El consultor internacional y académico de la Facultad de Derecho Universidad de Chile, Daniel Álvarez Valenzuela, fue también el primer director de la Agencia Nacional de Ciberseguridad del país (ANCI); cargo que ocupó hasta diciembre y que le otorgó una visión panorámica tanto de la coyuntura local como de la regional. Por eso, es tiempo de hacer un primer balance, de los logros y de los desafíos del porvenir. Por ejemplo, sobre el avance que significó erigir al país pionero en instalar un modelo que integrara prevención, regulación y sanción; a la vez que el haber podido construir bases de datos estadísticas propias para nutrir las políticas públicas en función de su realidad. Lo que viene, es un trabajo más grande: fomentar el consenso político-social y cerrar la brecha de capital humano especializado.
¿Qué balance hace de este primer año de gestión y funcionamiento de la ANCI?
El proceso de instalación de la Agencia Nacional de Ciberseguridad en Chile fue bien complejo; un desafío grande. Chile fue el primer país en América Latina y el Caribe que instaló una capacidad pública en materia de ciberseguridad de este nivel; un órgano de la Administración del Estado que cuente con competencias en materia de ciberseguridad en, al menos, cuatro grandes ámbitos.
El primero, que tiene que ver con la prevención de incidentes; el segundo, con la gestión de los incidentes y con la facultad de dictar normas, de fiscalizar y de sancionar. Este es un modelo bastante novedoso, no sólo en América Latina sino en el mundo. Usualmente, se han dividido de manera bastante clara las facultades normativas de las facultades técnicas, de las de fiscalizar y de sancionar. Esta Agencia, en este sentido, exhibe un modelo regulatorio innovador a nivel mundial y cuyo desafío de implementar sobre el sector público y el privado alcanzó a, al menos, 15 sectores de la economía.
¿Qué diagnóstico hicieron al terminar el mandato?
El diagnóstico que hicimos al terminar el mandato, el 31 de diciembre, fue que los tres objetivos que nos propusimos hacer, que eran parte de nuestra planificación, se hicieron. Por ejemplo, instalar un servicio público nuevo.
Antes de la Agencia, Chile sólo tenía una Coordinación Nacional de Ciberseguridad, que era un programa y no una institución con presupuesto, y un equipo de respuesta a incidentes a nivel gubernamental, el CSIR. Esta era toda la capacidad que tenía el Estado.
Instalar un servicio público tiene dificultades de todo tipo, desde las logísticas (de arrendar edificios, contratar personas, abrir cuentas corrientes y todo lo que requiere una organización pública que va a funcionar) hasta las propias de una organización compleja. Por ejemplo, porque debe tener una dotación de profesionales especialistas que la conformen; y eso se hizo durante 2025: se instaló, se operó y funcionó. Diría que hoy ya es un servicio público, como los demás.
El segundo objetivo, que tenía que ver con la notificación de los incidentes de ciberseguridad, también se cumplió. Porque los organismos de la Administración del Estado, que ya tenían la obligación de hacer reportes desde hace varios años, era un músculo que estaba entrenado, pero el sector privado no. Además, algunas de las organizaciones que son víctimas de ciberataques, -usualmente las menos maduras-, tratan de esconder la situación y resolverlo por sus propios medios; y la experiencia indica que esta no es una buena medida.
El primero de marzo de 2025 comenzó a regir la obligación de notificación de incidentes y tuvo un impacto muy grande porque Chile pasó de ser un país que guiaba su política pública y sus medidas preventivas en base a los informes de estadísticas internacionales, a tener sus propios datos.
No se si lo recuerdan, pero todos los años era “el año del ransomware”. Y me pasó que, viendo el día a día, no veía tanto ransomware, pero si mucho phishing… y otras cosas. Y eso fue porque, en general, lo que hacían muchos países (y en algunos casos siguen haciendolo) es hacer una planificación primaria sin datos propios: es decir que definen el riesgo que deben identificar y gestionar para poder definir una política pública sin usar datos duros o con un dato parcial; y esto cambia al tener este sistema de notificación de incidentes; lo veo como un gran paso de madurez.
Así, hemos recibido información de primera línea y pasado a más de 400 incidentes durante 2025, que representa el doble de lo que se había notificado por cinco años. Es resultado del cambio normativo, no es que no haya crecido el número de incidentes -que seguro creció, pero tampoco hay una base para contrastarlo-. Este resultado da cuenta de que el sector privado comprendió la importancia de cumplir con la obligación legal, más allá de las multas y las sanciones.
