Ciberdefensa Acuícola: Protegiendo la infraestructura critica bajo la Ley Marco de Ciberseguridad (Ley N° 21.663)

¿Por qué la ciberseguridad es un asunto vital para la industria acuícola?

Chile se ha convertido en un objetivo prioritario para el cibercrimen en América Latina, principalmente por su alto grado de digitalización y sofisticación de sus sectores económicos.

2026-04-ES_CL-SmartCare-Assist-Ictericia-Ad-Banner-1200x200px

2026-04-ES_CL-SmartCare-Assist-Ictericia-Ad-Banner-1200x200px

Las principales modalidades de ataque son el Ransomware, phishing e ingeniería social, principalmente dirigidos a proveedores o socios con controles de seguridad más débiles utilizados como puerta de entrada hacia organizaciones más grandes.

Conocidos son los casos de al menos tres empresas noruegas cuyas soluciones tecnológicas son utilizadas por la industria acuícola en Chile, al menos dos de ellas el ingreso fue vía correo electrónico mediante phishing inyectando una Ransomware a la red y en la otra el ataque se habría dirigido a los sistemas de monitoreo remoto.

El Marco Regulatorio: Ley N° 21.663 y sus objetivos:

La Ley Marco de Ciberseguridad busca prevenir que incidentes como estos afecten a la cadena de suministro nacional, obligando a las instituciones públicas o privadas a tener planes de respuesta robustos y reportar los incidentes al CSIRT Nacional para una coordinación efectiva entre organismos del estado y los particulares, definiendo responsabilidades, sanciones y una institucionalidad técnica encabezada por la Agencia Nacional de Ciberseguridad (ANCI)

1200x200

1200x200

Definición clave: Servicios Esenciales y OIV

Esta Ley se aplica a instituciones que presten Servicios Esenciales (SE), pudiendo ser públicas o privadas, dentro de las cuales establece una categoría de mayor relevancia: Los Operadores de Importancia Vital (OIV).

• Servicios Esenciales (SE): Instituciones que proveen servicios necesarios para el normal funcionamiento del país. La ley lista una aplica gama de sectores, entre los que se incluyen electricidad, transporte, agua, telecomunicaciones, banca, entre otros.
• Operadores de Importancia Vital (OIV): Corresponden a un subgrupo de los anteriores a lo que se le exigen obligaciones específicas por considerarse como críticos. Calificación que se basa en criterios como la dependencia de redes informáticas y el impacto significativo que tendría la interrupción de sus servicios en la seguridad pública, la defensa nacional, la economía y la salud.

Debido a la relevancia del sector acuícola en la economía nacional y la cadena alimentaria, la ANCI podría calificar a las instituciones acuícolas y a sus proveedores de servicios tecnológicos, logísticos y de servicios como Operadores de Importancia Vital o de Servicios Esenciales.

Hito regulatorio: Resolución exenta N° 50

Con fecha 16 de septiembre de 2025 dejó de ser un proceso teórico cuando la ANCI publicó a través de la Resolución exenta N° 50 la Nómina preliminar de entidades que fueron calificadas como Operadores de Importancia Vital. Esta publicación se realizó en el portal oficial de la ANCI y en el Diario Oficial.

Éste listado, aunque es preliminar y sujeto a consulta pública, es el primer paso concreto en la fiscalización. En ella, se ha puesto el foco en sectores de apoyo, sin embargo, cualquier proveedor de servicios de Tecnología de la Información (TI), telecomunicaciones o energía que se encuentre en la lista y que se vincule a una industria acuícola, debe cumplir en forma inmediata los deberes de una OIV. Se espera próximamente la nómina definitiva.

“Aunque la industria acuícola aún no está directamente en la nómina preliminar, sus proveedores críticos si lo están, obligándolas por tanto a exigir nuevos estándares de seguridad.”

El riesgo en las operaciones acuícolas: IT vs OT

El principal riesgo en el rubro acuícola se encuentra en la convergencia entre las redes IT (informáticas) y las OT (Operacionales), mientras las primeras gestionan la información y los datos como correos electrónicos, informes y contabilidad y finanzas entre otros, la segunda se enfoca en la gestión de los procesos físicos, como la alimentación automatizada, sensores de oxígeno, cámaras submarinas, iluminación, controladores lógicos programables.

Tolerancia a fallos: Una interrupción en IT suele ser molesta y costosa en términos de datos o productividad. Una interrupción en OT puede tener consecuencias catastróficas, daños a equipos costosos, pérdida de producción, riesgos ambientales o incluso la seguridad de las personas

 “Un ataque a IT puede propagarse a OT y detener o alterar la operación completa de un centro de cultivo.”

Los estándares internacionales y normativa vigente establecen como obligatoria la segmentación de redes mediante firewalls industriales, VLANs y monitoreo constante, lo que impide un incidente administrativo afecte la producción, o provoque un daño ambiental y animal.

La cadena de suministro: Los proveedores también deben cumplir.

La Ley Marco de Ciberseguridad y su reciente resolución N° 50, establecen que los OIV deben gestionar el riesgo de sus proveedores, extendiendo la responsabilidad a toda la cadena.

En estas se incluyen a las empresas proveedoras de software, conectividad, de mantenimiento, monitoreo remoto, consultoría y transporte, por lo cual, los proveedores deberán:

• Implementar controles de seguridad y certificaciones (ISO/IEC 27001)
• Notificar incidentes que puedan afectar a su cliente
• Participar de las auditorías o revisión que la empresa cliente realice.
• Capacitaciones que concienticen a los trabajadores.

Consecuencias por incumplimiento: Un riesgo real y costoso

Las infracciones se clasifican en Leves, Graves y Gravísimas, considerando que tipo de incumplimiento de obligación la generó:

“Además de las multas, la ANCI o la autoridad sectorial puede ordenar la suspensión de operaciones, además de los efectos reputacionales en los mercados internacionales podrían ser devastadores.”

Hoja de ruta: Como iniciar el cumplimiento

Las industrias acuícolas y sus proveedores pueden seguir la siguiente hoja de ruta:

1. Diagnóstico: Determinar si la empresa es OIV o SE según Resolución N° 50 y estar atentos a nuevas resoluciones.
2. Gobernanza: Designar un delegado de ciberseguridad y crear el SGSI (Sistema de Gestión de Seguridad de la Información)
3. Documentación: Elaborar y certificar planes PCO (Planes de Continuidad Operacional) y de ciberseguridad.
4. Tecnología: Implementar la segmentación IT/OT, monitoreo y respaldo seguro.
5. Capacitación: Entrenar a los equipos en respuesta a incidentes y concientización.
6. Comunicación: Establecer protocolos de reporte a la ANCI y al CSIRT Nacional.

Conclusión

La Ley Marco de Ciberseguridad, no es solo otra obligación legal, sino una oportunidad de elevar el estándar tecnológico del sector. La industria acuícola chilena, ya lidera en sostenibilidad y trazabilidad, ahora podrá consolidarse como referente regional en ciberseguridad industrial.

Cumplir con la normativa puede parecer desafiante, pero el camino no tiene por qué abordarse con miedo ni desesperación, la clave es comenzar con lo esencial: Saber exactamente si mi empresa está obligada, si es SE o OIV, en qué nivel de cumplimiento me encuentro e identificar las brechas, luego avanzar paso a paso.

Lo realmente riesgoso es no hacer nada, ignorar la Ley, postergar diagnósticos o asumir que “no nos va a pasar”, eso es dejar expuesta a la empresa, su producción, los ecosistemas y la confianza de mercados internacionales cada vez más exigentes.

Glosario:

• ANCI: Agencia Nacional de Ciberseguridad. Organismo técnico, descentralizado y especializado, creado por la ley para asesorar al Presidente, dictar protocolos y estándares, y fiscalizar el cumplimiento de las disposiciones.
• CSIRT Nacional: Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Se crea dentro de la ANCI. Sus funciones principales son responder ante ciberataques o incidentes significativos y coordinar a los CSIRT de la Administración del Estado.
• SE: Servicios Esenciales. Instituciones, públicas o privadas, que proveen servicios necesarios para el normal funcionamiento del país. La ley se aplica a estas entidades.
• OIV: Operadores de Importancia Vital. Corresponden a un subgrupo de los Servicios Esenciales a los que se les exigen obligaciones específicas y rigurosas (como SGSI, PCO y auditorías) por ser considerados críticos.
• SGSI: Sistema de Gestión de Seguridad de la Información. Conjunto de políticas y procedimientos para gestionar los riesgos de la información de manera continua. Es una obligación específica para los OIV.
• PCO: Planes de Continuidad Operacional. Documentos que detallan los pasos para asegurar la recuperación y normalización de los servicios ante un evento disruptivo, como un ciberataque. Exigido a los OIV.
• IT: Tecnología de la Información (Information Technology). Redes que gestionan la información, los datos y procesos administrativos (ej. correo electrónico, finanzas, contabilidad).
• OT: Tecnología Operacional (Operational Technology). Redes enfocadas en la gestión de los procesos físicos e industriales (ej. alimentación automatizada, sensores de oxígeno, controladores lógicos programables).
• Ransomware: Modalidad de ataque cibernético donde el software malicioso inyectado a la red busca cifrar o bloquear el acceso a sistemas y datos, exigiendo un rescate por su liberación. Es una de las principales amenazas en el país.
• Phishing: Modalidad de ataque de ingeniería social, a menudo vía correo electrónico, utilizada para obtener credenciales o información sensible, siendo una vía común para inyectar Ransomware.
• UTM: Unidad Tributaria Mensual. Unidad de medida utilizada en Chile para calcular el valor de las multas y sanciones, con un valor que se ajusta mensualmente.

Por Fredy Navarro, Ingeniero Informático / Digital Forensics and Incident Response