Saltar al contenido principal
PrivacidadWeb
Análisis10 min de lectura·

El Costo Real de un Ciberataque en Chile (Más Allá de la Multa)

La multa regulatoria es solo una fracción del costo total de un ciberataque. Esta guía descompone los 6 costos reales que enfrenta una empresa chilena: operacional, recuperación, rescate, reputacional, ciberseguro y regulatorio. Con cifras de IBM 2025, Verizon DBIR y Chainalysis.

P

PrivacidadWeb

PrivacidadWeb.cl

Cuando se habla del costo de un ciberataque, la conversación pública chilena suele empezar y terminar en la multa regulatoria. "La APDP puede multarte hasta 20.000 UTM". Es cierto, pero es la parte más visible del iceberg. La factura real de un ataque combina al menos seis líneas distintas, y la multa rara vez es la mayor de ellas.

Esta guía descompone el costo real de un ciberataque para una empresa chilena. Está construida con cifras verificadas de IBM Cost of a Data Breach Report 2025, Verizon Data Breach Investigations Report 2025, Chainalysis Crypto Crime Report 2026 y casos cerrados con cobertura formal completa. El objetivo: que cuando tu equipo directivo pregunte "¿cuánto nos puede costar?", tengas un marco de respuesta basado en datos, no en titulares.

Spoiler: según IBM, el costo promedio global de una brecha en 2025 fue USD 4,44 millones. En Latinoamérica, USD 2,51 millones. Y la multa regulatoria suele ser menos del 30% de esa cifra.

Costo 1: Operacional — el negocio se detiene

El costo más inmediato y, paradójicamente, el más subestimado. Cuando un ransomware cifra tus servidores o un atacante inhabilita tu sistema contable, el negocio simplemente se detiene.

El tiempo de inactividad típico para empresas que sufren ransomware está entre 5 y 21 días hasta volver a operar al 100%, según los datos consolidados por Chainalysis y por reportes de respuesta de incidentes de los principales actores forenses. Para una pyme chilena que factura $500.000 al día, son $2,5 a $10,5 millones de pesos en ventas perdidas solo por ese efecto.

A eso se suman costos directos durante la operación interrumpida:

  • Horas extra y trabajo manual. El equipo recurre a hojas de cálculo y procesos en papel para mantener algo funcionando.
  • Soporte técnico de emergencia. Tarifas de fin de semana y nocturnas, escalamiento a especialistas externos.
  • Penalizaciones contractuales por SLA. Si tienes contratos de servicio con clientes B2B, los días caídos pueden activar multas pactadas.

El caso emblemático global del costo operacional es Maersk en 2017 con NotPetya: 10 días sin operación normal, USD 300 millones reportados al mercado solo en pérdidas operacionales (no incluye recuperación ni rescate). Aunque Maersk es una multinacional, la lección escala: el costo operacional crece con la dependencia digital, no con el tamaño de la empresa.

Costo 2: Recuperación técnica — restaurar lo que se rompió

El segundo costo grande es restaurar la infraestructura. Lo que en el plano técnico parece una operación de horas suele ser, en la práctica, una operación de semanas con factura significativa.

Componentes típicos:

  • Forensia digital. Determinar el alcance exacto del ataque, qué datos se exfiltraron, qué malware quedó instalado. Una consultora forense en Chile cobra entre $15 y $50 millones de pesos por una investigación completa para una pyme mediana.
  • Restauración desde backups. Si los tienes (regla 3-2-1) y verificados, es relativamente rápido. Si no los tienes o están comprometidos, el costo se dispara: en algunos casos hay que reconstruir bases de datos manualmente desde correos, facturas en papel y planillas dispersas.
  • Hardware nuevo. Cuando el equipo directivo decide no confiar en máquinas que estuvieron infectadas, hay que reemplazar servidores, notebooks y equipamiento de red. Para una pyme con 30 estaciones, son $15 a $30 millones de pesos.
  • Software de seguridad reforzado. Tras un ataque, las pólizas de ciberseguro suelen exigir migrar a EDR moderno, MFA universal, gestión de logs centralizada (SIEM). Costo recurrente nuevo: $2 a $8 millones anuales para una pyme.

Según el IBM Cost of a Data Breach Report 2025, la fase de recuperación representa entre 20% y 30% del costo total de una brecha promedio. Para empresas que aún no habían invertido en seguridad pre-incidente, el porcentaje sube.

