que entró en vigencia un nuevo reglamento para situaciones de emergencia, sobre todo en lo concerniente al aumento en horas de respaldo energético y la defensa activa para ciberataques.
En paralelo, también conviene recordar que a lo largo de 2025, Chile anunció el Plan Nacional de Data Centers y de ciberseguridad, y dio vida a la Agencia Nacional de Ciberseguridad de Chile (ANCI), cuyo primer director, Daniel Álvarez Valenzuela, acaba de culminar su mandato.
Los detalles
El nuevo reglamento “para la interoperación y difusión de la mensajería de alerta, declaración y resguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en los sistemas de telecomunicaciones”, fue publicado el 6 de enero en el Diario Oficial, y está disponible aquí.
Se trata de una norma que apunta a robustecer los estándares para el resguardo de la infraestructura y los servicios de telecomunicaciones, a las que define como “una herramienta fundamental para salvaguardar la vida de las personas en una situación de emergencia”.
La actualización involucró sumar el servicio de datos al de voz, que ya estaba resguardado en el Decreto 60 que la Subsecretaría de Telecomunicaciones (Subtel) había actualizado tras el terremoto de 2010.
“Considerando el desarrollo tecnológico y el rol que tiene la conectividad digital en el cotidiano de las personas, la actualización considera aumentar las horas de respaldo energético de la infraestructura crítica; aumentar el resguardo a data centers y fibra óptica; implementar la gestión de red desde las operadoras para limitar el uso de datos en una emergencia; y considerar los ciberataques como emergencias graves, exigiendo una defensa activa; entre otras disposiciones”, dijo el organismo en su anuncio en el que se plantearon nuevos plazos, multas y sanciones, entre otras medidas.
Este nuevo reglamento “establece una prioridad total a la infraestructura central, donde se aumenta el resguardo a data centers y fibra óptica, con el objetivo de evitar un impacto nacional”, a la par que crea al Nivel 3 de Infraestructura Crítica (IC) exclusivo para redes de emergencia, como lo son el Servicio nacional de prevención y respuesta ante desastres (Senapred), bomberos, carabineros y servicios de salud.
Otra de las incorporaciones gira en torno al incremento de las horas exigidas para garantizar el respaldo energético, al pasar de las cuatro a las seis horas en lo que al restablecimiento de la infraestructuras críticas Nivel 2 y, con ello, garantizar que que los servicios puedan funcionar dentro de ese plazo aun cuando no haya suministro eléctrico externo que alimente las antenas instaladas en las zonas urbanas.
La apuesta se centra en que las operadoras de telecomunicaciones “puedan gestionar la red, limitando el uso de datos para priorizar su uso responsable y acorde a las necesidades de una emergencia”, dice el anuncio y aclara que, la actualización incorpora la obligatoriedad de que los operadores de telecomunicaciones “diversifiquen” su infraestructura principal y de respaldo, para aumentar la resiliencia. “Es decir, el cable principal no podrá ir en el mismo “poste” que el de respaldo”, aclara.
En ese sentido, también exige dos sitios centrales de auto respaldo: es decir, que los servidores centrales estén duplicados en edificios diferentes y físicamente separados.
Aclara medidas específicas de resguardo para las redes de fibra óptica, por ejemplo, que todos los tramos de los tendidos -entre los nodos que transporten tráfico descritos como I.C. de Nivel 1-, deberán cumplir con las características de la red resiliente (según las definiciones oficiales) y que “las rutas alternativas para el respaldo obligatorio deberán utilizar trayectos alternativos tales como distintos caminos enrolados por el Ministerio de Obras Públicas, respaldo en rutas marítimas, enlaces de microondas, redes satelitales u otros, que aseguren la diversidad territorial para que una falla no afecte al respaldo y así asegurar la continuidad de servicio”.
Pixabay – Elchinator
Agrega que, “para asegurar la continuidad estratégica de las comunicaciones, el respaldo principal deberá ubicarse en territorio nacional, siempre y cuando exista una alternativa viable técnica y geográficamente”, a la par que las medidas de resguardo para los servicios de acceso a Internet, prevé que los ISP garantice la existencia de dos sitios centrales autorrespaldados de modo lógico o físico, para garantizar la continuidad operativa.
