APRUEBA NÓMINA DE OPERADORES DE IMPORTANCIA VITAL CORRESPONDIENTE AL PRIMER PROCESO DE CALIFICACIÓN
Núm. 87 exenta.- Santiago, 16 de diciembre de 2025.
Vistos:
Lo dispuesto en el decreto con fuerza de ley N°1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fijó el texto refundido, coordinado y sistematizado de la ley N°18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en la ley N°19.880, que establece las Bases de los Procedimientos Administrativos que rigen los actos de los Órganos de la Administración del Estado; en la ley N°21.663, marco de ciberseguridad; en el decreto supremo N°285, de 2024, del Ministerio del Interior y Seguridad Pública, que aprobó el Reglamento del procedimiento de calificación de operadores de importancia vital; en la resolución exenta N°24, de 2025, de la Agencia Nacional de Ciberseguridad, que da inicio al Primer Procedimiento de Calificación de Operadores de Importancia Vital de la ley N°21.663, y aprueba su calendarización; en la resolución exenta N°50, de 2025, de la Agencia Nacional de Ciberseguridad, que aprueba la nómina preliminar de calificación de operadores de importancia vital correspondiente al primer proceso de calificación y da inicio a la consulta pública; en la resolución exenta N°76, de 2025, de la Agencia Nacional de Ciberseguridad, que modifica la resolución exenta N°24, de 2025, de esta Agencia, que inicia primer procedimiento de calificación de operadores de importancia vital a que se refiere la ley N°21.663, marco de ciberseguridad y aprueba su calendarización; y, en las resoluciones N°36 de 2024, y N°8, de 2025, ambas de la Contraloría General de la República.
Considerando:
1. Que, con fecha 8 de abril de 2024 se publicó en el Diario Oficial la ley N°21.663, marco de ciberseguridad (en adelante, indistintamente "la ley" o "la ley N°21.663"), cuyo artículo 10° crea la Agencia Nacional de Ciberseguridad (en adelante, indistintamente "la Agencia" o "ANCI"), como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar el Presidente de la República en materias propias de ciberseguridad.
2. Que, en conformidad a lo dispuesto en el artículo 5° de la ley N°21.663, le corresponde a la Agencia establecer, mediante resolución dictada por su Director Nacional, los prestadores de servicios esenciales que sean calificados como operadores de importancia vital (en adelante, "OIV").
3. Que, el artículo 6° de la ley establece que un reglamento expedido por el ministerio encargado de la seguridad pública contemplará los demás aspectos del procedimiento de calificación de OIV que sean necesarios para su correcta ejecución.
4. Que, mediante decreto supremo N°285, de 2024, del Ministerio del Interior y Seguridad Pública, se aprobó el Reglamento del procedimiento de calificación de operadores de importancia vital de la ley N°21.663 (en adelante, "el Reglamento").
5. Que, a través de la resolución exenta N°24, de 30 de mayo de 2025, de la Agencia se dio inicio al primer procedimiento de calificación de OIV de la ley N°21.663, y se aprobó su calendarización en el sentido de establecer que, con fecha 30 de mayo de 2025, se iniciaría el proceso para los prestadores de servicios esenciales comprendidos en las categorías: generación, transmisión o distribución eléctrica, incluyendo el Coordinador Independiente del Sistema Eléctrico Nacional; telecomunicaciones; infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros; banca, servicios financieros y medios de pago; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; empresas públicas creadas por ley; empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio; y, organismos de la Administración del Estado.
6. Que, para realizar el estudio que diera lugar a la nómina preliminar, la Agencia requirió un informe fundado a los organismos públicos con competencia sectorial, que, en virtud de una ley, contaren con facultades específicas de regulación, supervisión, coordinación, administración o fiscalización en el sector económico en el que desarrolla su actividad la entidad respectiva, para que se pronunciaran sobre cada una de las instituciones públicas y privadas que correspondan a su ámbito de competencia, que debiesen ser incluidas en la nómina preliminar de calificación de operadores de importancia vital.
7. Que, asimismo, la Agencia requirió informe fundado al Ministerio de Economía, Fomento y Turismo respecto de aquellas entidades a calificar como operadores de importancia vital que sean clasificadas como empresas de menor tamaño, de acuerdo con lo dispuesto en el artículo 2° de la ley N°20.416.
8. Que, la resolución exenta N°50, de 9 de septiembre de 2025, de la Agencia Nacional de Ciberseguridad aprobó la nómina preliminar de calificación de operadores de importancia vital correspondiente al primer proceso de calificación e inició la consulta pública.
9. Que, el proceso de consulta pública se extendió por treinta días con la finalidad de recoger, ordenar y examinar las observaciones formuladas por personas naturales y jurídicas respecto de la nómina preliminar de OIV publicada por la ANCI. El resumen ejecutivo de dicha consulta fue publicado el 17 de noviembre de 2025 y se encuentra disponible en el sitio web institucional de la Agencia.
10. Que, la Agencia aplicó una metodología de calificación que incluyó una Fase 1 donde se acreditaron los dos requisitos fácticos establecidos en los numerales 1 y 2 del artículo 5° de la ley, es decir, que la provisión del servicio dependa de redes y sistemas informáticos, y que la afectación, interceptación, interrupción o destrucción (del servicio) tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar. Así, aquellas instituciones comprendidas en alguno de los sectores establecidos en la resolución N°24 de 2025 y que reúnen los dos requisitos ya señalados avanzaron a la Fase 2 de calificación.
11. Que, respecto del criterio del numeral 1 del artículo 5° de la ley, esto es, que la provisión del servicio dependa de redes y sistemas informáticos, es importante precisar que el alcance de esta disposición dice relación con el conjunto de sistemas informáticos conectados y comunicados entre sí que permiten tanto el funcionamiento de la organización, como el procesamiento, transmisión y transferencia segura de la información (es decir, preservando su confidencialidad, integridad y disponibilidad) en la misma organización, entre distintas unidades o con otras organizaciones o personas. En este sentido, para evaluar el nivel de dependencia a la red y/o sistema informático se revisó la factibilidad de mantener la provisión segura del servicio prescindiendo de ésta.
12. Que, respecto del criterio contenido en el numeral 2 del artículo 5° de la ley, esto es, que la afectación, interceptación, interrupción o destrucción de los servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar, el proceso de calificación consideró como parámetros técnicos de evaluación de riesgo e impacto, la naturaleza de la información tratada y el sector en que se inserta la entidad evaluada, en cuanto dichos parámetros permiten aplicar los criterios establecidos en los literales a), b), c), d) y e) del artículo 4° del Reglamento. Lo anterior, con el objeto de determinar si la eventual ocurrencia de un incidente de ciberseguridad tiene la entidad suficiente para generar un impacto significativo, actual o potencial, sobre los bienes jurídicos protegidos por la norma.
13. Que, la Fase 2 del proceso de calificación se centró justamente en calificar el impacto significativo de la afectación, interceptación, interrupción o destrucción del servicio proveído a partir de los criterios entregados en el artículo 4° del Reglamento.