Costo 3: Rescate (ransomware) — pagar o no pagar

Si el ataque es ransomware y los criminales tienen tus archivos cifrados, llega la decisión más controversial: pagar el rescate.

Cifras verificadas:

  • Pago mediano global 2025: USD 60.000 (Chainalysis 2026, alza del 368% YoY).
  • Pago mediano según Verizon DBIR 2025: USD 115.000 (basado en brechas confirmadas reportadas a Verizon).
  • Total pagado a actores de ransomware en 2025: ~USD 820 millones (Chainalysis), una caída del ~8% vs 2024 ajustado, atribuible a más víctimas que se niegan a pagar.

En Chile no hay registro público de pagos confirmados de empresas chilenas. El caso BancoEstado 2020 es ilustrativo: hubo demanda de rescate atribuida en foros, pero el banco negó haber pagado, querelló por sabotaje informático, y la fiscalía cerró la investigación en junio de 2021 sin perseverar. No hay confirmación oficial de pago.

¿Conviene pagar? Tres argumentos en contra que tienes que conocer:

  1. No garantiza recuperación. Aproximadamente el 40% de las víctimas que pagan no recuperan todos sus datos, según reportes de incident response.
  2. Atrae nuevos ataques. Las familias de ransomware mantienen listas de víctimas que pagaron; muchas vuelven a atacar al mismo blanco a los 12-18 meses.
  3. Financia la industria criminal. El ecosistema de ransomware se sostiene de los pagos. Cada empresa que paga financia el próximo ataque a otra.

La recomendación de los principales CSIRT (incluyendo el chileno) es no pagar. Pero la decisión depende del balance entre pérdida operacional sostenida y costo del rescate, y no es una decisión trivial. Lo que sí debes hacer antes del incidente: tener la postura definida en tu plan de respuesta, junto con un asesor legal que conozca los implicancias regulatorias del pago (en algunos países, pagar a actores sancionados es delito).

Costo 4: Reputacional — el más persistente

Es el costo más difícil de cuantificar y el que más dura. Una empresa puede recuperar sus servidores en una semana; recuperar la confianza de sus clientes le toma años o nunca lo logra.

Las cifras documentadas indican que las empresas que sufren brechas pierden entre 5% y 15% de sus clientes activos en los seis meses posteriores, dependiendo del rubro:

  • Servicios financieros: caída de 8-15% (es el rubro más sensible — los clientes confían sus datos económicos).
  • E-commerce: caída de 5-10% (recuperable en parte si la respuesta es rápida y transparente).
  • Salud: caída de 10-20% en pacientes nuevos (reputación clínica difícil de reconstruir).
  • B2B con contratos largos: menos clientes pero peor — algunos contratos institucionales se pierden definitivamente.

Caso ilustrativo: la divulgación tardía del ataque a Yahoo (descubierto en 2014, comunicado en 2016) le costó a la empresa USD 350 millones en reducción del precio de adquisición por parte de Verizon, según el comunicado oficial de Verizon de febrero de 2017. Es una cifra "reputacional" pura, distinta de la multa SEC de USD 35 millones por la falla en disclosure (24-abr-2018).

En Chile no existe un cálculo público similar para casos como BancoEstado o GTD, pero el patrón es consistente: las empresas que demoran la notificación o la gestionan mal pierden más clientes y enfrentan más demandas civiles. La rapidez y honestidad de la comunicación post-incidente es una variable que tu plan de respuesta debe considerar.

Costo 5: Ciberseguro — útil pero no resuelve todo

El ciberseguro está creciendo en Chile, especialmente desde 2024. Las pólizas típicas para pymes cubren entre $50 y $500 millones de pesos y cuestan entre $1 y $8 millones anuales según industria, tamaño y estado de seguridad pre-existente.

Lo que típicamente cubre una póliza de ciberseguro:

  • Forensia digital y respuesta a incidentes.
  • Notificación a clientes afectados.
  • Asesoría legal regulatoria.
  • Pérdida de ingresos por interrupción de negocio (con un período de carencia, generalmente 8-12 horas).
  • En algunas pólizas: pago de rescate (con condiciones estrictas).

Lo que NO suele cubrir:

  • Multas regulatorias. En Chile, una multa de la APDP por infracción a Ley 21.719 generalmente queda fuera de cobertura (algunas aseguradoras incluyen montos limitados; léelo con detención).
  • Daño reputacional indirecto. La pérdida de clientes a 6-12 meses no se reembolsa.
  • Ataques previos al inicio de la póliza. Si el atacante estaba dentro hace tres meses pero el ransomware se ejecuta hoy, las aseguradoras suelen disputar la cobertura.
  • Negligencia grave. Si tu pyme no tenía MFA básico ni backups, varias aseguradoras rechazan el siniestro o aplican deducible alto.

