Saltar al contenido principal
PrivacidadWeb
Guía14 min de lectura·

Ciberseguridad para Pymes Chilenas: La Guía 2026

Siete de cada diez pymes en Chile no tienen medidas de ciberseguridad adecuadas. Esta guía 2026 explica los ataques más comunes, los costos reales, los 7 controles mínimos y el marco legal aplicable (Ley 21.663 + Ley 21.719).

P

PrivacidadWeb

PrivacidadWeb.cl

Siete de cada diez pymes en Chile no cuentan con medidas de ciberseguridad adecuadas. La cifra la entregó Chiletec en octubre de 2024, durante el Mes Nacional de la Ciberseguridad, y volvió a circular con fuerza en mayo de 2026 cuando La Tercera la usó para abrir un reportaje sobre el estado del sector. La cifra es vieja porque el problema es viejo. Lo nuevo es el contexto.

Entre 2024 y 2026 cambió todo el marco regulatorio chileno. La Ley 21.663 (Ley Marco de Ciberseguridad) entró en vigencia el 1 de enero de 2025 y creó una autoridad nacional con facultades sancionatorias. La Ley 21.719 (Protección de Datos Personales) entrará en vigencia plena el 1 de diciembre de 2026 con multas de hasta 20.000 UTM por brechas de datos. La "Ley Karin" (Ley 21.643), vigente desde el 1 de agosto de 2024, agrega protocolos obligatorios que dependen de buena gestión digital. Y mientras tanto, los ataques siguen subiendo: Chile pasó al cuarto lugar de Latinoamérica en incidentes de ciberseguridad, detrás de Brasil, México y Argentina.

Esta guía es un mapa práctico para una pyme chilena que quiere entender en qué se está metiendo. No es alarmismo. Es información verificada con fuentes primarias —Chiletec, Subtel, IBM, Verizon DBIR, ANCI y BCN— para que puedas tomar decisiones informadas sobre dónde invertir y por dónde empezar.

TL;DR — Lo que tienes que saber en 60 segundos

  • El problema: 70% de pymes chilenas sin medidas adecuadas (Chiletec, octubre 2024). Crecimiento de ciberataques en sectores críticos: +30% en el primer semestre de 2024.
  • El marco legal: dos leyes nuevas. La Ley 21.663 (ciberseguridad) NO aplica universalmente — solo a Servicios Esenciales y Operadores de Importancia Vital designados por la ANCI. La Ley 21.719 (datos personales) sí aplica a toda pyme que trate datos de personas, desde el 1-DIC-2026.
  • Los costos reales: una brecha promedio en Latinoamérica cuesta USD 2,51 millones según IBM 2025. El pago mediano de rescate por ransomware: USD 60.000 (Chainalysis 2025).
  • Lo mínimo no negociable: MFA en todos los servicios críticos, backups 3-2-1, capacitación al equipo, plan de respuesta escrito antes de que ocurra el incidente.
  • Cuándo actuar: ahora. Si tu pyme trata datos de clientes o empleados (es decir, todas), tienes 7 meses para llegar al 1-DIC-2026 con el Registro de Tratamiento, la Política de Privacidad y el Protocolo de Vulneraciones listos.

El estado actual de las pymes chilenas

La declaración de Chiletec del 70% es la cifra más citada, pero el cuadro completo es más grave. Datos de la Subsecretaría de Telecomunicaciones (Subtel) en su Encuesta de Acceso y Uso de Internet 2024 muestran que el 96,5% de los hogares chilenos tienen acceso a internet (fija o móvil), y la dependencia de conexiones móviles solas subió del 21,5% al 26,9% entre 2023 y 2024. La superficie de ataque digital del país es grande y va creciendo.

Para las pymes, el déficit de talento amplifica el problema. Chiletec estima un déficit superior a 25.000 profesionales de ciberseguridad en Chile, con proyecciones de hasta 76.000 al 2035. Eso significa que la mayoría de las pymes no tiene a nadie internamente que se haga cargo del tema, y los servicios externos especializados son caros y escasos.