14. Que, el criterio del literal a) apunta a considerar la cantidad de potenciales perjudicados por la afectación, interceptación, interrupción o destrucción del servicio provisto por la entidad. Como regla general, dicho criterio asume que entre mayor sea el número de afectados, mayor será la magnitud del impacto significativo. No obstante, en determinados casos la criticidad de uno o más de los usuarios afectados puede dar lugar a una calificación favorable aun cuando el número total de usuarios no resulte, por sí solo, elevado. Así, el análisis de este criterio atiende, además del número de potenciales afectados, a la naturaleza del servicio, características del proveedor y tipo de usuarios que demandan los servicios de la institución. Por último, este criterio considera la cobertura territorial del prestador, atendiendo a su cobertura local, comunal, provincial, regional o nacional.
15. Que, el criterio del literal b) atiende a la redundancia del servicio para determinar el impacto significativo, considerando en su análisis únicamente los atributos disponibilidad y resiliencia, dado que confidencialidad e integridad de la información constituyen una categoría no aplicable en este caso. Para la aplicación de este criterio se revisó la existencia de proveedores alternativos que pudieran asumir la provisión del servicio que se trate, sin interrupciones. Así, un sector con una oferta amplia de actore s que puedan satisfacer las necesidades que cubre la institución reduce el impacto que su afectación puede acarrear. Sin perjuicio de lo anterior, al examinar la disponibilidad de proveedores alternativos, es relevante considerar su capacidad técnica y operativa, el tiempo de respuesta para cubrir la demanda del servicio afectado, así como los costos financieros y operativos asociados al cambio de proveedor.
16. Que, el criterio del literal c) considera la existencia o no de un solo proveedor para determinar el impacto significativo. Para su análisis se revisó si una determinada institución tiene el carácter de proveedor único del servicio que se trata, atendiendo, además, al impacto que su afectación acarrearía al no existir oferta de otros actores como sustitutos o alternativas viables. En la aplicación de este criterio, se revisaron, asimismo, las barreras legales, económicas o técnicas que impedirían la entrada de nuevos proveedores al mercado.
17. Que, el criterio del literal d) considera la necesidad que presentan algunos servicios esenciales de contar con el correcto funcionamiento de otro servicio esencial para poder operar óptimamente, y cómo la afectación, interceptación, interrupción o destrucción de uno repercute en la provisión del otro. Para la aplicación de este criterio, asimismo, se considera el efecto en la cadena de suministro que la interrupción de un servicio puede tener sobre otros servicios relacionados, considerando el flujo de actividades y actores que intervienen. Por último, se revisó la resiliencia de los servicios dependientes para mantener sus operaciones ante la falta del servicio del que dependen, considerando su capacidad para abordar tal contingencia.
18. Que, el criterio del literal e) atiende, en específico al rol que desempeña la institución en el sector en el que se desenvuelve y la importancia estratégica en el normal funcionamiento de la economía y el correcto funcionamiento de la sociedad, en particular, la protección de la seguridad y orden público, la provisión continua y regular de servicios esenciales, el cumplimiento de las funciones del Estado, y los servicios que este debe proveer o garantizar.
19. Que, en esta Fase 2, además, se consideraron las particularidades y especificidades tanto del prestador, como del sector económico en que se desarrolla, entendido su funcionamiento desde una perspectiva sistémica con enfoque de riesgo.
20. Que, así, los fundamentos utilizados para la calificación de cada grupo de entidades, así como las respuestas a los argumentos desplegados en los respectivos descargos efectuados por las instituciones calificadas preliminarmente, se detallan a continuación:
I. INSTITUCIONES QUE PROVEEN SERVICIOS DE GENERACIÓN, TRANSMISIÓN O DISTRIBUCIÓN ELÉCTRICA Y EL COORDINADOR ELÉCTRICO NACIONAL
Para efectos de la calificación, se consideraron características específicas del sector eléctrico, entre ellas, la subdivisión en tres segmentos: generación, transmisión y distribución eléctrica. De estos, el legislador sólo considera como servicios públicos el transporte de electricidad a través de sistemas de transmisión nacional, zonal y para polos de desarrollo de generación, así como el suministro efectuado por una empresa concesionaria de distribución.
Una segunda característica de la industria es que dichos servicios son proveídos a través de un sistema eléctrico, el Sistema Eléctrico Nacional (en adelante "SEN"), el cual está conformado por una serie de empresas interconectadas que, ante diferentes escenarios, pudiesen comprometer el suministro eléctrico. Además, estos servicios operan con fluctuaciones de demanda conforme a circunstancias específicas de un momento determinado.
En este sentido, la Ley General de Servicios Eléctricos (en adelante "LGSE") entrega un rol central al Coordinador Independiente del Sistema Eléctrico Nacional (en adelante "CEN"), al cual corresponde la coordinación de la operación del conjunto de instalaciones del SEN que operen interconectadas entre sí y, por otra parte, le corresponde preservar la seguridad del servicio en el sistema eléctrico.
Además, asiste un rol de regulador a la Comisión Nacional de Energía (en adelante "CNE") entre cuyas atribuciones se encuentra la de monitorear y proyectar el funcionamiento actual y esperado del sector energético, así como proponer al Ministerio de Energía las normas legales y reglamentarias que se requieran, en las materias de su competencia, de conformidad al artículo 6° del decreto ley N°2.224, de 1978, del Ministerio de Minería, que crea la Comisión Nacional de Energía. Integran finalmente la regulación del SEN la Superintendencia de Electricidad y Combustible (en adelante "SEC") y, el Ministerio de Energía, a través de la Subsecretaría de Energía.
A través de los oficios reservados N°3 y N°6 de 2025, de la CNE; los oficios N°299.992 y N°289.797, ambos de 2025, de la SEC; las cartas N°DE06417-25, N°DE04080-25 y N°DE07463-25, del CEN; y los oficios N°35 y N°54, ambos de 2025, de la Subsecretaría de Energía, los organismos públicos con competencia sectorial emitieron sus informes técnicos sobre las instituciones prestadoras de servicios esenciales que realizan actividades de generación, transmisión y distribución eléctrica. Al respecto, y dada la relevancia de la información solicitada, los organismos reguladores estimaron imprescindible realizar un análisis conjunto, por lo que se conformó un equipo interdisciplinario ad-hoc para la elaboración del informe técnico.
Dichos informes fundamentaron el listado de instituciones preliminarmente calificadas, contenido en la resolución exenta N°50, de 2025, de la ANCI, e incorporaron observaciones particulares al listado. Cabe agregar que dichos informes se basaron en lo dispuesto en la ley N°21.663, y en el Estándar de Ciberseguridad para el Sector Eléctrico, de 2022, del Coordinador Eléctrico Nacional.
En relación con el requisito establecido en el N°1 del artículo 5° de la ley, sobre la dependencia de redes y sistemas informáticos para la provisión del servicio, corresponde al CEN la coordinación del conjunto de instalaciones del SEN, la que debe realizarse en tiempo real, para lo cual es indispensable el uso de sistemas de medición, monitoreo y control.