Hoy cuentan con datos propios…
Hoy Chile tiene la capacidad de definir cuáles son sus amenazas reales, no las que dicen los fabricantes, no la que está en la tendencia mundial, y eso es interesante porque permite orientar de mejor medida a la política pública. Y una de las lecciones aprendidas es que tenemos problemas a nivel de usuario y contraseña.
Durante el último trimestre promovimos los nueve principios básicos de la seguridad, que están inspirados en la experiencia internacional del Reino Unido, Bélgica y Australia, de volver a aquellas cosas que asumimos que están cubiertas y que, al ver los incidentes, advertís que no.
¿Y el tercer objetivo?
Y el tercero tenía que ver con un ejercicio normativo: identificar quiénes dentro de los 15 sectores en general (y en particular, en los cinco con que partimos) eran los denominados “operadores de importancia vital”; algo que en otras partes se llama “operadores de infraestructura crítica”.
Por ejemplo, en el sector financiero, no todos los operadores valen lo mismo, o tienen el mismo nivel de riesgo o de exposición. La Agencia ponderó esa circunstancia e identificó a 913 operadoras, de un universo de unos 1.700 operadores de importancia vital en cinco sectores, entre los que se incluye a la Administración del Estado. Y aunque hay reclamos judiciales son muy pocos los que impugnan la calificación.
Pero el proceso de calificación de operadores de importancia vital (que son los sujetos que están más expuestos a un incidente, o que por su nivel de importancia en un mercado específico los efectos de un incidente pueden llegar a ser sistémicos) se puede dar por satisfecho al menos en cinco sectores.
Y hoy, la Agencia está llevando a cabo el segundo proceso respecto de los otros sectores restantes, que son nueve.
La instalación de la Agencia durante 2025 y los tres hitos que propusimos implementar -conforme a las obligaciones que establecía la Ley (N. de R. sancionada en 2023)-, se dieron por cumplidos. Y en eso, quedé muy satisfecho personalmente porque creo que dimos un muy buen ejemplo respecto a cómo el Estado puede abordar un problema complejo. Ahora a la Agencia le toca ir consolidando cada una de estas áreas.
En relación a estos sectores de importancia estratégica, ¿cómo ve el escenario telco?
En general, tengo una apreciación positiva respecto al rol que ha jugado la industria telco tradicional. Recordemos que la industria telco es una industria bien compleja y diversa; donde tenemos a los grandes operadores de redes móviles y de redes fijas, a los operadores de fibra, de infraestructura y de antenas; pero que, en general, es una industria que está bastante consciente de su posición en la identificación y en la gestión del riesgo.
En Chile tenemos al menos cuatro grandes operadores de telecomunicaciones, que además son grandes prestadores de servicios multisectoriales, que prestan servicios en todas las industrias. Es muy difícil pensar en una industria telco como una que no esté interconectada con todas las demás industrias, que permiten el normal funcionamiento del país. En general, la industria telco es una industria que asumió el desafío de la ciberseguridad, mucho antes de que fuera una obligación legal, porque forma parte del core de su negocio.
En mi apreciación, la industria telco está avanzando a un nivel de madurez más alto que el que tenía, y que la ley orienta y ayuda a tomar mejores decisiones. Por ejemplo, una de las últimas instrucciones generales que me tocó firmar tenía que ver con las medidas que tenía que tomar una organización declarada operador de importancia vital, entre las que se encuentran las principales empresas de telecomunicaciones del país para mitigar los efectos de la eventual propagación de un incidente. Parece súper técnico y súper específico, pero es algo crucial y que, a partir de la normativa técnica de la agencia, este sector que es especialmente crítico (en la interconexión y en la capilaridad en el territorio), tiene instrucciones bien precisas respecto a lo que tiene que hacer. Pero la industria telco en Chile es una industria que adoptó el desafío de la ciberseguridad en múltiples dimensiones y va bastante bien encaminada.
¿Cómo advierte el escenario regional en la materia?
Creo que estamos en tiempos bien interesantes, porque varios países de la región llevan varios años trabajando en tener un marco regulatorio especializado, en contar con institucionalidad; y esos esfuerzos avanzan más o menos, según el nivel de discusión de cada país.