El plazo de aviso a la autoridad también fue modificado, y pasó de dos horas generales a tener que dar una respuesta oportuna en un tiempo máximo de 30 minutos para fallas graves y en 45 minutos para fallas medias. “Junto a esto, adecuando los niveles de criticidad para ser reconocidas como Alta, Media y Baja se busca reducir los porcentajes de afectación”, agrega.
La defensa activa de ciberataques también forma parte de las modificaciones del Decreto 60, que estaba enfocado en riesgos físicos, al valorarlos “emergencias graves”. A partir de esta introducción, se exige una defensa activa y se dispara un proceso de identificación del enrutamiento e identificación con geolocalización.
Inclusive, advierte que los data centers que permitan dar continuidad a los servicios de telecomunicaciones y otros similares y según la evolución tecnológica” serán considerados como Nivel 1 de infraestructura. “Tales como estaciones base de servicio públicos de comunicaciones móviles, tanto de telefonía como transmisión de datos móviles, de cuya correcta operación depende el funcionamiento de otras estaciones base, tendrá una conectividad efectiva que permita servicios de llamadas de emergencia incluida la mensajería SAE, SMS, voz y/o aplicaciones de mensajería corta, frente a situaciones de emergencia, resultantes de fenómenos de la naturaleza o de fallas eléctricas generalizadas o en situaciones de catástrofe”, dice el reglamento.
Así, los operadores deberán adoptar medidas de resguardo, tanto de la infraestructura crítica como la seguridad y ciberseguridad de los sistemas de telecomunicaciones y su respaldo energético.
El aniversario de ANCI
La Agencia Nacional de Ciberseguridad de Chile cumplió su primer año de funcionamiento y, con ello, culminó el primer período de su dirección, liderada por Álvarez Valenzuela. En ese marco, y a modo de balance, se destacaron no sólo los procesos de institucionalidad que posibilitan su existencia, sino también la implementación del Portal de Reporte de Incidentes, obligatorio para el reporte de incidentes significativos y que posibilita el reporte de incidentes.
Imagen creada con IA
A lo largo de los primeros meses de vida, se inscribieron 3.258 instituciones que reportaron más de 400 incidentes, algo que permite al país tener la primera visión estadística oficial del riesgo cibernético. También, se identificó la existencia de 915 organizaciones públicas y privadas que fueron calificadas como Operadores de Importancia Vital (OIV), por pertenecer a sectores críticos como energía, telecomunicaciones, servicios digitales, sector financiero, salud y administración del Estado; y se calificó a más de 26.000 personas a través de charlas, seminarios y cursos sobre phishing y fraude digital.
Comenzado 2026, la ANCI publicó una guía con un listado de nueve conceptos básicos de la ciberseguridad, vinculados a la importancia de realizar actualizaciones y capacitaciones periódicas, a minimizar los privilegios y a la importancia de realizar respaldos de información frecuente. También, de asegurar las redes y los equipos, realizar monitoreos en tiempo real, usar mecanismos de múltiples factores de autenticación (MFA) y gestores de contraseñas. Disponible aquí, el documento está destinado a todo tipo de interesados.
A modo de cierre de ciclo, Valenzuela se despidió del cargo en su cuenta de Linkedin, aunque todavía no se conoce el nombre de su reemplazo: “Hoy, 365 días después, podemos decir que cumplimos con la misión y mucho más. En este tiempo fuimos capaces de liderar diversas iniciativas en el sector público y privado. Lanzamos la primera gran conferencia de ciberseguridad realizada fuera de Santiago: nuestra querida Patagonia Ciber. Montamos una plataforma de reporte de incidentes segura con doble factor de autenticación. Lanzamos la guía de 9 básicos de la ciberseguridad y los 10 perfiles profesionales, técnicos y especialistas en ciberseguridad, entre muchas otras iniciativas”, publicó.
“Para mi, fue un desafío profesional inmenso que pudimos llevar a cabo gracias al tremendo equipo de profesionales y especialistas de la Agencia, que realizó un esfuerzo extraordinario durante todo el año, mientras se gestionaban más de 400 reportes de incidentes de ciberseguridad. Una cifra inédita para nuestro país”, celebró el ahora ex director de ANCI.
Debe estar conectado para enviar un comentario.