Lección: el ciberseguro es una buena segunda línea de defensa, pero no reemplaza los controles preventivos. Las pólizas más útiles son las que combinan cobertura con servicios de incident response 24/7 del asegurador (no esperar a que apruebe el siniestro para empezar a contener el daño).

Costo 6: Regulatorio — la multa que sí da titulares

Acá es donde entra la cifra que todos conocen. Bajo la Ley 21.719 (vigente desde el 1 de diciembre de 2026), las vulneraciones de seguridad de datos personales pueden tipificarse como infracciones leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) o gravísimas (hasta 20.000 UTM). A valor UTM mayo 2026 (~$70.588 CLP), el techo gravísimo equivale a ~$1.412 millones de pesos.

Para empresas reincidentes que no califiquen como Pyme, el Art. 35 inc. 4° permite alcanzar hasta el 2% o 4% de los ingresos anuales por ventas y servicios, aplicándose la cifra más gravosa entre el triple del monto base y el porcentaje de ingresos.

Importante: la multa regulatoria suele representar 20-30% del costo total del incidente, no el 100%. Si tu equipo directivo está dimensionando el riesgo solo por la multa, está dejando fuera entre el 70% y el 80% del impacto financiero real.

Hay un detalle adicional que la mayoría de los blogs ignora: en Chile SERNAC sigue siendo competente sobre datos personales en relación de consumo hasta el 30 de noviembre de 2026 (Art. 15 bis Ley 19.496). El caso Banco Santander Chile ilustra el doble vector: tras la filtración de datos de mayo 2024, SERNAC abrió un Procedimiento Voluntario Colectivo que cerró sin acuerdo, y en febrero de 2026 ingresó demanda colectiva. Esto es además de cualquier acción que la APDP pueda ejercer post 1-DIC-2026.

Para empresas con clientes consumidores, el costo regulatorio combinado SERNAC + APDP + acciones civiles colectivas puede superar varias veces la multa máxima de 20.000 UTM. Para una estimación específica de tu exposición regulatoria, puedes usar la calculadora de multas Ley 21.719. Y si quieres profundizar específicamente en el régimen sancionatorio, la guía detallada de multas descompone los tres niveles con ejemplos de cada uno.

Caso ilustrativo: Equifax 2017 — el desglose completo

Para entender cómo se acumulan estos seis costos en un caso real, sirve mirar Equifax 2017 — la brecha que afectó a 147 millones de personas en EE.UU. y que hoy sigue siendo el caso de estudio de referencia.

Detalle del costo, según declaraciones a la SEC y comunicados oficiales:

| Línea de costo | Monto | Fuente | |---|---|---| | Acuerdo regulatorio FTC + CFPB + 48 estados | USD 575M (mín, hasta 700M) | FTC Press Release, 22-jul-2019 | | Costo operacional + recuperación técnica | ~USD 1.400M (acumulado 2017-2019) | Reportes 10-K Equifax | | Pérdidas reputacionales y demandas civiles adicionales | ~USD 700M | Acuerdos con bancos y consumidores | | Inversión adicional en seguridad post-incidente | ~USD 1.500M (2018-2024) | Compromisos públicos de Equifax | | Total declarado | ~USD 4.000M+ | Acumulado |

La multa de USD 575 millones —la cifra que aparece en los titulares— representa apenas el 14% del costo total del incidente. El resto se distribuye entre operacional, recuperación, reputacional y la inversión preventiva forzada por reguladores.

Bajo Ley 21.719, una empresa chilena con la misma escala de afectación (147M titulares) calificaría como infracción gravísima (Art. 34 quáter) por: tratamiento masivo, datos económicos sensibles, falta de medidas técnicas razonables (la vulnerabilidad de Apache Struts conocida desde marzo y no parchada) y demora en notificación (40 días entre detección y comunicación pública). El régimen del Art. 35 inc. 4° permite multas de hasta el 4% de ingresos anuales, aplicado a una empresa del tamaño de Equifax sería decenas de veces los USD 575M del acuerdo FTC.