Es interesante ver la experiencia colombiana, ecuatoriana, brasilera y mexicana, ver lo que logró aprobar El Salvador o la discusión que tiene lugar en Guatemala; la ciberseguridad está empezando a tomar un espacio en la discusión legislativa de los países. En algunos casos ha llegado a término, en otros casos sigue en discusión, pero yo no tengo una opinión negativa respecto a esos procesos que no han logrado terminar, porque una de las cosas que hemos aprendido regionalmente es que estas son decisiones que los países tienen que tomar con cierto nivel de madurez. Esto no es política contingente, es esencial para asegurar el buen funcionamiento de nuestros países, de nuestra economía, de nuestra industria, para el ejercicio de los derechos de las personas y, por lo tanto, tiene que existir una especie de consenso social sobre la importancia de la ciberseguridad.
Ahí sí soy optimista, porque cada vez más hay más espacios de discusión política sobre ciberseguridad en los que se comprende esta necesidad de consenso. El año pasado tuve el privilegio de dar la charla inaugural en el Cybersecurity Summer BootCamp de INCIBE, (N. de R.: celebrado en León, España, y organizado junto a la OEA) Ahí decía que estamos en una posición en la que podemos ir avanzando en el consenso técnico, que ya lo tenemos.
… toca ir por el consenso político- social
Ahora toca avanzar en un consenso social, que esto no sea sólo un problema técnico o un problema de política pública, sino que a partir de ahí se construya el consenso político; que los gobiernos, sea cual sea su orientación política o su corte ideológico, comprendan que la ciberseguridad es un asunto que requiere de una intervención estatal importante.
Uno que ha venido viendo estas discusiones por muchos años, advierte que estamos en un punto súper interesante porque hay diversas iniciativas que buscan esta convergencia regional, que puede ser más formal, como lo que hace la OEA a través del programa de ciberseguridad transversal en la región.
Si uno mira, sólo los instrumentos de política o de estrategia de ciberseguridad, que rondan los 19 o 21 en la región, casi todos poseen el apoyo de la OEA; tenemos un piso común sobre el que trabajar.
La gracia de esos instrumentos es que son bien similares entre ellos, que comparten una estructura, una mirada estratégica respecto a cómo abordar esto desde la política pública; ahí tenemos un piso en común. También hay otras iniciativas, como la que está llevando a cabo Chile con la Unión Europea, del fortalecimiento de capacidades regionales en temas regulatorios con al menos 12 países de la región, y que ha permitido crear algo que en Chile y en América Latina no existía: un espacio de confianza.
Trabajar en marcos de confianza de alto nivel…
Allí están reunidos los directores o directoras de ciberseguridad de cada uno de los países, independiente de la posición en la que estén: como autoridad nacional como en el caso de Chile, de una autoridad federal como en el caso argentino y de Brasil, o de una autoridad federal en el caso de México, y así. Da lo mismo donde estén ubicados en la orgánica, pero son los máximos representantes políticos y técnicos de cada país. Y ese proyecto, que es un proyecto que iniciamos en el año 2025, que va a terminar su ejecución en el 2027, tiene como hito de salida un proyecto de ley marco-regional, que permitiría que los países tomen la decisión con la mayor cantidad de información posible.
No se impone un modelo. Hágalo como usted quiera, pero se debe tener al menos estos tres o cuatro componentes y, dentro de cada uno de esos componentes, hay opciones. Lo que te mencionaba en un principio, Chile optó por un modelo regulatorio innovador en el sentido de que mezcló facultades de gestión de incidentes con facultades de normar, de fiscalizar y sancionar, que no es la tendencia mundial, porque en nuestro ecosistema eso tiene mucho sentido.
Tenemos cultura de la superintendencia, que son el tipo de órganos que tenemos esa cultura. Tenemos 10 o 12 superintendencias, una relación de regulación fuerte con los mercados privados; y en otros países puede que no sea así.
Más allá de la discusión del modelo, de la forma, este proyecto apunta a generar condiciones de conocimiento comunes en la región, donde se ofrezca información para tomar decisiones, no que se imponga una decisión. Y creo que eso es muy interesante y que puede ser muy útil para esta convergencia que esperamos que suceda, que es importante de lograr y que creo que se están sentando sus bases.
En función de todas esas discusiones y de proyectos que estuvieron desarrollándose en este último tiempo en la región, apareció el debate sobre cuál es el límite de la ciberseguridad, si se quiere, democráticamente hablando. Por ejemplo, en materia de vigilancia ciudadana. ¿Qué opinión tiene de esos debates?
Yo creo que es un debate que parte de ciertas premisas que pueden ser erróneas o que pueden corresponder a cierta falta de información. Uno puede hacer gestión de ciberseguridad, de incidentes o gestión preventiva, sin meterse con datos personales, sin meterse con aspectos de privacidad. Eso es técnicamente viable.