Asimismo, en conformidad con el capítulo 4° de la Norma Técnica de Seguridad y Calidad de Servicio 2025, de la CNE, las instituciones coordinadas se encuentran obligadas a suministrar al CEN toda la información en tiempo real que éste considere necesaria para la adecuada coordinación del sistema. Tales obligaciones están establecidas en el anexo técnico de la misma norma, relativo a los sistemas de monitoreo, dentro de los cuales se contemplan Phasor Measurement Unit (PMU), Phasor Data Concentrator (PDC), Supervisory Control And Data Acquisition (SCADA) y otras infraestructuras de comunicaciones.
A mayor abundamiento, la CNE ha dictado otras normas técnicas que establecen obligaciones en materia de medición, monitoreo y control, tales como: la Norma Técnica de Calidad de Servicio para Sistemas de Distribución 2024; la Norma Técnica de Seguridad y Calidad de Servicio para Sistemas Medianos 2018; y la Norma Técnica de Servicios Complementarios 2019.
En definitiva, el SEN mantiene una dependencia estructural de redes y sistemas informáticos, situación identificada por la regulación sectorial y confirmada por los organismos reguladores, a través de los informes sectoriales, dándose por cumplido el requisito establecido en el numeral 1° del artículo 5° de la ley.
A efectos de llevar a cabo el proceso de calificación de OIV se consideró como primer criterio de inclusión para las empresas del sector eléctrico, la calificación de la LGSE respecto de los segmentos considerados como servicio público, es decir, el suministro que efectúe una empresa concesionaria de distribución a usuarios finales ubicados en sus zonas de concesión, o bien a usuarios ubicados fuera de dichas zonas que se conecten a las instalaciones de la concesionaria mediante líneas propias o de terceros; y el transporte de energía realizado por sistemas de transmisión nacional, zonal o para polos de desarrollo.
La inclusión de dichas empresas en la nómina definitiva de OIV obedece a la naturaleza y criticidad del servicio proveído. Las actividades de transmisión y distribución se caracterizan por requerir de una alta inversión de capital inicial, y contar con grados importantes de indivisibilidad y economías de escala, todas características propias de los monopolios naturales. Lo anterior resulta crucial para determinar el impacto significativo en la provisión continua y regular del servicio eléctrico y de otros servicios esenciales que dependen de él, en tanto existe un escaso nivel de redundancia en estos segmentos. Adicionalmente, en el segmento de distribución se configura materialmente el criterio de monoprovisión, en tanto existen barreras legales, técnicas y económicas que impiden la existencia de más de un concesionario de distribución en un mismo territorio, además de la falta de alternativas viables de suministro para los clientes regulados.
Un segundo criterio consideró la información entregada por las entidades reguladoras del SEN y el CEN, la que se estructura conforme los criterios de calificación de impacto establecidos en el Capítulo 6° del Estándar de Ciberseguridad para el Sector Eléctrico - 2022, cuyo objetivo principal es prevenir o mitigar incidentes de ciberseguridad que pongan en riesgo la seguridad y continuidad del suministro eléctrico.
Dicha calificación se divide en tres niveles: i) impacto alto, el cual contempla aquellos Centros de Despacho y/o Control del CEN dispuestos para la operación en tiempo real del SEN, así como los Centros de Control de las empresas coordinadas utilizados para la supervisión, control y operación de sistemas contempladas en el siguiente nivel de impacto; ii) impacto medio, el cual contempla aquellos sistemas utilizados por instalaciones de generación o recursos reactivos de alta capacidad, instalaciones pertenecientes al sistema de transmisión nacional, otras instalaciones de transmisión de alto flujo e instalaciones vinculadas a esquemas de defensa, automatismos y protecciones especiales, además de aquellas instalaciones que el CEN identifique como necesarias para la seguridad y confiabilidad del SEN; iii) impacto bajo, que contempla aquellos sistemas que no se encuentran incluidos en las categorías anteriores, pero son utilizados por instalaciones de transmisión, generación, protección especial, protección y recuperación de distribución y aquellas instalaciones incluidas en los Planes de Recuperación de Servicio.
En específico, se incluyeron todas las empresas calificadas con impacto alto, dado que su afectación compromete directamente la operación en tiempo real del SEN, degradando de manera inmediata su seguridad y confiabilidad, atendido el deterioro de la capacidad de medición, monitoreo y control de los Centros de Control.
Asimismo, fueron calificadas como OIV las empresas con impacto medio, teniendo presente que la afectación de estos sistemas compromete la confiabilidad del SEN bajo escenarios de operación o contingencias relevantes, puesto que cumplen tres funciones críticas para el sistema: estabilidad, vinculación y protección.
En particular, la función de estabilidad es proveída por las instalaciones de generación de potencia activa y los recursos de potencia reactiva incluidos en esta categoría, pues contribuyen de manera significativa a la estabilidad del sistema eléctrico, situación contemplada en la Norma Técnica de Servicios Complementarios y la Norma Técnica de Seguridad y Calidad del Servicio, en particular en lo relativo al control de frecuencia y tensión. En cuanto a la función de vinculación, esta es realizada por las instalaciones de transmisión contempladas en esta categoría, especialmente las líneas y subestaciones de los sistemas de transmisión nacional, en tanto estas son las que permiten la conformación de un mercado eléctrico común. A su vez, se contemplan instalaciones de transmisión dedicada o zonal que vinculan instalaciones de generación (calificadas bajo impacto medio), que se conectan directamente al sistema de transmisión nacional o que transmiten un alto flujo de energía. Por último, la función de protección es realizada por los sistemas especiales de protección contemplados en el Plan de Defensa contra Contingencias Extremas y los automatismos especiales; los sistemas pertenecientes a los esquemas de desconexión automática de carga y de generación; y los sistemas contemplados en los esquemas de reducción automática de generación. Estas instalaciones actúan de manera automática, inmediata y sin intervención humana, con la finalidad de evitar el colapso del sistema por un desbalance en la frecuencia o tensión.
En consideración a lo previamente señalado, el compromiso de los sistemas de impacto medio de manera simultánea a una contingencia relevante en la red eléctrica tiene un efecto multiplicador del impacto significativo de dicha contingencia, ya que estos sistemas cumplen un rol primordial para la prevención, control y recuperación.
En conformidad a lo recomendado por el CEN, un tercer criterio consideró a las empresas que, no obstante estar calificados en la categoría de impacto bajo, son contempladas en el Plan de Recuperación de Servicio (en adelante "PRS") y/o en el Plan de Defensa contra Contingencia (en adelante "PDC"). La calificación de impacto bajo implica que no presentan riesgos directos para la estabilidad del SEN, sin embargo, cumplen un rol relevante en la resiliencia, continuidad y recuperación del sistema.
El PRS se encuentra contemplado en el artículo 3-49 del Título 3-9 de la Norma Técnica de Servicios Complementarios (en adelante "NT SSCC") y tiene como objetivo establecer los mecanismos que permitan, con posterioridad a un apagón total o parcial, restablecer de manera segura y organizada el suministro eléctrico en todas las islas eléctricas afectadas en el menor tiempo posible, para su posterior vinculación con el resto del SEN.