El resultado: una empresa típica de 5 a 50 empleados en Chile suele estar en uno de estos tres niveles de madurez:

  • Nivel 0 — Sin medidas: antivirus básico de fábrica, contraseñas compartidas, backups manuales o inexistentes, ningún protocolo escrito.
  • Nivel 1 — Medidas incidentales: algunas cuentas con doble factor, backups en servicios cloud sin verificar, capacitación informal por iniciativa de algún empleado.
  • Nivel 2 — Madurez básica: MFA en todo lo importante, backups verificados, capacitación regular, un protocolo de incidentes (aunque no probado).

Si tu pyme está en Nivel 0 o 1, esta guía te muestra el camino al Nivel 2. El Nivel 3 (auditorías, equipos dedicados, certificaciones) es para empresas con más recursos, pero el 80% del riesgo se mitiga al pasar de Nivel 0 a Nivel 2.

Los 5 ataques más comunes a pymes chilenas

Las pymes chilenas no son víctimas de ataques exóticos. Son víctimas de los mismos cinco patrones que dominan el panorama global, ajustados al contexto local.

1. Ransomware

El secuestro de datos sigue siendo el ataque más rentable para los criminales. Según el Verizon Data Breach Investigations Report 2025, el ransomware estuvo presente en el 44% de las brechas confirmadas en el último año, un alza del 37% respecto al año anterior. El pago mediano de rescate documentado por Verizon es de USD 115.000; según Chainalysis, el mediano global de 2025 fue USD 60.000, con un alza del 368% año contra año.

En Chile el caso emblemático sigue siendo el ataque a BancoEstado del 5 de septiembre de 2020, donde la variante Sodinokibi (REvil) ingresó por un documento Office malicioso abierto por un funcionario. La investigación judicial cerró en junio de 2021 con la fiscalía decidiendo no perseverar. En octubre de 2023 fue el turno de Grupo GTD: un ataque atribuido por reportes técnicos al ransomware Rorschach afectó alrededor de 3.500 organizaciones, incluyendo SII, Fonasa y Correos de Chile. La atribución de la familia no fue confirmada oficialmente por el CSIRT.

La lección: no necesitas ser un banco para ser blanco. Cualquier pyme con datos operacionales críticos —sistema contable, base de clientes, archivos de proyectos— es candidata a ransomware.

2. Phishing

El correo malicioso que suplanta a una entidad legítima sigue siendo el vector más exitoso de entrada inicial. Las cifras varían según el estudio: Verizon DBIR 2025 lo ubica en 16% como vector inicial de brecha; Microsoft Digital Defense Report 2025 lo eleva al 28% combinando phishing e ingeniería social; Mandiant M-Trends 2025 lo posiciona en 16% en la región Américas. Lo que tienes que saber: phishing es siempre uno de los tres vectores más comunes, pero la cifra del "80%" que circula en blogs no se verifica con fuentes primarias.

En Chile, el CSIRT publica alertas regulares sobre campañas de phishing que suplantan a organismos públicos. Casos documentados recientes:

  • Suplantación de BancoEstado (alertas FPH25-01044 y 8FPH23-00748-01).
  • Suplantación del Servicio de Impuestos Internos con malware adjunto (alertas 8FPH23-00702-01 y CMV24-00453).

Los blancos preferidos son funcionarios con acceso a sistemas financieros o datos de clientes. El gancho típico: "actualización de claves", "devolución de impuestos", "pago pendiente".

3. Suplantación del CEO (BEC, Business Email Compromise)

Una variante de phishing que crece muy rápido en 2024-2025. El atacante compromete o suplanta el correo del director ejecutivo y solicita una transferencia urgente a "un proveedor nuevo". Según el reporte trimestral del APWG (Anti-Phishing Working Group) Q2 2025, el monto promedio solicitado en transferencias BEC fue de USD 83.099. En Chile no hay registro público consolidado, pero firmas de seguridad reportan casos en pymes que perdieron entre $5 y $40 millones de pesos por una sola transferencia engañosa.

4. Robo de credenciales

Verizon DBIR 2025 ubica a las credenciales robadas como el vector de ataque más común con 22% de las brechas. Los atacantes obtienen contraseñas vía phishing, malware en computadores personales (especialmente cuando el equipo trabaja desde casa) o brechas en otros servicios. Una vez con la credencial, prueban acceso en correo corporativo, sistemas contables, plataformas en la nube y bancos.

