🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes

juanhernandez@preyhq.com
Juan H.
Mar 6, 2026
0 minutos de lectura
Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

El 26 de diciembre de 2025, la Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial la Instrucción General N°4, que establece medidas obligatorias para reducir el impacto y la propagación de incidentes de ciberseguridad. La instrucción ya está vigente y es de cumplimiento obligatorio para los Operadores de Importancia Vital.

Esta instrucción operativiza el artículo 8, literal e), de la Ley 21.663 y eleva el estándar desde la planificación hasta la ejecución inmediata. Exige que las organizaciones puedan restringir los accesos, aislar los sistemas afectados, suspender los servicios si es necesario y adoptar medidas técnicas dentro de plazos estrictos.

En este artículo analizamos qué cambia realmente para los equipos de TI y cómo estas exigencias transforman la capacidad de contención en una obligación regulatoria medible.

Restricción de uso y aislamiento de sistemas afectados

El artículo primero de la Instrucción General N°4 aterriza el mandato más “operativo” de la Ley 21.663: cuando ocurre un incidente, no puedes quedarte investigando con el sistema intacto. Tienes que cortar la superficie de ataque de inmediato: restringir los accesos, aislar lo afectado y suspender lo que pueda estar contribuyendo a que el incidente se propague. Además, surge la necesidad imperativa de interrumpir servicios, suspendiendo temporalmente integraciones, accesos remotos e incluso sitios web o plataformas transaccionales si se detecta un riesgo de explotación activa.

Para lograr esta contención de manera efectiva, la normativa exige aplicar las siguientes medidas específicas:

  • Restricción total o parcial de accesos: Se debe limitar el acceso a sistemas informáticos, redes, servicios o cuentas de usuario comprometidas o en riesgo. Esto es estrictamente necesario para bloquear la operatividad del atacante y asegurar que no se comprometan más recursos.
  • Aislamiento de sistemas afectados: Implica separar la infraestructura vulnerada del resto de la red tecnológica (sacar de la red endpoints sospechosos, aislar servidores/VMs comprometidos, etc.). Esta medida resulta fundamental porque evita directamente la propagación del incidente a otros equipos o servidores críticos de la organización.
  • Suspensión temporal de funcionalidades: Consiste en detener momentáneamente integraciones y accesos remotos. Su ejecución es necesaria porque estas conexiones de red pueden actuar como vectores que facilitan la rápida expansión del incidente hacia nuevas áreas.

Gestión Crítica de Identidades y Accesos Remotos

La gestión ágil de credenciales y conexiones resulta vital durante una crisis. Esta sección aborda los lineamientos de los artículos segundo y tercero  de la instrucción, que establecen mandatos rigurosos para controlar identidades y accesos remotos expuestos ante un incidente de ciberseguridad.

Gestión Crítica de Identidades

El artículo 2 establece directrices precisas para la gestión de cuentas ante una brecha que comprometa la información o los recursos institucionales. La normativa obliga a las organizaciones a implementar acciones drásticas e inmediatas sobre los permisos de los usuarios para recuperar el control de la infraestructura.

Las principales medidas requeridas incluyen:

  • Acciones sobre contraseñas: Obligación de cambiar inmediatamente las contraseñas de cuentas con permisos administrativos, totales o parciales, en las redes afectadas o bajo sospecha. Esto es necesario para inhabilitar rápidamente cualquier acceso no autorizado que el atacante haya logrado comprometer.
  • Limpieza de cuentas: Se exige la revisión y la eliminación inmediatas de cuentas administrativas genéricas o sin uso activo. Su erradicación es fundamental porque suelen carecer de un responsable directo, lo que las convierte en un vector de ataque altamente vulnerable y difícil de auditar.
  • El plazo crítico: Estas medidas de gestión de cuentas y bloqueo de accesos expuestos deben ejecutarse e informarse a la Agencia Nacional de Ciberseguridad ANCI en un máximo de tres horas desde el conocimiento del incidente. Este límite temporal es crucial para contener la amenaza y reportar las acciones de mitigación de manera expedita.