El PDC encuentra su fundamento en el artículo 1-8 d) de la NT SSCC y contempla esquemas automáticos que, ante la presencia de Contingencias Críticas o Extremas, empleen Recursos Generales y Adicionales de Control de Contingencias para desconectar elementos del sistema de manera que las islas eléctricas originadas puedan mantener su estabilidad, y con ello evitar un apagón parcial o total.
Las instalaciones contempladas en el PRS y el PDC son infraestructuras necesarias para la prevención y/o recuperación del SEN ante eventos de gran magnitud, por lo que la indisponibilidad de dichas instalaciones en los escenarios contemplados por esos planes acrecentaría de manera directa el riesgo e impacto causados por dichas contingencias.
Así, para que una empresa sea calificada como OIV basta que cumpla con alguno de los criterios expuestos anteriormente, no obstante, existen instituciones que cumplen más de un criterio.
La participación de una empresa en el mercado de generación eléctrica no fue por sí misma un criterio de calificación, en tanto el segmento de generación no es catalogado como servicio público por la LGSE. Sin embargo, las empresas que participan de este mercado y cumplen con alguno de los criterios expuestos anteriormente, son calificados como OIV, atendido que basta con el cumplimiento de alguno de estos para que se configure el requisito de impacto significativo contemplado en el artículo 5° de la ley N°21.663.
Los sistemas de transmisión dedicada cumplen con un rol relevante en el SEN, en tanto están conformados por aquellas subestaciones y líneas dispuestas para la inyección de energía al sistema, como para el suministro eléctrico de clientes libres. Junto a lo anterior, los sistemas de transmisión dedicados están sujetos a un régimen de acceso abierto, en tanto la LGSE las obliga a aceptar la conexión a cualquier interesado, siempre y cuando exista capacidad técnica disponible. De igual manera que el segmento de generación, las empresas de instalaciones de transmisión dedicada que cumplan con alguno de los criterios expuestos, han sido calificadas como OIV.
II. EMPRESAS QUE PRESTAN SERVICIOS DE TELECOMUNICACIONES
Con el fin de identificar el universo de entidades potencialmente comprendidas en la definición de servicios de telecomunicaciones, esta Agencia ofició a la Subsecretaría de Telecomunicaciones (en adelante "Subtel") para obtener la nómina de instituciones reguladas bajo su competencia. En respuesta, a través de oficio 5750/2025, Subtel remitió información relativa a cuatro categorías de actores del sector: grandes operadores, concesionarios de servicios públicos, concesionarios de servicios intermedios y permisionarios de servicios limitados.
Así, en primer lugar, Subtel informó la existencia de seis grandes operadores, correspondientes a los principales grupos empresariales del rubro. Asimismo, indicó un total de 1.470 registros para concesionarios de servicios públicos, asociados a 649 RUT, señalando que un mismo RUT puede contar con más de una concesión autorizada. Dentro de este grupo se identificaron servicios como transmisión de datos, buscapersonas, radiocomunicación especializada, servicios públicos de telecomunicaciones, telefonía fija local, telefonía móvil y voz sobre internet. Respecto de los concesionarios de servicios intermedios, se entregaron 244 registros correspondientes a 147 RUT, con autorizaciones que incluyen telefonía de larga distancia, transmisión y/o conmutación e infraestructura física. Finalmente, se informaron 6.133 permisionarios de servicios limitados, los cuales, según la propia Subtel, no serían considerados proveedores de servicios esenciales, dado que su actividad se limita a la operación de equipos de telecomunicaciones y no implica la provisión directa de servicios críticos.
A partir de la información recibida, se procedió a depurar y analizar los antecedentes. Para efectos del análisis, se excluyeron los servicios de telefonía fija y buscapersonas, por tratarse de tecnología analógica en desuso, con muy baja presencia en el mercado actual. Los demás servicios fueron objeto de estudio, considerando su importancia potencial para la conectividad y la continuidad operacional de redes críticas en el país.
El análisis se realizó utilizando información pública disponible en los informes sectoriales de Subtel. Para los prestadores de servicios de internet fijo, se revisó la información relativa al tráfico declarado a junio de 2025, abarcando todas las tecnologías disponibles, entre ellas ADSL, fibra óptica, HFC y redes inalámbricas. Se consideró además el número de conexiones, la distribución territorial de los prestadores y el potencial nivel de afectación en caso de interrupción del servicio. En relación con los prestadores de servicios móviles, se utilizó información de usuarios y tráfico entre los años 2023 y 2025, con el objetivo de estimar el número de personas potencialmente afectadas ante una eventual discontinuidad del servicio.
En el caso de los proveedores de radiocomunicación especializada, se revisaron los contratos vigentes y recientes disponibles en ChileCompra, a fin de identificar a aquellas empresas que prestan servicios a instituciones críticas, tales como las fuerzas de orden y seguridad, fuerzas armadas y bomberos. Finalmente, se consideró también la relevancia de los operadores responsables de la operación y conexión de los cables interoceánicos que vinculan a Chile con redes internacionales, dada su función en la continuidad global de la conectividad del país y la interconexión con los proveedores globales de contenido y servicios de internet.
III. INSTITUCIONES QUE REALIZAN ACTIVIDADES DE INFRAESTRUCTURA DIGITAL, SERVICIOS DIGITALES Y SERVICIOS DE TECNOLOGÍA DE LA INFORMACIÓN GESTIONADOS POR TERCEROS
La industria de servicios digitales constituye la categoría más heterogénea de los sectores regulados por la ley N°21.663, en tanto abarca diversos servicios como son los de infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros, los cuales, a su vez, incluyen servicios de alojamiento de datos, intermediación, seguridad de redes y sistemas, desarrollo de software, entre otros.
Antes de la entrada en vigencia de la ley, la provisión de servicios digitales no contaba con un organismo público con competencia sectorial y facultades específicas de regulación, supervisión, coordinación, administración o fiscalización de este sector.
Para realizar el análisis de este sector, y en virtud del principio de coordinación administrativa, la Agencia solicitó a diversos organismos de la Administración del Estado el envío de información relativa al universo de empresas que participan o intervienen en su sector regulado. En particular, la Agencia remitió al Servicio de Impuestos Internos el oficio secreto N°13, de 2025, mediante el cual requirió un informe respecto de las empresas cuyas actividades contemplaran al menos uno de los siguientes códigos de actividad económica: 620100, 620200, 620900, 631100 y 639900. La inclusión de estos códigos obedeció a un examen pormenorizado respecto de los servicios proveídos por las empresas del sector digital.
Con fecha 24 de junio de 2025, la Agencia remitió al Servicio de Impuestos Internos el oficio secreto N°26, complementando el oficio anterior, para agregar los siguientes códigos de actividad: 65100, 474100, 582000, 620100, 620200, 620900, 631100 y 631200.
En respuesta a esta solicitud, el Servicio de Impuestos Internos informó 62.271 empresas que inscribieron alguno de los códigos anteriormente señalados como relevantes para efectos de la calificación de OIV.