El error más común: usar la misma contraseña en varios servicios. Si Netflix sufre una brecha y un empleado usaba la misma clave para el correo corporativo, el atacante ya está dentro.

5. Ataques web (sitios y formularios)

Inyección de código en formularios, exploits de plugins desactualizados (especialmente WordPress) y skimming de páginas de pago. Para las pymes con e-commerce, la regla es simple: plugins desactualizados son la puerta abierta más común. El caso emblemático global fue British Airways en 2018, donde código malicioso inyectado capturó datos de tarjeta de pago de 430.000 clientes y resultó en una multa de £20 millones por parte del ICO.

Costos reales de un ciberataque

La multa regulatoria es solo una parte del costo. Los estudios primarios separan el impacto en cinco categorías:

1. Costo operacional. El tiempo de inactividad mientras restauras sistemas. En el caso típico de ransomware, una pyme tarda entre 5 y 21 días en volver a operar al 100%, según Chainalysis 2025. Si tu negocio factura $500.000 al día, son $2,5 a $10,5 millones en ventas perdidas, sin contar horas extra del equipo y consultoría externa.

2. Costo de recuperación técnica. Forensia, restauración de servidores, hardware nuevo si fue necesario, licencias de software de seguridad. Para una pyme típica: $3 a $15 millones de pesos por evento, según testimonios recogidos por Chiletec.

3. Costo de rescate (si pagas). El pago mediano de ransomware en 2025 fue de USD 60.000 (Chainalysis), aunque Verizon DBIR registra USD 115.000. No recomendamos pagar: no garantiza la recuperación, financia a los criminales y muchas familias de ransomware vuelven a atacar a la misma víctima.

4. Costo reputacional y pérdida de clientes. Es el más difícil de cuantificar pero el más persistente. Una pyme que sufrió una brecha de datos suele perder entre 5% y 15% de sus clientes activos en los seis meses siguientes, dependiendo del rubro. Para empresas B2B con contratos de servicio, puede ser definitivo.

5. Costo regulatorio. Aquí es donde entra la Ley 21.719: una vulneración de seguridad que comprometa datos personales de clientes puede ser tipificada como infracción gravísima (Art. 34 quáter), con multa de hasta 20.000 UTM (~$1.412 millones a UTM mayo 2026). Si la empresa es reincidente y no califica como Pyme, la sanción puede llegar al 2% o 4% de los ingresos anuales por ventas y servicios, aplicándose la cifra más gravosa.

Si quieres una estimación cuantitativa para tu caso, prueba la calculadora de multas de Ley 21.719. Ajusta tamaño de empresa, tipo de datos comprometidos y conducta posterior; el resultado te da el rango UTM/CLP que enfrentarías.

Promedio global y regional: según el IBM Cost of a Data Breach Report 2025, el costo promedio global de una brecha es USD 4,44 millones (caída del 9% YoY), mientras que en Latinoamérica el promedio bajó a USD 2,51 millones. Estas cifras incluyen TODOS los costos (operacional, recuperación, regulatorio y reputacional). Son referencias de empresas medianas y grandes; para pymes el orden de magnitud típico está entre $30 y $300 millones de pesos por evento.

Los 7 controles mínimos para una pyme

Si tu presupuesto es limitado, estos siete controles cubren más del 80% del riesgo realista. Están ordenados por costo-beneficio, no por sofisticación.

1. Doble factor de autenticación (MFA / 2FA)

Cuesta: entre $0 y $3 USD por usuario al mes. Mitiga: robo de credenciales, ataques BEC, accesos no autorizados.

MFA significa que para iniciar sesión necesitas la contraseña más un código generado por una app (Google Authenticator, Authy) o enviado por SMS. Si un atacante obtiene la contraseña de un empleado, no puede entrar sin el segundo factor.

Habilita MFA obligatoriamente en: correo corporativo (Gmail, Outlook 365), sistema contable, banca empresa, plataformas cloud (Google Workspace, Microsoft 365, AWS), CRM y cualquier herramienta con datos de clientes.