Deshabilitación de Accesos Remoto

El artículo 3 aborda la urgencia de cerrar posibles puertas de entrada al perímetro de la red. Ante un incidente, los operadores de importancia vital deben verificar y neutralizar cualquier acceso externo que pueda ser explotado, priorizando la seguridad de la infraestructura operativa. Las medidas exigidas son:

  • Revisión y bloqueo de exposición pública: Se deben identificar y bloquear, dentro de un plazo de tres horas, los accesos remotos o administrativos expuestos directamente a Internet. Esta acción elimina puntos de entrada directos que los ciberdelincuentes pueden utilizar para profundizar el ataque.
  • Restricción mediante VPN o IP: El acceso remoto debe permitirse exclusivamente a través de la VPN institucional. Si esto no es posible, las conexiones deben limitarse a direcciones IP específicas indispensables. Esto garantiza que solo el personal autorizado, desde ubicaciones controladas, puede gestionar el incidente de seguridad.
  • Mecanismos seguros y autenticación: Es necesario configurar los accesos remotos con credenciales aleatorias y, de ser factible de inmediato, aplicar la autenticación multifactor. Esto añade capas de validación que dificultan enormemente la suplantación de identidad.
  • Deshabilitación posterior: Todo acceso remoto debe deshabilitarse tan pronto como finalice la tarea específica de gestión del incidente. Suprimir estas conexiones oportunamente reduce la superficie de ataque y previene vulnerabilidades futuras.

Protección de Servicios y Comunicaciones

El artículo 4 de la normativa detalla las acciones obligatorias cuando un incidente compromete, o tiene el potencial de afectar, los servicios conectados directamente a Internet. La premisa principal es mitigar el impacto operativo tomando decisiones rápidas sobre la disponibilidad de las plataformas públicas para resguardar la información de los usuarios.

Para cumplir con este mandato, las instituciones deben implementar las siguientes medidas:

  • Suspensión temporal de operaciones: Es imperativo detener el funcionamiento de sitios web, interfaces o plataformas transaccionales si existe un riesgo de explotación activa. Además, se debe publicar un aviso claro que informe sobre la suspensión intencional como una medida mitigatoria. Esto es estrictamente necesario para cortar de inmediato la interacción con plataformas vulnerables y transparentar el estado de los servicios.
  • Redirección de accesos: Se debe limitar o redirigir el acceso a estos servicios exclusivamente a entornos confidenciales e íntegros, siempre que la técnica lo permita. Esta acción es fundamental para garantizar que cualquier operación crítica o consulta técnica se realice en un entorno seguro, lejos del alcance de los atacantes.
  • Cifrado robusto: Si los servicios deben mantenerse operativos por necesidades de negocio, la institución debe asegurar el uso de mecanismos de cifrado robustos y correctamente configurados. Su aplicación resulta vital para impedir que terceros malintencionados intercepten, lean o manipulen las comunicaciones durante el transcurso del incidente.

Uso de Herramientas de Seguridad y Cortafuegos

Esta sección aborda los artículos 5 y 6 de la normativa, los cuales establecen exigencias técnicas ineludibles para la protección operativa. Los operadores de importancia vital están obligados a desplegar herramientas de seguridad y cortafuegos que garanticen la detección, la contención y el monitoreo efectivo ante cualquier amenaza. Estas soluciones resultan críticas para mantener el control durante una crisis.

Para dar cumplimiento a estos artículos, se deben implementar las siguientes capacidades y configuraciones:

  • Identificación de elementos comprometidos: Es obligatorio contar con soluciones  para identificar con precisión procesos, cuentas o dispositivos afectados. Esto resulta indispensable para focalizar los esfuerzos de respuesta y determinar rápidamente el alcance real de la vulneración.
  • Bloqueo y aislamiento remoto: Poseer la capacidad técnica para deshabilitar o aislar, de forma remota, los dispositivos y las cuentas comprometidos. La ejecución de esta medida es fundamental para detener en seco la actividad maliciosa y aislar los componentes antes de que el daño sea irreversible.
  • Monitoreo de propagación: Se exige supervisar de forma continua la evolución del ataque para detectar cualquier intento de movimiento lateral hacia otros sistemas. Esta vigilancia permite anticipar los pasos del atacante y proteger los activos institucionales que aún no han sido vulnerados.
  • Implementación de cortafuegos (firewalls): Resultan obligatorias la instalación y la operación continuas de firewalls acordes con la naturaleza, el nivel de riesgo y la complejidad de la infraestructura informática. Estas herramientas son necesarias para establecer un perímetro de defensa robusto frente a ataques externos.
  • Configuración de bloqueo por defecto (whitelisting): Las políticas de seguridad de los cortafuegos deben configurarse bajo el principio de bloquear automáticamente cualquier conexión entrante por defecto, y solo aceptar (whitelisting) aquellas conexiones conocidas. Adoptar este enfoque es necesario porque minimiza drásticamente la superficie de exposición, permitiendo el ingreso únicamente al tráfico que ha sido previamente validado y autorizado para la operación.

La normativa permite explícitamente el uso de soluciones comerciales, gratuitas o de código abierto. Su adopción es válida siempre que cumplan efectivamente con las funciones de detección, contención y monitoreo descritas, garantizando que el estándar de seguridad no dependa exclusivamente de un presupuesto específico.