Además, la Agencia solicitó un informe a la Dirección de Compras Públicas respecto de las empresas proveedoras del Estado que hayan prestado servicios a éste durante los últimos cuatro años, a través de cualquier mecanismo de contratación administrativa, ya sea convenio marco; licitación pública o privada; o trato directo. Dicha institución remitió información sobre todas las contrataciones de servicios relativos al sector económico analizado y, además, otorgó acceso a la Agencia a una interfaz para obtener información relativa a las licitaciones y órdenes de compra generada por la plataforma de ChileCompra.
A través del oficio N°203, de 2025, la Agencia solicitó a los prestadores de servicios esenciales inscritos en el sitio web https://www.portal.anci.gob.cl que informaran sobre sus proveedores de servicios digitales, servicios de infraestructura digital y/o servicios de tecnología de la información gestionados por terceros.
De la información recopilada por los medios anteriormente expuestos, se conformó un universo de 59.804 empresas prestadoras de servicios de infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros.
A través del oficio secreto N°59, de 2025, la Agencia requirió a los proveedores de servicios esenciales de las categorías servicios digitales, servicios de infraestructura digital y servicios de tecnología de la información gestionados por terceros, que respondieran un formulario para la calificación del riesgo al que está expuesta la institución y el impacto que eventualmente tendría un incidente de ciberseguridad.
Conformado el universo de empresas de servicios digitales, exclusivamente con fines analíticos para efectos del proceso de calificación de operadores de importancia vital y sin que ello implique una delimitación permanente del ámbito de aplicación de la ley N°21.663, la Agencia realizó el proceso de calificación respecto de las empresas pertenecientes a los tramos de ingresos 8 y superiores, es decir, aquellas empresas que durante el año 2023 tuvieron una facturación anual de 25.000 UF o superior. Respecto de aquellas empresas no incluidas en los tramos indicados, se incluyó aquellas que fueran proveedoras del Estado durante los últimos cuatro años.
Para realizar el análisis particular de cada institución, la Agencia identificó trece prestaciones de servicios digitales calificadas como críticas: i) servicio de alojamiento (hosting); ii) servicio de centro de operaciones de red (NOC) o centro de operaciones de ciberseguridad (SOC); iii) servicio de gestión de incidentes de ciberseguridad; iv) servicios de administración y monitoreo remoto de sistemas y aplicaciones; v) servicios de administración de nube; vi) servicios de firma electrónica avanzada; vii) sistemas de marcas, adquirentes y emisores de medios de pagos digitales; viii) empresas tecnológicas financieras ("fintechs"); ix) software como servicio (SaaS); x) plataforma como servicio (PaaS); xi) infraestructura como servicio (IaaS); xii) hardware y software de puntos de venta; y, xiii) desarrollo de software propio comercializado.
Respecto a servicio de hosting en tanto entregan infraestructura necesaria para articular un conjunto de aplicaciones y funcionalidades a través de internet, las cuales pueden ser ofrecidas a personas y/u organizaciones. La criticidad de estos servicios radica en que son parte de una red de interdependencia compleja, cuya degradación o interrupción puede generar efectos encadenados entre los sistemas que lo conforman. Asimismo, por su naturaleza, estos servicios están más expuestos que el común de las aplicaciones, lo que genera un mayor escrutinio técnico y oportunidades para atacantes de abusar de dichos servicios; por esto, son especialmente vulnerables a degradaciones en la integridad, confidencialidad y disponibilidad de la información y la resiliencia de redes y sistemas informáticos.
En el caso de los servicios de SOC y NOC, se trata de medios por los cuales las organizaciones protegen su infraestructura informática y de red, lo que les permite conocer las debilidades y vulnerabilidades a las que se encuentran expuestas, y monitorear su infraestructura en tiempo real y de forma continua. La afectación de estos servicios expone a las organizaciones a sufrir incidentes, tales como filtraciones de datos, modificaciones no autorizadas u otras incidencias. Junto a lo anterior, estos servicios son el principal medio por el cual se monitorea el uso de aplicaciones expuestas a internet, de manera que su interrupción o afectación obstaculiza la detección y respuesta oportuna de incidentes por parte de las instituciones, lo que eventualmente puede derivar en la afectación de la integridad, confidencialidad y disponibilidad de la información y la resiliencia de redes y sistemas informáticos.
Los servicios de gestión de incidentes de ciberseguridad son parte de los servicios ofrecidos por los SOC. Este servicio permite a sus contratantes responder de forma rápida y eficaz a los incidentes, a través del manejo profesional de la información, el análisis de los registros (logs) de las aplicaciones posiblemente involucradas, la contención del incidente y la recuperación de la operación de los sistemas afectados. Las organizaciones contratan estos servicios debido a que no cuentan con un equipo interno con la capacidad para cumplir con estas funciones, siendo una forma de tercerizar esta actividad. La falta de un equipo capacitado para gestionar incidentes lleva aparejado un tiempo considerablemente superior de recuperación, causando impactos económicos graves en las instituciones y una obstrucción del cumplimiento de sus funciones.
Los servicios de administración y monitoreo remoto de sistemas y aplicaciones entregan a quienes los administran un punto de entrada externo a un sistema potencialmente crítico y protegido por otros mecanismos de seguridad, tales como barreras físicas, firewalls, Endpoint Detection and Response (EDR), entre otros. Una prestación deficiente de estos servicios ya sea por errores en la configuración o por vulnerabilidades del sistema del prestador, permitiría a un atacante el acceso a la infraestructura de los clientes del proveedor, siendo un espacio de riesgo para los clientes. Junto a lo anterior, el monitoreo remoto da acceso a información relativa al tráfico de red hacia los sistemas del cliente, permitiendo al proveedor reconocer intentos de intrusión o modificación maliciosa, lo cual es una oportunidad importante para el control temprano de una incidencia y evitar la afectación de la integridad, confidencialidad y disponibilidad de la información.
Los servicios de administración de nube, también llamados servicios gestionados, son indispensables para el correcto funcionamiento de las aplicaciones alojadas tanto en nubes públicas como privadas e híbridas, pues se requiere la coordinación cuidadosa y detallada de una serie de parámetros técnicos para evitar dejar los sistemas y los datos expuestos a abusos por parte de terceros. Estos servicios requieren de conocimientos técnicos especializados de alto costo; por esto, su tercerización por parte de aquellas empresas a las que no les resulta económicamente rentable contratar a un equipo técnico de manera interna, es fundamental para el correcto funcionamiento de sus aplicaciones expuestas a Internet y para la protección de la integridad, confidencialidad y disponibilidad de la información.
La firma electrónica avanzada es una herramienta digital que permite dar fe del origen e integridad de los documentos electrónicos, por lo que es necesaria para la digitalización de procesos de organismos públicos y privados. Los servicios de firma electrónica avanzada son realizados por las entidades acreditadas en conformidad a la ley N°19.799. Dichas firmas suelen ser proveídas a través de un dispositivo de almacenamiento portable (token USB) entregado al titular de la firma, cuyo uso no depende de que la aplicación de firma se encuentre conectada a internet, sin embargo, para verificar la validez y legitimidad de una firma digital, sí es necesario el acceso a internet, así como la verificación de la vigencia de un certificado de firma. La cadena de confianza asociada a las firmas electrónicas avanzadas depende de la protección adecuada de las llaves privadas utilizadas para firmar los certificados emitidos por los prestadores de servicios de certificación. La vulneración de los sistemas de alguno de estos proveedores podría afectar la integridad de la llave privada, causando que los certificados emitidos por dicha entidad dejen de ser confiables. La degradación de los servicios de firma electrónica avanzada obstruye los procesos dependientes de ella, lo cual tiene un impacto directo en los organismos públicos, privados o personas que dependan de estas e implica una afectación grave de la integridad de la información.
Los sistemas de marcas, adquirentes y emisores de medios de pagos digitales, particularmente los de micropago, forman parte fundamental de la prestación de servicios de todo tipo, por lo que un incidente de ciberseguridad expone a los usuarios a la adulteración o filtración de sus datos. Junto a lo anterior, la degradación o interrupción de estos sistemas puede generar efectos en cadena que obstruyan la disponibilidad de otros sistemas dependientes.
Las empresas tecnológicas financieras forman parte fundamental de la prestación de servicios de todo tipo en la esfera privada. Estos servicios están tan embebidos en la red de prestación de servicios privados, que la adulteración o filtración de sus datos y la interrupción o degradación de su disponibilidad puede generar efectos en cadena en toda la sociedad que, al menos con la información disponible, son imposibles de prever completamente.
Las prestaciones de software como servicio (SaaS), la plataforma como servicio (PaaS), y la infraestructura como servicio (IaaS) son categorías de servicios digitales con distintos niveles de complejidad e involucramiento del usuario y del proveedor en términos de la configuración y uso del entorno digital. Todos son servicios provistos en línea, sin la necesidad de instalar otras aplicaciones en el dispositivo propio o en un servidor. Estos servicios cumplen una función habilitante esencial para el ecosistema digital, siendo indispensables para el correcto funcionamiento de las aplicaciones alojadas tanto en nubes públicas como privadas e híbridas, pues requieren la coordinación cuidadosa y detallada de una serie de parámetros técnicos que permiten asegurar la correcta operación, integración y estabilidad de los sistemas y de los datos que estos procesan.
El software y hardware de puntos de ventas (conocidos por sus siglas en inglés, PoS) son terminales o aplicaciones que permiten a personas realizar el pago de una prestación o servicio. Los PoS son fundamentales para recibir dinero y son parte de procesos complejos cuya interrupción o degradación, puede generar efectos en cadena, afectando la prestación de servicios de los contratantes. Un incidente de ciberseguridad en un prestador de estos servicios puede conllevar la filtración de datos financieros y la modificación no autorizada de estos, exponiendo a los usuarios a ser víctimas de delitos.
Los equipos de comercialización de desarrollos de software son responsables del ciclo de vida completo del producto que comercializan. Esto incluye la entrega activa y continua de parches de vulnerabilidades durante el periodo completo de soporte del producto, con el objetivo de mitigar el impacto de errores de programación en caso de ser descubiertos.
Identificados dichas prestaciones, se consideró como primer criterio de inclusión la provisión de alguna de éstas a algún organismo de la Administración del Estado, debido a la relevancia de los servicios proveídos y la dependencia estructural de la administración del Estado de sistemas y redes informáticos. Un segundo criterio de calificación ponderó tres aspectos desde una perspectiva técnica: i) la oferta de prestaciones catalogadas como críticas; ii) la provisión de dichas prestaciones a prestadores de servicios esenciales u operadores de importancia vital; y iii) la evaluación de riesgo e impacto. Adicionalmente, desde una perspectiva económica, se tuvo en consideración la realidad de las PYMEs, teniendo a la vista el tramo de facturación de la institución.
En todos los casos anteriores se tomó en cuenta la protección de la confidencialidad e integridad de la información que las organizaciones manejan, la protección continua de la disponibilidad de los sistemas, aplicaciones y redes, y la resiliencia de la red que todas las organizaciones forman y que prestan al resto de los servicios esenciales en nuestro país.
IV. INSTITUCIONES QUE REALIZAN ACTIVIDADES DE BANCA, SERVICIOS FINANCIEROS Y MEDIOS DE PAGO
De acuerdo con el artículo 4° de la ley N°21.663, son servicios esenciales los proveídos por instituciones que realizan actividades de banca, servicios financieros y medios de pago.
En relación con el requisito establecido en el N°1 del artículo 5° de la ley, respecto a la dependencia de redes y sistemas informático para la provisión del servicio, se puede advertir que actualmente la industria financiera se encuentra altamente digitalizada e interconectada, por lo que el uso de redes y sistemas informáticos resulta fundamental para que los actores del sistema presten sus servicios, y lo hagan de forma continua, segura y confiable.
En este sentido, y como ha advertido la Comisión para el Mercado Financiero (en adelante "CMF" o "la Comisión"), las instituciones financieras han migrado al mundo de las operaciones digitales, situación que, si bien ofrece una serie de oportunidades, también implica mayores riesgos operacionales que deben ser adecuadamente administrados, a fin de lograr un equilibrio entre el uso de las tecnologías de la información y el control de los riesgos subyacentes.
De esta forma, y atendiendo al actual uso de redes y sistemas informáticos para la prestación de servicios financieros, la CMF ha dispuesto medidas regulatorias en materia de ciberseguridad para las entidades financieras, estableciendo instrucciones, lineamientos y prácticas para sus regulados.
Ahora bien, para proceder al análisis de las instituciones prestadoras de los servicios esenciales de banca, medios de pago y servicios financieros que corresponde calificar como OIV, se solicitó informe al Banco Central de Chile y a la Comisión para el Mercado Financiero.
Así, mediante oficio reservado N°18 de 2025, el Banco Central informó no poseer atribuciones para regular y fijar estándares o directrices respecto de las entidades del sistema financiero. No obstante, dicha entidad recomendó, para efectos de la calificación de estas entidades como OIV, tener en cuenta aspectos vinculados al tamaño de sus operaciones y conectividad con otras instituciones financieras.
Mediante los oficios ord. N°141.687, N°161.461, N°183.250 y N°195.541, la CMF informó respecto de las instituciones prestadoras de servicios esenciales de banca, financieros y medios de pago, que conforme a su juicio experto correspondería calificar como operadores de importancia vital.
En tal contexto, la Comisión incluyó en su análisis a bancos, cooperativas de ahorro y crédito, administradoras generales de fondo, compañías de seguros, instituciones de medios de pago y entidades de infraestructura, respecto de las cuales analizó las externalidades negativas que podrían generar sobre el resto del sistema financiero y la economía real ante un incidente de ciberseguridad, relevando la importancia del impacto sistémico que podría generar la afectación de las entidades para proponer su calificación como OIV.
Junto a la opinión experta de la Comisión, esta Agencia tuvo a la vista informes y reportes de entidades regulatorias del sector, como el Informe de Sistemas de Pago, de agosto de 2025 y conceptos clave de los sistemas de pago, de agosto de 2023, ambos del Banco Central de Chile; datos y estadísticas publicadas por la Comisión para el Mercado Financiero; el Informe Financiero del Mercado Asegurador, de junio 2025, de la misma Comisión; y las memorias institucionales de las entidades precalificadas y de sus reguladores sectoriales.
En virtud del análisis conjunto de tales antecedentes y atendiendo a los requisitos y criterios del artículo 5° de la ley, se identificó a las entidades que, en el marco del sector financiero en que participan, presentan una importancia crítica en atención a elementos como su tamaño, cobertura y naturaleza de sus operaciones, tipo de productos y servicios comercializados, sustituibilidad, concentración del mercado, interconexión y dependencia con otras entidades financieras y servicios esenciales, y, en definitiva, a la relevancia de la entidad para el correcto funcionamiento del sistema financiero.
Sobre las instituciones bancarias, se consideraron como criterios de inclusión en la nómina final de OIV, la calificación anual de bancos de importancia sistémica efectuada por la Comisión para el Mercado Financiero, en conformidad a lo dispuesto en el Capítulo 21-11 de la Recopilación Actualizada de Normas, como también la opinión técnica de la citada Comisión, emitida especialmente en el marco de este proceso. Asimismo, atendiendo al impacto que la afectación de una entidad bancaria puede generar en el acceso cotidiano de la ciudadanía a servicios bancarios, se consideró la prestación de servicios financieros dirigidos a personas naturales -como cuentas corrientes, captación de depósitos, créditos de consumo y créditos de vivienda-, y se valoró la presencia territorial que mantiene la entidad bancaria, considerando por ejemplo si cuentan con sucursales a lo largo del país y en diversas regiones.
Respecto de otros intermediarios financieros, como es el caso de las Cooperativas de ahorro y crédito y las Administradoras Generales de Fondo, para su calificación se atendió a la información remitida por la Comisión, que permite advertir que el riesgo al que están expuestas las instituciones calificadas y el impacto que eventualmente tendría un incidente de ciberseguridad son altos. Asimismo, se ha atendido a aspectos como el tamaño y participación de mercado de las entidades calificadas, que permite advertir que se trata de instituciones que podrían generar un impacto sistémico si son afectadas por un incidente de ciberseguridad.
Para calificar a las compañías de seguros, la opinión técnica de la Comisión ha permitido distinguir a las entidades que presentan una importancia sistémica para el funcionamiento del sistema financiero nacional. En este sentido, la calificación incluyó como variables el tamaño, elementos de interconexión local, sustituibilidad y complejidad de la entidad aseguradora, e incorporó como punto central la eventual generación de externalidades negativas sobre el resto del sistema y la economía real, en caso de deterioro y/o insolvencia de la compañía.
En tal contexto, considerando los demás antecedentes y descargos recabados durante el avance del proceso, para la nómina final se definió aplicar como criterio de inclusión el que se trate de compañías de seguros de vida, también llamadas del segundo grupo, en tanto se trata del grupo que presenta mayor relevancia desde la perspectiva del mercado financiero, considerando el componente de ahorro que tienen sus operaciones para los asegurados y las obligaciones e inversiones de largo plazo a las que dan origen. Luego, dentro de tal grupo, y atendiendo a las variables mencionadas en el párrafo precedente, para la nómina final se consideró a las entidades que operan como actores relevantes dentro de tal industria, y que cuentan con una participación de mercado importante. Asimismo, y atendiendo a los tipos de productos comercializados, resulta importante destacar que en la calificación también se tuvo presente el rol de las entidades aseguradoras en el marco de la administración de prestaciones de seguridad social, en tanto se trata de otro servicio que ha sido identificado como esencial por el legislador.
En relación con las entidades emisoras y operadoras de tarjetas de pago, a partir de los antecedentes y presentaciones recibidas, y considerando la opinión experta de la Comisión, para la calificación se realizó un análisis concreto por institución, respecto de aquellas entidades que presentan un elevado riesgo de generar un impacto significativo en el sistema de pagos ante un incidente de ciberseguridad.
De este modo, en el caso de las operadoras de tarjeta de pago, se atendió a factores como la participación de la entidad en el sistema de operadores de tarjeta de pago de la entidad y a su posición dentro del ecosistema de pagos, con el propósito de valorar el impacto que la disrupción de sus procesos de liquidación y/o pago de las prestaciones que se adeudan a las entidades afiliadas podría generar en el sistema.
Respecto las entidades emisoras de tarjeta de pago que, conforme a los antecedentes disponibles entonces fueron incluidas en la nómina preliminar de calificación, se debe hacer presente que, considerando los demás insumos recabados a lo largo del proceso, se advirtió que por el tipo de productos y servicios ofrecidos, su sustituibilidad funcional, y las características que actualmente presenta el ecosistema de pagos, su afectación no generaría un impacto significativo en los términos del artículo 5° de la ley, por lo que en esta oportunidad se estimó su exclusión de la nómina final.
Ahora bien, para la calificación de las entidades de infraestructura, se advirtió el impacto sistémico que su afectación podría generar, considerando que se trata de entidades que cumplen un rol esencial en la estabilidad del sistema financiero, en tanto permiten realizar las funciones esenciales de aceptación, compensación, liquidación y registro de órdenes de pago entre personas, empresas y actores del sistema financiero.
De esta forma, en el análisis de calificación se tuvo particular atención a la importancia de contar con una infraestructura sólida, que asegure la eficiencia, seguridad y continuidad del sistema financiero, y al importante rol que en este cumplen componentes claves de la infraestructura financiera, como las bolsas de valores, depósito de valores, o de los actores de los sistemas de pagos de alto valor (intermediarios) y de bajo valor (consumidores).
En tal contexto, la inclusión de las entidades de infraestructura en la nómina final obedeció a factores tales como la baja sustituibilidad, alta interconexión con otras entidades financieras, concentración de mercado, y la relevancia de la institución. De igual manera, se consideró los perjudiciales efectos que la afectación a las redes y/o sistemas de estas entidades podría acarrear sobre la continuidad de las operaciones comerciales y el funcionamiento de la economía.
La infraestructura financiera se ha ido fortaleciendo paulatinamente en nuestro país. En efecto, durante el presente año la Comisión para el Mercado Financiero autorizó el inicio de operaciones de las Cámaras de Compensación de Pagos de Bajo Valor (en adelante, "CPBV") hecho que marca un hito en el sistema de pagos nacional, avanzando en la compensación de los pagos minoristas por entidades supervisadas por la CMF, en línea con las mejores prácticas internacionales.
Acerca de la importancia de su rol para el sistema financiero, el Banco Central de Chile constató en el Informe de Sistemas de Pagos, de agosto 2025, en base a la información reportada por estas nuevas CPBV, que las infraestructuras minoristas procesan masivamente operaciones de bajo valor, mientras las infraestructuras mayoristas procesan un menor número de transacciones de alto valor entre instituciones financieras. A partir de ello, se advirtió la importancia sistémica de las entidades de infraestructura, tanto en relación con su valor de sus operaciones, como al volumen de éstas. Así, mientras las infraestructuras mayoristas concentran pagos de alto valor y bajo volumen, con alta exposición sistémica y potenciales efectos de contagio, las minoristas procesan grandes volúmenes de pagos cotidianos de menor valor entre personas y empresas, cuya interrupción puede afectar temporalmente el normal funcionamiento de la economía.