De hecho, lo dice la ley chilena cuando una organización víctima, pública o privada, tiene un incidente de ciberseguridad y comparte la información con la Agencia, no necesita enviar los datos personales. De hecho, se declaró expresamente en la ley que el dato IP, el número de dirección IP, no es un dato personal para estos efectos, para facilitar ese proceso de intercambio de información. Hoy la gestión de la ciberseguridad es un componente muy importante, es técnico y no requiere del contenido. Vi algunos de esos debates en diversos foros y me parece que hay un error conceptual importante respecto al alcance de lo que un buen modelo de gobernanza de la ciberseguridad debería cubrir.
Cuando hablamos de medidas que pueden ser intromisivas en la vida privada de las personas, en el caso de la Agencia de Chile y en el mundo en general, no se tiene esa capacidad. Una buena ciberseguridad depende más de infraestructura, más de acciones y conductas de las personas para que no caigan en el phishing, que no compartan su contraseña, y que son medidas que van precisamente en el sentido opuesto, apuntan a elevar el estándar de protección de los derechos de las personas y a fortalecer el ejercicio de sus derechos.
Un entorno ciberseguro es un entorno donde las personas pueden realizar su vida cotidiana de la mejor manera posible. Por lo tanto, creo que en esos debates hay falta de información y que espero que con las distintas iniciativas existentes se puedan ir superando para avanzar hacia marcos regulatorios coherentes, integrados regionalmente, que le den una mirada técnica al asunto. Y creo que tenemos un interesante desafío ahí.
Tras crear la agencia, volvió a su rol en la academia, a seguir formando e investigando. Inclusive, siempre se plantea la necesidad de contar con perfiles técnicos especializados en ciberseguridad como una de las grandes falencias de la industria. ¿Qué aportes ve que se esté haciendo al desarrollo de todo este entramado, que es técnico, que es regulatorio?
Es bien interesante lo que pasa, porque llevo muchos años en esto. Es muy probable sea uno de los primeros abogados de Chile que trabaja temas de ciberseguridad. Antes era seguridad de la información, mucho más vinculado con lo informático. Hoy puedo decir que hay una comunidad bien grande, en términos relativos, de profesionales que no son de las áreas tecnológicas, que no son de las ingenierías, que están involucrados en esto. Y eso es bien bueno verlo.
Me siento muy orgulloso, porque muchas exalumnas y exalumnos están instalados en lugares muy importantes, en gestión de políticas públicas, en gestión legal, en gestión de responsabilidad de equipos de respuesta incidentes. Y eso implica que el ecosistema, desde el punto de vista del capital humano, creció.
Eso no existía hace 10 años atrás, hemos visto ese crecimiento. Y lo que estoy viendo en la academia tiene que ver con que hay cruces súper interesantes. Por ejemplo, cómo la regulación de ciberseguridad que, si bien es pionera en su disciplina, tiene que interactuar con otras regulaciones que pueden ser bien anacrónicas.
En los últimos días he estado haciendo levantamientos doctrinarios sobre la adopción de medidas de seguridad digital en los procesos de tratamiento de datos personales, y esto que antes era sólo un principio en la Ley de Datos, hoy es un principio general en la Ley de Ciberseguridad, y si eres, en el caso del derecho chileno, un organismo regulado por la Ley Marco de Ciberseguridad, tus obligaciones de seguridad tienen dos fuentes, la de datos y la de ciberseguridad, o en el caso europeo, el Reglamento general de protección de datos personales, que tiene medidas de seguridad como parte de las obligaciones, pero también el marco regulatorio NIS2.
Por lo tanto, una de las cosas que veo desde la academia es que, desde el punto de vista regulatorio, esto se complejizó. Ya no se puede hablar sólo de datos o sólo de ciber, hay que empezar a mezclarlo con otras regulaciones.
También hay varias iniciativas regionales orientadas al desarrollo de capacidades, y yo creo que ahí tenemos un espacio común para trabajar con otras universidades, con otros centros de pensamiento, para que esa brecha de profesionales, especialistas y técnicos se supere, pero también para ahondar en la dimensión ciudadana. Tenemos que lograr que la ciberseguridad se transforme en un tema ciudadano, que las personas comprendan la importancia de cuidar su usuario y contraseña, de no compartirla; porque una parte importante de los incidentes se origina ahí. Y ahí tenemos un desafío también regional bien interesante.