Segmentación de Redes y Contención

El artículo 7 de esta normativa establece lineamientos críticos sobre la segmentación de redes y la contención de amenazas. Para reducir drásticamente el impacto operativo de un incidente de ciberseguridad, los Operadores de Importancia Vital están obligados a implementar divisiones lógicas o físicas en su infraestructura. Esta separación estructurada resulta indispensable para frenar el movimiento lateral del ataque hacia activos críticos o entornos sensibles de la organización.

Para lograr esta contención estructural, la institución debe ejecutar las siguientes acciones:

  • Aislamiento inmediato de segmentos y entornos: Ante la mínima sospecha o confirmación de un incidente, se deben aislar de inmediato los servidores, entornos virtuales o activos digitales comprometidos. Esta acción es estrictamente necesaria para confinar la amenaza en su punto de origen e impedir el compromiso de otras áreas.
  • Restricción del tráfico de red: Es obligatorio bloquear el tráfico de red entrante y saliente entre los sistemas productivos, los entornos de respaldo y los sistemas de gestión. Su ejecución es fundamental para cortar las vías de comunicación del atacante, permitiendo únicamente el tráfico indispensable para contener la emergencia.
  • Segmentación de entornos virtualizados: Se exige aplicar, siempre que sea técnicamente posible, una segmentación específica para los entornos de virtualización. Implementar esta medida resulta clave para establecer barreras internas adicionales que protejan las máquinas virtuales alojadas en la misma infraestructura física.
  • Protección de los sistemas de respaldo: Las plataformas de respaldo de información deben separarse del resto de la infraestructura, restringiendo su acceso y comunicación durante la gestión del evento. Esta precaución es vital para asegurar que las copias de seguridad permanezcan intactas, protegidas y disponibles para la fase posterior de recuperación operativa.
  • Suspensión de integraciones y credenciales compartidas: Se deben suspender temporalmente aquellos servicios, credenciales o integraciones que conecten distintos segmentos de la red. Inhabilitar estos elementos es necesario porque actúan como puentes directos que facilitan el desplazamiento lateral del ciberataque hacia nuevas áreas de la infraestructura.

Coordinación interna, registro y vigencia

Para concluir, analizaremos los artículos 8 y 9, que estructuran la coordinación institucional, el resguardo de la evidencia y los plazos de cumplimiento. Una vez contenida la amenaza técnica, es importante documentar cada paso y mantener canales de contacto con las autoridades. Estas directrices aseguran un manejo transparente de la crisis y establecen tiempos definidos para adecuar los procesos a la norma.

Para dar cumplimiento a estos mandatos finales, las instituciones deben enfocarse en las siguientes medidas:

  • Registro de decisiones: Se exige documentar formalmente todas las resoluciones adoptadas durante la gestión de la emergencia. Esto es fundamental para justificar las acciones operativas, evaluar el desempeño del equipo y facilitar cualquier auditoría posterior.
  • Protección de la evidencia: Toda la información recolectada debe almacenarse de manera confidencial y segura para su revisión posterior. Su resguardo inalterable resulta necesario para garantizar el éxito de las investigaciones forenses y determinar con exactitud el origen de la vulneración.
  • Comunicación continua con la Agencia: La institución tiene la obligación de mantener un contacto permanente con el personal de la autoridad gubernamental durante el incidente. Esta línea abierta es indispensable para coordinar una respuesta unificada frente a la amenaza.
  • Información al nivel directivo: Es obligatorio reportar a la alta gerencia sobre las restricciones, aislamientos o suspensiones aplicadas, incluyendo sus respectivos impactos operacionales. Esta medida es vital porque asegura que los líderes cuenten con el contexto adecuado para la toma de decisiones organizacionales.
  • Cumplimiento del plazo legal: Las entidades listadas finalmente como operadores de importancia vital disponen de 60 días corridos, contados desde su publicación en el Diario Oficial, para cumplir con estas obligaciones. Este margen temporal existe para otorgar a las instituciones un periodo prudente de adecuación operativa y técnica.

Resumen ejecutivo

La Instrucción N° 4 no exige nuevos documentos. Exige capacidad operativa demostrable para contener un incidente en tiempo real, mediante herramientas, segmentación, control de identidades y registro formal.

