Reportar incidentes de ciberseguridad es obligatorio

Published on 5 de Agosto de 2025

La ciberseguridad deja de ser solo una preocupación técnica: desde 2025, reportar incidentes relevantes es un deber legal para instituciones públicas y privadas en el país.

La Agencia Nacional de Ciberseguridad (ANCI) ha debutado con fuerza con un nuevo marco regulatorio, cambiando las reglas del juego para quienes gestionan servicios esenciales o manejan datos personales sensibles. Ahora, la gestión y la reacción ante amenazas cibernéticas se profesionaliza y se hace obligatoria, bajo el paraguas del artículo 9° de la flamante Ley Marco de Ciberseguridad.

¿Por qué es relevante esta medida?
Porque la ciberseguridad ya no es solo un “plus” para las organizaciones, sino un must legal. No reportar puede salir tan caro que ningún departamento de TI querrá tenerlo en su historial: las sanciones pueden llegar a cifras millonarias para las entidades más críticas.

Taxonomía de incidentes: poner orden en el caos
La ANCI no solo exige reportar. Para que la información sea útil y comparable, implementa una taxonomía oficial que facilita el análisis y la reacción coordinada.

¿Qué significa esto en la práctica? Los incidentes se clasifican en cuatro grandes áreas de impacto:

  • Afectación al uso legítimo de recursos (por ejemplo, uso no autorizado de redes o ataques de denegación de servicio).
  • Confidencialidad (acceso indebido, filtración o robo de datos personales o sensibles).
  • Integridad (alteración o manipulación de información y sistemas digitalmente almacenados).
  • Disponibilidad (imposibilidad de acceder o utilizar servicios y sistemas legítimamente por los usuarios).

Ejemplos clave que debes conocer:

  • Un ataque de phishing que convence a empleados de ceder sus credenciales.
  • La ejecución no autorizada de código malicioso que compromete sistemas críticos o roba información.
  • Ciberataques internos o externos que manipulan, acceden o bloquean datos sensibles.

¿Qué debe contener el reporte de incidentes?
La ANCI quiere datos precisos para poder actuar rápido. Por eso, todo reporte debe incluir al menos:

  • Identidad de la entidad afectada.
  • Contacto del responsable de ciberseguridad.
  • Evidencias o registros del incidente.
  • Fecha, hora y contexto del evento.
  • Evaluación del posible impacto en otras organizaciones.
  • Descripción del incidente alineada a la taxonomía oficial.

El reporte: sencillo, seguro y obligatorio
Los informes se cargan por el portal oficial de la ANCI, utilizando la ClaveÚnica de la institución para autenticación. ¿Caída de sistemas? No hay excusa: canales alternativos como teléfono o correo electrónico quedan habilitados para no dejar incidentes sin reportar.

No reportar sale caro
El incumplimiento es considerado infracción grave y las multas pueden alcanzar hasta 1,4 millones de dólares (en moneda nacional equivalente) para entidades vitales como eléctricas, de salud, telecomunicaciones, transporte o manejo de grandes bases de datos ciudadanos.

Esto no solo busca castigos: la idea es crear una cultura preventiva en la gestión de riesgos digitales y evitar efectos “bola de nieve” que pongan en jaque la seguridad de todo un ecosistema.

¿Quiénes deben reportar?
No todo el mundo está obligado, pero sí quienes:

  • Prestan servicios considerados esenciales a la sociedad (agua, luz, transporte, comunicaciones, salud, etc.).
  • Manejan datos personales sensibles (sector financiero, gobierno, educación, salud y más).

Si no sabes si tu empresa aplica, consulta a tu área legal y de TI ahora.

Beneficios del nuevo marco regulatorio

  • Permite una respuesta y colaboración más eficiente entre entidades públicas y privadas ante ciberamenazas reales.
  • Mejora la detección temprana de patrones y riesgos (como oleadas de ransomware o campañas de spear phishing).
  • Reduce daños colaterales hacia usuarios finales y otras organizaciones.
  • Facilita el aprendizaje colectivo y la diseminación de buenas prácticas en seguridad digital.
  • Protege al ciudadano y al Estado, minimizando el impacto en servicios esenciales y evitando fugas masivas de información.

ANCI: Aún en fase de implementación
Este marco entró en vigencia a inicios de 2025, pero la ANCI está en proceso de acompañar, difundir y capacitar a las entidades para que el proceso de reporte sea sencillo y masivo.

¿La moraleja? No hay excusas ni pretextos. Si tu organización es relevante para el país o maneja datos ciudadanos, la obligación de reportar incidentes ya está activa.

¿Qué hacer desde hoy?

  • Revisa los protocolos de seguridad y asegúrate de tener un responsable designado y capacitado.
  • Deja claro el flujo de respuesta ante incidentes y cómo reunir la evidencia necesaria.
  • Actualiza tus sistemas para integrarte sin problemas a los canales de reporte oficiales.
  • Realiza capacitaciones breves para sensibilizar a todos los empleados sobre la importancia del reporte oportuno.

Conclusión: en la era digital, la prevención y la coordinación salvan datos… y reputaciones.

¿Tienes dudas o necesitas ejemplos prácticos para preparar a tu organización? Nos leemos en los comentarios y en nuestras próximas guías sobre buenas prácticas de ciberseguridad alineadas al nuevo marco legal.

La obligación de reportar incidentes de ciberseguridad refuerza la protección de infraestructuras críticas y datos personales. El marco ANCI introduce una taxonomía clara y sanciones severas para incumplimientos, promoviendo colaboración pública y privada. Prevenir, detectar y reaccionar a tiempo es hoy responsabilidad legal y estratégica para todas las organizaciones comprometidas con la confianza digital.

Previous

Next