Cómo dimensionar el riesgo para tu pyme

Si quieres una estimación práctica para tu propia empresa, una regla razonable basada en los datos consolidados arriba:

Costo total esperado de una brecha = 
   2% a 8% de los ingresos anuales (pymes con datos sensibles)
   1% a 4% de los ingresos anuales (pymes sin datos sensibles)

Esos rangos asumen una respuesta competente al incidente. Si la respuesta es deficiente (sin protocolo, comunicación tardía, sin notificación oportuna), los rangos pueden duplicarse o triplicarse.

Acciones prácticas inmediatas:

  1. Estima tu exposición regulatoria con la calculadora de multas Ley 21.719. Es la línea más fácil de cuantificar.
  2. Genera tu Protocolo de Vulneraciones con esta herramienta gratuita. Tener uno previo reduce significativamente el costo operacional y reputacional.
  3. Cotiza ciberseguro comparando al menos 3 ofertas. Lee con detención qué cubre y qué no, especialmente en multas regulatorias y negligencia grave.
  4. Presenta al equipo directivo la suma de los 6 costos, no solo la multa. La conversación cambia cuando se ven los costos operacional y reputacional.

El error más caro que comete una pyme no es sufrir un ciberataque. Es enfrentarlo sin haber dimensionado el costo real con anticipación, y por lo tanto sin haber justificado las inversiones preventivas que lo habrían reducido.

Preguntas frecuentes

¿Cuánto cuesta en promedio un ciberataque a una pyme en Chile?

No existe estudio público con cifra específica para pymes chilenas. Las referencias verificables son globales y regionales: el IBM Cost of a Data Breach Report 2025 reporta un costo promedio global de USD 4,44 millones y un promedio para Latinoamérica de USD 2,51 millones, considerando empresas de tamaño medio a grande. Para pymes chilenas el orden de magnitud típico está entre $30 y $300 millones de pesos por evento, dependiendo del tamaño, los datos comprometidos, la respuesta posterior y la cobertura de ciberseguro. La multa regulatoria es típicamente el 20-30% del total.

¿La multa de la APDP es lo más caro de un ciberataque?

No necesariamente. Las cifras documentadas globalmente (IBM, Verizon, casos cerrados como Equifax) muestran que la multa regulatoria es típicamente entre el 14% y el 30% del costo total. Los costos operacionales (downtime, recuperación) y reputacionales (pérdida de clientes) suelen sumar en conjunto más que la multa. Para empresas con clientes consumidores en Chile, hay además exposición SERNAC en relación de consumo hasta el 30 de noviembre de 2026.

¿Vale la pena pagar el rescate de un ransomware?

La recomendación de los principales CSIRT (incluyendo el chileno) es no pagar. Tres razones: aproximadamente el 40% de las víctimas que pagan no recuperan todos sus datos; quien paga queda en listas de víctimas que tienden a ser atacadas nuevamente a los 12-18 meses; y los pagos financian directamente la próxima generación de ataques. El pago mediano global 2025 fue USD 60.000 según Chainalysis, con un alza del 368% año contra año. La decisión, si se toma, debe involucrar al asesor legal porque algunos pagos pueden constituir financiamiento a actores sancionados internacionalmente.

¿El ciberseguro cubre las multas de la Ley 21.719?

Generalmente no, o solo de forma limitada. La mayoría de las pólizas de ciberseguro disponibles en Chile excluyen multas regulatorias de su cobertura, o las incluyen con sublímites bajos. También suelen excluir el daño reputacional indirecto (pérdida de clientes a 6-12 meses) y los siniestros donde se pueda demostrar negligencia grave (ausencia de MFA, sin backups verificados). Léelo con detención y conversa con tu corredor antes de asumir que estás cubierto.

¿Cuánto duran los efectos reputacionales de una brecha?

Los datos consolidados indican una caída de 5-15% de clientes activos en los seis meses posteriores, con recuperación parcial en 12-24 meses si la respuesta fue rápida y transparente. En servicios financieros y salud el efecto es mayor (8-20%) y más persistente. El caso emblemático global de daño reputacional documentado es Yahoo, donde la divulgación tardía costó USD 350 millones en reducción del precio de adquisición por Verizon (febrero 2017), una cifra reputacional pura distinta de las multas SEC posteriores.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en los requisitos de la Ley N° 21.719 y normativa chilena de ciberseguridad. Las cifras citadas en esta guía provienen de fuentes primarias (IBM, Verizon DBIR, Chainalysis, FTC, SEC) y casos con cobertura formal completa. Esta guía no constituye asesoría legal, financiera ni de seguridad. Para situaciones complejas o de alto riesgo, recomendamos consultar con un profesional especializado.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.