A continuación dejamos un resumen ejecutivo:

Artículo Exigencia normativa Qué implica operativamente para TI Nivel de impacto
Art. 1 Restringir accesos, aislar sistemas y suspender funcionalidades ante incidente Capacidad inmediata de cortar cuentas, aislar endpoints/servidores y pausar integraciones. 🔴 Crítico inmediato
Art. 2 Cambio inmediato de contraseñas admin (máx. 3 horas) y revisión semestral Inventario actualizado de cuentas privilegiadas y procedimiento de reset masivo. 🔴 Plazo estricto (3h)
Art. 3 Deshabilitar accesos remotos expuestos; restringir a VPN/IP; aplicar MFA Visibilidad de superficie expuesta a Internet y bloqueo rápido de accesos remotos. 🔴 Plazo estricto (3h)
Art. 4 Suspender servicios si hay riesgo activo; asegurar cifrado robusto Decisión ejecutiva de apagar plataformas; validación de configuración TLS/cifrado. 🟠 Alto impacto negocio
Art. 5 Herramientas para identificar, bloquear y monitorear propagación Tener soluciones técnicas reales de detección y contención (EDR/XDR). 🔴 Capacidad técnica
Art. 6 Uso obligatorio de firewalls con principio de bloqueo por defecto Revisión de políticas de firewall; implementación del modelo “deny by default”. 🟠 Revisión arquitectura
Art. 7 Segmentación lógica/física; proteger backups; cortar tráfico lateral Rediseño de segmentación; aislamiento de entornos críticos y respaldos. 🔴 Arquitectura crítica
Art. 8 Registro de decisiones, resguardo de evidencia y comunicación con ANCI Bitácora formal de incidente, control de evidencia y reporte ejecutivo. 🟠 Gobernanza
Art. 9 Plazo de 60 días para implementar obligaciones desde calificación como OIV Ventana limitada para ajustar capacidades técnicas y procesos internos. 🟡 Adecuación

Capacidades mínimas en dispositivos para cumplir la instrucción

La Instrucción General N°4 exige que los Operadores de Importancia Vital cuenten con herramientas que permitan identificar, bloquear y aislar dispositivos comprometidos durante un incidente.

Esto convierte la gestión de endpoints en una capacidad crítica para el cumplimiento. Si no puedes actuar sobre un equipo en minutos —sin depender del acceso físico—, no puedes cumplir con los plazos exigidos.

En la práctica, esto implica tres capacidades mínimas:

Visibilidad real del inventario:

Para aislar algo, primero debes saber que existe. La instrucción exige capacidad de identificación de dispositivos y procesos comprometidos

Eso implica:

  • Inventario actualizado de equipos
  • Estado de seguridad por dispositivo
  • Conocimiento de ubicación y asignación
  • Visibilidad de software instalado

Bloqueo y aislamiento remoto

La normativa exige poder bloquear, aislar o deshabilitar dispositivos comprometidosEn un entorno híbrido o distribuido, esto no puede depender del acceso físico.

Necesitas poder:

  • Bloquear pantalla de forma remota
  • Ejecutar borrado seguro si el riesgo lo exige
  • Restringir acceso mientras investigas
  • Actuar incluso si el dispositivo está fuera de la oficina

Trazabilidad de acciones

La instrucción exige que las decisiones adoptadas queden debidamente registradas.

No basta con bloquear un equipo.

Debes poder demostrar:

  • Qué acción se ejecutó
  • Sobre qué dispositivo
  • En qué momento
  • Bajo qué contexto

Plataformas como Prey permiten centralizar y rastrear tu flota de dispositivos, aplicar bloqueos remotos, el borrado y la encriptación de datos, y mantener un registro de acciones desde un único panel, lo que facilita la ejecución técnica de estas exigencias regulatorias.

El valor de la respuesta oportuna

La Instrucción General N° 4 de la ANCI define un marco de acción riguroso y obligatorio para la contención de incidentes de ciberseguridad. Implementar estas medidas técnicas, desde el aislamiento de redes hasta la gestión de identidades, resulta importante para mantener la continuidad operativa. Adoptar estas recomendaciones no solo asegura el cumplimiento normativo legal, sino que resguarda los activos estratégicos de su institución frente a vulneraciones críticas.

¿Está preparado para proteger sus dispositivos y la información confidencial que estos contienen? Agenda una llamada con Prey para fortalecer tu seguridad corporativa de manera inmediata.

Frequently asked questions

No items found.

Sobre el mismo tema

DPO, TI y negocio: cómo repartir responsabilidades sin fricción
DPO, TI y negocio: cómo repartir responsabilidades sin fricción

Aprende cómo se reparten las responsabilidades entre el DPO, el Responsable de Datos y TI según la Ley 21.719 y evita el “compliance huérfano”.

Mar 9, 2026
Continuar leyendo
Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos
Cómo preparar a TI para una fiscalización de la Agencia de Protección de Datos

En una fiscalización de la Ley 21.719 las políticas no bastan: qué evidencia técnica realmente revisa la Agencia de Protección de Datos.

Mar 9, 2026
Continuar leyendo
Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes
Ley 21.663: Nuevas Instrucciones sobre reducir impacto y propagación de incidentes

Conoce las nuevas instrucciones de ANCI sobre cómo reducir el impacto y la propagación de incidentes.

Mar 6, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar