¿Qué es la Infraestructura Crítica en el Marco Legal Chileno?
La Ley 21.663 de Ciberseguridad no usa el término "infraestructura crítica" — usa el concepto de "servicio esencial" provisto por "operadores de importancia vital" (OIV). Esta distinción semántica fue deliberada: el concepto de infraestructura crítica generaba debates políticos y legales que retrasaban la legislación. El concepto de OIV, tomado del modelo francés, permitió avanzar.
En la práctica, los OIV son las organizaciones que proveen los servicios de los que depende el funcionamiento del Estado, la economía y la vida cotidiana de las personas: energía eléctrica, agua potable, telecomunicaciones, servicios financieros, salud, transporte y servicios públicos esenciales.
Un ciberataque a infraestructura crítica no solo afecta a la organización atacada — afecta a millones de personas que dependen de ese servicio. Por eso las exigencias de ciberseguridad son más estrictas y las consecuencias del incumplimiento más severas.
Sectores OIV: Primera y Segunda Etapa
Primera etapa (ya calificados)
La primera etapa del proceso de calificación OIV incluyó los sectores de mayor criticidad: energía eléctrica, telecomunicaciones, servicios financieros (bancos, corredoras, etc.) y salud. Las organizaciones de estos sectores ya operan bajo el régimen OIV con todas sus obligaciones.
Segunda etapa (372 nuevos OIV en abril 2026)
La segunda etapa, publicada en el Diario Oficial el 24 de abril de 2026, incorporó a 372 organizaciones de 7 nuevos sectores: transporte y distribución de combustibles, suministro de agua potable o saneamiento, transporte terrestre/aéreo/ferroviario/marítimo, administración de prestaciones de seguridad social, servicios postales y mensajería, producción y/o investigación de productos farmacéuticos, y concesionarios de servicios públicos.
Amenazas Específicas por Sector
Cada sector de infraestructura crítica enfrenta amenazas particulares. El sector energético está expuesto a ataques a sistemas SCADA/ICS que controlan la distribución de electricidad o combustibles — un ataque puede causar cortes masivos. El sector agua enfrenta riesgos de manipulación de sistemas de tratamiento — vectores de ataque que podrían afectar la salud pública. El sector transporte tiene vulnerabilidades en sistemas de gestión de tráfico aéreo, ferroviario y marítimo. El sector salud ya analizado en artículos anteriores tiene riesgos de ransomware y exfiltración de datos clínicos.
Obligaciones Diferenciadas para Infraestructura Crítica
Las organizaciones calificadas OIV tienen obligaciones más estrictas que el resto: implementación de controles mínimos de seguridad definidos por la ANCI, reporte de incidentes en plazos muy acotados (3 horas para notificación temprana), planes de continuidad operacional específicos para ciberincidentes, participación en los mecanismos de coordinación de la ANCI, y someterse a fiscalización y posibles auditorías por parte de la ANCI.
Las sanciones por incumplimiento incluyen multas, publicidad del incumplimiento (con impacto reputacional), y en casos graves, medidas más severas. La ley busca que el costo de no cumplir sea mayor que el costo de cumplir.
Muchas de las obligaciones OIV coinciden con las buenas prácticas que una organización bien gestionada debería tener de todos modos. El cumplimiento normativo y la buena seguridad no son caminos distintos — son el mismo camino.
Conclusión
La regulación de la infraestructura crítica en Chile está en proceso de maduración. Las organizaciones que ya están invirtiendo en ciberseguridad tendrán ventaja competitiva y regulatoria frente a las que esperan el plazo límite para cumplir. La ciberseguridad en infraestructura crítica no es opcional — es una obligación legal y una responsabilidad social.