Excepción que importa: evita SMS como segundo factor cuando sea posible. El SIM-swap es un vector real en Chile. Prefiere apps autenticadoras o llaves de seguridad físicas (YubiKey).

2. Backups bajo regla 3-2-1

Cuesta: $5 a $50 USD/mes según volumen. Mitiga: ransomware, fallas de hardware, errores humanos.

La regla 3-2-1 es el estándar del NIST: 3 copias de tus datos, en 2 medios distintos, con 1 copia offsite (en otra ubicación). Una traducción práctica para pyme: copia local en un disco externo + copia automática en cloud (Google Drive, OneDrive, Dropbox Business) + copia mensual en un disco externo que vive físicamente en otra parte (ej. casa del dueño).

Lo crítico: prueba que las restauras funcionen. Una pyme con tres copias que nunca verificó si se pueden restaurar es una pyme sin backup.

3. Capacitación al equipo (especialmente phishing)

Cuesta: $0 a $200 USD por persona/año. Mitiga: phishing, BEC, ingeniería social.

La inversión más rentable. Un programa básico:

  • Inducción de 30 minutos a todo nuevo empleado: cómo identificar phishing, qué hacer si reciben un correo sospechoso, a quién avisar.
  • Simulacros mensuales de phishing controlado (servicios como KnowBe4 o Hoxhunt; alternativa gratuita: enviar tú mismo un correo falso bien diseñado y ver quién hace clic).
  • Protocolo de "verifica antes de pagar": ninguna transferencia de monto importante se ejecuta basada solo en un correo, aunque parezca venir del director. Llamada telefónica o videollamada de verificación obligatoria.

4. Antivirus / EDR moderno con actualización automática

Cuesta: $30 a $80 USD por equipo/año. Mitiga: malware, ransomware, ataques drive-by.

El antivirus tradicional ya no es suficiente. Hoy lo recomendable es EDR (Endpoint Detection and Response): software que no solo bloquea archivos conocidos, sino que detecta comportamiento anómalo (procesos cifrando archivos masivamente, conexiones a IPs sospechosas, escalamiento de privilegios).

Opciones aceptables para pymes: Bitdefender GravityZone Business, ESET Protect Entry, Microsoft Defender for Business (incluido en Microsoft 365 Business Premium). Lo crítico: actualización automática activada y monitoreo centralizado desde una consola única.

5. Política de uso de equipos personales (BYOD)

Cuesta: $0 (es una política escrita). Mitiga: filtraciones por equipos personales infectados, accesos no autorizados.

Si tu equipo usa sus celulares y notebooks personales para trabajar, escribe una política simple de 1 página que cubra:

  • Datos corporativos solo en aplicaciones aprobadas (no se descargan correos a "Mis Documentos").
  • Bloqueo de pantalla obligatorio con clave o biometría.
  • Reporte inmediato si se pierde o roba el equipo.
  • Si el empleado sale de la empresa, eliminación de cuentas corporativas (revoca accesos en cuanto firma renuncia).

6. Firewall básico y segmentación de red

Cuesta: $0 si usas el firewall del router (configurado bien); $200 a $500 USD/año por dispositivo si usas firewall comercial. Mitiga: ataques laterales, accesos remotos no autorizados.

La mayoría de las pymes usa un router del proveedor de internet sin configurar reglas de firewall. Lo mínimo:

  • Cambiar la clave de administración del router (no dejar la que viene de fábrica).
  • Deshabilitar acceso remoto al panel del router desde internet.
  • Crear una red Wi-Fi separada para invitados, distinta de la red de los equipos corporativos. Eso significa que los visitantes (clientes en la sala de espera, técnicos externos) no acceden a la red donde está tu sistema contable.

7. Plan de respuesta ante incidentes ESCRITO

Cuesta: 1 día de trabajo de un responsable. Mitiga: todo lo que sale mal después de un incidente.

Es el control más subestimado. La diferencia entre una pyme que sale rápido de una brecha y una que se hunde no es la sofisticación técnica: es tener un plan escrito antes de que ocurra el incidente. Un plan básico cubre:

  • Quién hace qué durante el incidente (rol técnico, rol comunicación, rol legal).
  • A quién contactar primero (CSIRT, abogado, asegurador, mutual TI si tienes).
  • Cómo aislar los sistemas afectados.
  • Qué documentar (línea de tiempo, decisiones tomadas, evidencia).
  • Cuándo y a quién notificar (autoridad, clientes afectados, prensa).

Si todavía no tienes uno, la herramienta gratuita Protocolo de Vulneraciones (Brechas) genera tu plan personalizado en menos de 10 minutos. Tener el protocolo escrito antes de un incidente también es factor atenuante ante la APDP (Art. 36 N°5 Ley 21.719).

Marco legal chileno aplicable

Una de las confusiones más frecuentes en blogs y redes sociales es mezclar las dos leyes nuevas que llegaron al país. Son distintas, aplican a sujetos distintos y tienen autoridades distintas.

Ley 21.663 — Marco de Ciberseguridad e Infraestructura Crítica

Publicada: 8 de abril de 2024 (Diario Oficial). Vigencia: 1 de enero de 2025 (general); 1 de marzo de 2025 (régimen sancionatorio). Autoridad: Agencia Nacional de Ciberseguridad (ANCI).

Quiénes están obligados: NO toda pyme. La ley aplica solo a:

  • Servicios Esenciales (SE): sectores eléctrico, combustibles, agua potable, telecomunicaciones, infraestructura digital, financiero, salud, transporte y otros listados en el Art. 4°.
  • Operadores de Importancia Vital (OIV): subconjunto de servicios esenciales, designados expresamente por la ANCI por resolución exenta.

La primera nómina de OIV se publicó en el Diario Oficial el 17 de diciembre de 2025 (Resolución Exenta N° 87 ANCI) e incluye 915 instituciones: 147 eléctricas, 29 telecom, 413 servicios digitales/TI, 34 financieras, 114 prestadoras de salud, 20 empresas públicas y 158 organismos del Estado. Una segunda nómina preliminar de 372 instituciones está en consulta pública desde el 24 de abril de 2026 (sectores combustibles, agua, transporte, postales, farmacéutico).

Multas (régimen aplicable solo a SE/OIV):

  • Infracciones leves: hasta 5.000 UTM (SE) o 10.000 UTM (OIV).
  • Infracciones graves: hasta 10.000 UTM (SE) o 20.000 UTM (OIV).
  • Infracciones gravísimas: hasta 20.000 UTM (SE) o 40.000 UTM (OIV).

Si tu pyme NO presta un servicio esencial ni fue designada OIV, la Ley 21.663 no te obliga. Pero la ANCI emite también recomendaciones generales (Instrucciones Generales 2/3/4 publicadas en diciembre 2025) que son referencia útil para cualquier organización.

Ley 21.719 — Protección de Datos Personales

Publicada: 13 de diciembre de 2024. Vigencia plena: 1 de diciembre de 2026. Autoridad: Agencia de Protección de Datos Personales (APDP, en formación).

Quiénes están obligados: toda persona natural o jurídica que trate datos personales. Aplica universalmente a pymes desde el 1 de diciembre de 2026.

Lo que cambia para tu pyme:

  • Necesitas Política de Privacidad publicada y completa (Art. 14 ter).
  • Necesitas Registro de Actividades de Tratamiento (RAT) documentado (Art. 14 quinquies).
  • Tienes 30 días corridos para responder solicitudes de derechos del titular (acceso, rectificación, supresión, oposición, portabilidad, bloqueo — Art. 11).
  • Debes notificar vulneraciones de seguridad a la APDP "sin dilaciones indebidas" (Art. 14 sexies). Importante: la ley chilena NO establece el plazo de 72 horas que circula en blogs comparativos con el RGPD europeo.
  • Las multas llegan hasta 20.000 UTM (~$1.412M a UTM mayo 2026) por infracciones gravísimas, con régimen escalonado para pymes durante el primer año.

Régimen especial Pyme. El Art. sexto transitorio establece que durante los primeros 12 meses (1-DIC-2026 a 1-DIC-2027), la APDP podrá aplicar amonestación escrita en lugar de multa a empresas calificadas como "de menor tamaño" según la Ley 20.416 (microempresa, pequeña y mediana hasta 100.000 UF en ventas anuales).

Las dos leyes juntas: cuál te aplica

| Caso | Ley 21.663 (ANCI) | Ley 21.719 (APDP) | |---|---|---| | Pyme no SE/OIV | NO aplica | APLICA desde 1-DIC-2026 | | Pyme SE designada (ej. clínica chica) | APLICA — régimen base | APLICA desde 1-DIC-2026 | | Pyme OIV designada (raro) | APLICA — régimen reforzado | APLICA desde 1-DIC-2026 | | Pyme sin datos personales (¿existe?) | NO aplica | NO aplica |

En la práctica, la mayoría de las pymes chilenas solo tienen que preocuparse de la Ley 21.719. Es la que les afecta universalmente. La Ley 21.663 es relevante si pertenecen a un sector esencial o reciben designación expresa de OIV.

Si te atacan: las primeras 24 y las primeras 72 horas

Cuando el incidente ocurre, los errores más caros se cometen en las primeras horas. Esta es la secuencia que minimiza el daño:

Hora 0 a 1 — Detección y contención

  • No apagues los equipos. En ransomware activo, apagar puede destruir evidencia. Aísla de la red en su lugar (desconecta el cable, desactiva Wi-Fi).
  • Identifica el alcance: ¿qué computadores están afectados? ¿qué servicios cloud? ¿qué cuentas?
  • Activa el plan de respuesta si lo tienes. Si no, designa de inmediato a un responsable.

Hora 1 a 4 — Documentación y triaje

  • Documenta TODO en una bitácora. Hora exacta, qué viste, qué hiciste. Esto será crítico para el reporte a la APDP y para la investigación interna.
  • Cambia las contraseñas críticas desde un equipo limpio (no desde uno potencialmente comprometido).
  • Contacta tu seguro cibernético si lo tienes, o tu abogado especializado.
  • No pagues rescate sin asesoría experta. Reporta primero, decide después.

Hora 4 a 24 — Forensia y notificación interna

  • Contrata forensia si el incidente es grave (consultoras especializadas o el CSIRT del MININT en casos extremos).
  • Comunica internamente a tu equipo lo necesario para contener, sin filtrar antes de tener evaluación clara.
  • Identifica qué datos se vieron afectados. Esto determina si activas el deber de notificar a la APDP (Art. 14 sexies).

Hora 24 a 72 — Notificación regulatoria

A diferencia del RGPD europeo (que sí establece 72 horas), la Ley 21.719 chilena exige notificar "por los medios más expeditos posibles y sin dilaciones indebidas" una vez confirmada la vulneración significativa. La práctica razonable: notificar dentro de los primeros días, una vez evaluado el alcance básico.

Si la vulneración compromete datos sensibles, datos de niños/niñas menores de 14 años o datos económicos/financieros/bancarios/comerciales, también debes notificar a los titulares afectados (Art. 14 sexies inc. 3°).

Para generar la notificación formal con el contenido mínimo del Art. 14 sexies, usa la herramienta gratuita Notificación de Brecha a la APDP. Genera el documento en menos de 10 minutos con todos los campos requeridos por la ley.

Después de las 72 horas — Recuperación y mejora

  • Restaura desde backups verificados.
  • Comunica con clientes afectados si corresponde (lenguaje claro, qué pasó, qué pueden hacer).
  • Documenta la causa raíz y aplica medidas correctivas que cierren la puerta de entrada.
  • Actualiza tu plan de respuesta con lo aprendido.

Próximos pasos concretos

Si llegaste hasta acá, lo más útil que puedes hacer en las próximas dos semanas es esto:

  1. Diagnóstico gratuito (10 min): evalúa en qué estado está tu empresa frente a la Ley 21.719 con el Diagnóstico de Cumplimiento. Te entrega un score y un plan de acción priorizado.
  2. Protocolo de Vulneraciones (15 min): genera tu plan escrito de respuesta ante incidentes con esta herramienta gratuita. Tener uno previo es atenuante ante la APDP.
  3. Política de Privacidad (20 min): si todavía no tienes una pública en tu sitio, genérala aquí. Es obligación del Art. 14 ter Ley 21.719.
  4. Estima tu exposición (5 min): calcula el rango de multa que enfrentarías ante una vulneración con la Calculadora de Multas. Útil para presentar al equipo directivo.

El 1 de diciembre de 2026 está más cerca de lo que parece. Las pymes que lleguen con los cuatro elementos arriba listos van a estar en el percentil más alto de cumplimiento del país.

Preguntas frecuentes

¿La Ley 21.663 obliga a mi pyme a tener ciberseguridad?

Solo si tu empresa presta un Servicio Esencial (sectores eléctrico, combustibles, agua, telecom, infra digital, financiero, salud, transporte u otros del Art. 4°) o fue designada Operador de Importancia Vital (OIV) por la ANCI mediante resolución exenta. La primera nómina OIV publicada el 17 de diciembre de 2025 incluye 915 instituciones. Si tu pyme no figura ahí ni en la nómina preliminar de la segunda etapa (372 instituciones, en consulta pública desde abril 2026), la Ley 21.663 no te obliga. Sin perjuicio de eso, la Ley 21.719 sí te aplica universalmente desde el 1 de diciembre de 2026 si tratas datos de personas.

¿Es cierto que el 80% de los ciberataques empiezan con phishing?

No. Esa cifra circula en blogs y notas comerciales pero no se sostiene con fuentes primarias. Las cifras verificables son: Verizon DBIR 2025 = 16% (phishing como vector inicial); Microsoft Digital Defense Report 2025 = 28% (phishing más ingeniería social); Mandiant M-Trends 2025 = 16% (Américas); IBM 2025 = 16% incidentes por phishing. La cifra correcta para usar es "entre 16% y 28% según el estudio". Phishing es siempre uno de los tres vectores más comunes pero no representa el 80%.

¿Cuánto cuesta una brecha de datos en Chile?

No existe estudio público con cifra específica para pymes chilenas. Las referencias verificables son globales y regionales: el IBM Cost of a Data Breach Report 2025 reporta un costo promedio global de USD 4,44 millones y un promedio para Latinoamérica de USD 2,51 millones. Estas cifras incluyen costo operacional, recuperación técnica, costo regulatorio y reputacional. Para pymes chilenas el orden de magnitud típico está entre $30 y $300 millones de pesos por evento, dependiendo del tamaño, los datos comprometidos y la respuesta posterior.

¿Tengo que notificar una brecha en 72 horas como en Europa?

No. La Ley 21.719 (Art. 14 sexies) exige notificar a la APDP "por los medios más expeditos posibles y sin dilaciones indebidas". El plazo numérico de 72 horas es del RGPD europeo (Art. 33) y se traslada incorrectamente en muchos blogs comparativos. En Chile lo que se exige es razonabilidad: notificar tan pronto se confirme una vulneración significativa, una vez evaluado el alcance básico. La omisión deliberada de la comunicación es infracción gravísima (Art. 34 quáter letra f), con multa de hasta 20.000 UTM.

¿Cuánto puede multarme la APDP si tengo una brecha?

Las multas máximas son 5.000 UTM (leve), 10.000 UTM (grave) y 20.000 UTM (gravísima), expresadas en Unidades Tributarias Mensuales. A valor UTM mayo 2026 (~$70.588 CLP), los topes equivalen aproximadamente a $353M, $706M y $1.412M respectivamente. Para empresas reincidentes que no califiquen como Pyme, las infracciones graves o gravísimas pueden alcanzar hasta el 2% o 4% de los ingresos anuales por ventas y servicios del último año calendario, aplicándose la cifra más gravosa entre el triple del monto base y el porcentaje de ingresos. Para una estimación específica de tu caso, prueba la calculadora de multas.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en los requisitos de la Ley N° 21.719 y normativa chilena de ciberseguridad. Los documentos generados son borradores que deben ser revisados y adaptados a la situación particular de cada empresa. Esta guía no constituye asesoría legal ni de seguridad. Para situaciones complejas o de alto riesgo, recomendamos consultar con un profesional especializado.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.