Este viernes 26 de diciembre, la ANCI publicó tres instructivos que abordan el acceso a su plataforma de reporte; la definición del delegado de ciberseguridad; y procedimientos técnicos para actuar frente a un incidente. Las instrucciones generales 3 y 4, deben cumplirse 60 días corridos desde publicada la nómina de OIV en el Diario Oficial, lo que ocurrió el pasado 17 de diciembre.
Este viernes y tan solo unos días después de publicar la lista oficial de Operadores de Importancia Vital (OIV), la Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial de la República tres nuevos instructivos dirigidos a los OIV y a las instituciones que prestan servicios esenciales (PSE), que buscan reforzar tanto las obligaciones de estas entidades como los procedimientos técnicos frente a los incidentes informáticos.
En el orden las publicaciones, la Instrucción General N°2 introduce mecanismos alternativos de autenticación para el acceso a la plataforma de la ANCI, reconociendo que la dependencia exclusiva de Clave Única podría transformarse en una barrera operativa. Según el texto, ahora se autoriza “de manera excepcional, la inscripción de encargados/as de ciberseguridad que no puedan acceder a clave única”, siempre que se acredite el vínculo institucional. Esta medida busca concretamente asegurar la continuidad operativa del sistema de reporte, evitando que barreras administrativas impidan el cumplimiento de la ley.
La Instrucción General N° 3, por su parte, pone el foco en la gobernanza interna de la ciberseguridad al formalizar la designación del delegado de ciberseguridad en los OIV, algo que se esperaba y que estaba definido en la ley marco de ciberseguridad. De esta forma, todos los operadores calificados como de importancia vital desde el pasado 17 de diciembre, deberán designar formalmente a una persona con perfil especializado para ese rol, el que además debe tener independencia funcional y comunicación directa con la alta dirección. Este rol no es meramente administrativo, porque el delegado debe ser capaz de advertir riesgos y reportar incidentes “sin interferencias de áreas operativas”, indica la norma, convirtiéndolo en una una figura clave en la relación con la autoridad.
Finalmente, la ANCI publicó la Instrucción General N°4, cuyos nueve artículos hacen referencia al artículo 8, letra e) de la ley marco de ciberseguridad, que imparte instrucciones sobre las medidas necesarias para reducir el impacto y la propagación de un incidente, y se explaya en la respuesta técnica frente a incidentes estableciendo medidas inmediatas para tales propósitos, como el aislamiento de sistemas comprometidos, la suspensión de accesos remotos expuestos y el cambio urgente de contraseñas administrativas, advirtiendo que algunas acciones deben ejecutarse en plazos acotados, incluso dentro de las primeras tres horas desde que se toma conocimiento del incidente, lo que refuerza la lógica de reacción temprana
El primer artículo de ese instructivo expresa que las medidas inmediatas se deben adoptar, incluso cuando estas puedan “implicar la interrupción temporal o parcial de servicios”. La instrucción es explícita al señalar que la restricción de accesos, el aislamiento de sistemas y la suspensión de funcionalidades son acciones legítimas y necesarias “para proteger otros activos críticos o servicios esenciales”
El documento también fija exigencia en los plazos de algunas de las medidas, como la exigencia en el cambio de contraseñas de todas las cuentas administrativas afectadas o potencialmente comprometidas dentro de las primeras tres horas desde que se toma conocimiento del incidente, además de la eliminación de cuentas genéricas o sin responsables activos, medidas que además deben ser reportadas tempranamente a la ANCI.
La instrucción también pone el foco en uno de los accesos remotos expuestos a internet, por tratarse de vectores de ataque comunes. Con esta instrucción, las instituciones deberán revisar, bloquear o deshabilitar estos accesos, restringiendo su uso a VPN institucionales y aplicando autenticación multifactor cuando sea posible. Finalizada la gestión del incidente, dichos accesos deberán cerrarse nuevamente.
En materia de infraestructura, el documento refuerza la obligación de contar con cortafuegos configurados bajo el principio de bloqueo por defecto y de implementar segmentación de redes para evitar el desplazamiento lateral de los atacantes. Asimismo, los sistemas de respaldo deben mantenerse separados y protegidos durante la crisis, evitando que un incidente comprometa la capacidad de recuperación.
Además, desde ahora la ANCI exige coordinación interna y registro detallado de todas las decisiones adoptadas, y la evidencia recopilada durante un incidente deberá resguardarse, y el nivel directivo de la institución deberá mantenerse informado de las acciones y sus impactos operacionales.
Por último, la Instrucción General N°4 establece en su artículo final que las instituciones obligadas por esta norma tendrán 60 días corridos desde la publicación en el Diario Oficial de la nómina final de los OIV –publicada el 17 de diciembre-, esto es, hasta el próximo 15 de febrero de 2026, para cumplir con las obligaciones establecidas en esa instrucción.