Ley 21.663: por qué tu empresa debería tener antivirus contratado ayer, no mañana
Si todavía piensas que la ciberseguridad es “para las empresas grandes” o “para más adelante”, esta noticia te interesa: la Ley Marco de Ciberseguridad (Ley N° 21.663) ya no es un proyecto, es una ley en plena fiscalización, con multas millonarias, una agencia estatal dedicada exclusivamente a perseguir el incumplimiento, y un radar que se amplía mes a mes.
¿Qué es la Ley 21.663 y por qué todo Chile habla de ella?
Promulgada en abril de 2024, la Ley 21.663 creó la Agencia Nacional de Ciberseguridad (ANCI), el primer organismo chileno con facultades para dictar normas técnicas obligatorias, fiscalizar empresas y aplicar sanciones en materia de ciberseguridad. Sus artículos clave entraron en vigencia el 1 de marzo de 2025, y desde entonces el reloj no se ha detenido:
- 17 de diciembre de 2025: la ANCI publicó la nómina definitiva de 915 Operadores de Importancia Vital (OIV) —eléctricas, telecomunicaciones, banca, salud, infraestructura digital y servicios TI—, reducida desde una lista preliminar de 1.712 instituciones.
- Abril de 2026: se publicó la nómina preliminar de la segunda etapa, que incorpora transporte, combustibles, seguridad social, servicios postales y farmacéuticas.
- Hoy: la fiscalización activa ya es una realidad para los primeros calificados, con plazos de acreditación que vencen durante 2026.
En otras palabras: la lista de empresas directamente obligadas sigue creciendo, y si tu empresa provee servicios a alguna de estas organizaciones, es muy probable que ya estés dentro del radar sin saberlo.
¿A quién obliga realmente la ley?
Aquí es importante ser precisos, porque circula bastante desinformación: la Ley 21.663 no dice literalmente “toda empresa debe comprar un antivirus”. Lo que hace es crear dos categorías de organizaciones directamente reguladas:
- Prestadores de Servicios Esenciales (PSE): energía, telecomunicaciones, salud, transporte, agua, finanzas y otros rubros críticos.
- Operadores de Importancia Vital (OIV): el subconjunto más crítico dentro de esos sectores, con obligaciones reforzadas —SGSI certificado, delegado de ciberseguridad, reporte de incidentes en 3 horas— y multas que llegan hasta 40.000 UTM (cerca de USD 3 millones).
Pero aquí viene el punto que cambia todo para el resto de las empresas: la ANCI exige explícitamente controles técnicos mínimos —MFA, gestión de parches, respaldos y EDR/antivirus— como parte del estándar de cumplimiento, y ese estándar se está transmitiendo hacia abajo en toda la cadena de proveedores.
Por qué esto te afecta aunque no seas un OIV
- Presión contractual en cascada. Si tus clientes son bancos, eléctricas, empresas de salud o telecomunicaciones (todas reguladas), ellos están obligados a exigir estándares mínimos de seguridad a sus proveedores. Si tu empresa no tiene antivirus/EDR, respaldo y gestión básica de vulnerabilidades, puedes quedar fuera de licitaciones y contratos sin siquiera enterarte del motivo real.
- La segunda etapa se está ampliando ahora mismo. Sectores como transporte, farmacéutica y seguridad social recién están siendo evaluados. Si tu empresa opera en un rubro adyacente, hoy puedes no estar en la lista y mañana sí.
- La Ley 21.719 de Protección de Datos entra en vigor en diciembre de 2026. Comparte exigencias técnicas con la 21.663 (control de accesos, cifrado, gestión de vulnerabilidades). Quien no tenga hoy protección básica llegará atrasado a dos frentes regulatorios, no a uno.
- La Ley 21.459 de Delitos Informáticos ya sanciona penalmente el sabotaje, el ransomware y el acceso ilícito a sistemas. Sin antivirus/EDR, la exposición no es solo administrativa: es también evidencia (o falta de ella) ante una eventual causa penal o investigación de la ANCI.
- El costo de un incidente no espera fiscalización. Un ransomware no distingue entre PSE, OIV o pyme. La diferencia es que hoy, además de perder datos y operatividad, una empresa sin controles mínimos también puede perder contratos, reputación y quedar mal parada frente a un regulador cada vez más activo.
El costo de no actuar
Las multas para las entidades directamente reguladas ya son una realidad operativa, no una amenaza en el papel: hasta 40.000 UTM para infracciones gravísimas de OIV, con procesos de fiscalización que ya están en marcha durante 2026. Para el resto de las empresas, el costo no es una multa de la ANCI, pero sí puede ser uno o varios de estos:
- Pérdida de contratos con clientes regulados que exigen estándares de seguridad a sus proveedores.
- Interrupción operativa y pérdida de datos ante un ataque sin defensas mínimas.
- Costos de recuperación y notificación muy superiores al costo de haber prevenido.
- Quedar fuera de la conversación cuando la Ley de Protección de Datos active su propio régimen sancionatorio en diciembre de 2026.
Qué puedes hacer hoy mismo
No necesitas convertirte en un OIV para actuar como si el estándar ya te aplicara. Los pasos más urgentes son:
- Instalar y administrar antivirus/EDR en todos los equipos de la organización, con monitoreo y actualización continua.
- Activar autenticación multifactor (MFA) en accesos críticos.
- Mantener respaldos periódicos y probados de la información esencial.
- Definir un responsable interno de ciberseguridad, aunque sea una función compartida o tercerizada.
- Evaluar si tu empresa podría quedar calificada como PSE u OIV en la segunda etapa que la ANCI está procesando actualmente.
La Ley 21.663 marcó un antes y un después: pasamos de una ciberseguridad “recomendada” a una ciberseguridad fiscalizada, con una autoridad activa y plazos que ya están corriendo. Cada mes que pasa sin controles básicos como el antivirus es un mes de exposición innecesaria, tanto frente a un ciberataque real como frente a un cliente o regulador que empieza a preguntar por tus controles de seguridad.
¿Tu empresa ya tiene antivirus contratado y gestionado profesionalmente? Si la respuesta es no, o no estás seguro, es el momento de resolverlo — no cuando llegue la exigencia de un cliente, un incidente o una fiscalización.