V. INSTITUCIONES QUE REALIZAN PRESTACIÓN INSTITUCIONAL DE SALUD
El sistema de salud chileno tiene una naturaleza mixta que integra actores y estructuras del sector público con las del sector privado, tanto para la provisión como para la previsión de los servicios que entrega.
De acuerdo con el decreto con fuerza de ley N°1, de 2006, del Ministerio de Salud, la Red de Salud Pública se articula a través de veintinueve Servicios de Salud –los que son calificados como OIV bajo la categoría de organismos de la Administración del Estado-, cuya estructura de red está compuesta por el conjunto de establecimientos asistenciales públicos, establecimientos municipales y aquellos establecimientos privados que suscriban convenio con dichos Servicios.
Los Servicios de Salud se organizan en niveles de diversa complejidad: nivel primario, nivel secundario y nivel terciario, estando este último compuesto por Centros de Diagnóstico y Tratamiento (CDT), Consultorios Adosados a Especialidades (CAE) y Hospitales de Mayor Complejidad.
Mediante oficio secreto N°089, de 2025, esta Agencia requirió a la Subsecretaría de Redes Asistenciales que remitiera la información de contacto de los establecimientos que conforman la Red Asistencial, particularmente de los servicios de salud y hospitales de alta complejidad de atención cerrada o abierta. Una vez recibidos estos datos, se envió directamente a cada hospital de alta complejidad incluido en la nómina preliminar un cuestionario de madurez y criticidad en ciberseguridad para que aplicaran a sí mismos la metodología de cálculo de riesgo e impacto.
En consideración a la aplicación de dichos cuestionarios de autoevaluación y a la clasificación por complejidades previamente expuesta, se han incorporado en la nómina a todos los hospitales e institutos que registran complejidad alta, dada su función insustituible y su rol como centro final de atención dentro del sistema de salud pública, prestando cuidados críticos, atención por subespecialidades y capacidad reducida de hospitalización con alta complejidad técnica y tecnológica, por lo que una afectación a la continuidad de sus servicios causaría un impacto de carácter significativo en el porcentaje de la población que accede a sus prestaciones.
Por otro lado, las mutualidades de trabajadores encuentran su regulación en la ley N°16.744, de 1968, la que establece normas sobre accidentes de trabajo y enfermedades profesionales, contemplando como condición para autorizar su existencia, la disposición de servicios médicos especializados, incluyendo aquellas relativas a rehabilitación. De esta manera, se incluyen en esta nómina las mutualidades de seguridad que prestan servicios –por sí mismos o a través de convenios– de hospitalización, cirugía, urgencias, subespecialidades, cuidados intensivos y tratamientos intermedios.
A través del oficio secreto N°089/2025, de 2025, la Superintendencia de Salud remitió un listado de prestadores privados acreditados de alta complejidad, que brindan atención en las modalidades abierta y cerrada. Adicionalmente, adjuntó un listado de prestadores públicos y privados acreditados como centros de diálisis y unidades de quimioterapia ambulatoria.
Para la calificación de los centros privados de atención de salud, por su parte, se utilizó como criterio de inclusión la acreditación realizada por la Superintendencia de Salud, en virtud del decreto supremo N°15, de 2007, del Ministerio de Salud que aprueba el reglamento del Sistema de Acreditación para los prestadores institucionales de salud. Dicho reglamento regula los estándares mínimos que deben cumplir los prestadores para optar a la acreditación, los que abarcan tanto la seguridad de las prestaciones de salud como las condiciones sanitarias, la mantención de los equipos y los requisitos de seguridad de las instalaciones en las que se prestan aquellas atenciones.
Los centros clínicos privados de alta complejidad cumplen un rol crítico en la provisión de servicios de salud a nivel nacional, tanto por la naturaleza mixta e interdependiente del sistema de salud, como por su prevalencia dentro del sector salud, considerando que 60 de los 124 prestadores institucionales de alta complejidad corresponden a prestadores privados, de acuerdo con el Boletín N°3 - 2025 sobre acreditación de prestadores institucionales de salud de la Intendencia de Prestadores de Salud de la Superintendencia de Salud. Bajo esas consideraciones, se estima que un incidente de ciberseguridad que involucrase a los centros clínicos privados acreditados de alta complejidad provocaría la afectación y degradación en la provisión de sus servicios, generando un impacto significativo en la provisión continua y regular de dicho servicio esencial.
Los prestadores de salud no comprendidos dentro del tercer nivel de complejidad -centros de diálisis, centros de radio y quimioterapia, centros de imagenología diagnóstica, centros oftalmológicos y laboratorios clínicos- fueron incluidos en la nómina preliminar en atención a la criticidad de la prestación entregada en términos de dependencia para las atenciones de mayor gravedad. No obstante, durante la fase de descargos, estas instituciones pudieron acreditar que la provisión continua y regular de sus servicios no depende de manera absoluta de redes y sistemas informáticos, en tanto dichos centros pueden continuar operando en ausencia de una red o sistema informático, sin afectar a entidades de mayor envergadura.
En relación con las Instituciones de Salud Previsional (Isapres), de conformidad al artículo 171° y siguientes del decreto con fuerza de ley N°1, de 2005, del Ministerio de Salud corresponde a dichas instituciones financiar las prestaciones y beneficios de salud, pero les está vedada su participación en la ejecución de dichas prestaciones. Debido a ello, estas instituciones serán calificadas en la segunda fase del proceso de calificación, el cual se encuentra actualmente en ejecución, en virtud de su rol predominantemente previsional.
VI. EMPRESAS DEL ESTADO Y DEL SECTOR ESTATAL
El Estado de Chile cumple el rol de empresario en la gestión de una serie de empresas o sociedades distribuidas a lo largo del territorio nacional, que han sido creadas con el objeto de enfrentar los desafíos que ha enfrentado el país en distintas épocas. Se trata de empresas que se desenvuelven en sectores que se ha identificado como estratégicos, abarcando rubros como la minería, defensa, transporte, industria y servicios.
Para efectos de calificar a las empresas estatales, la Agencia requirió a través del oficio secreto N°143, de 2025, un informe fundado al Comité Sistema de Empresas (en adelante, SEP) sobre las empresas que conforman dicho Sistema. Dicha información fue remitida a través del oficio N°218, del SEP, dando cuenta de los antecedentes requeridos.
Con el objeto de desarrollar el proceso de calificación de forma coordinada, se trabajó conjuntamente con empresas del Estado a través de un Cuestionario de autoevaluación de Madurez y Criticidad en Ciberseguridad que fue respondido individualmente por entidades del sector, cuyos resultados luego fueron verificados por esta Agencia, teniendo a la vista una serie de antecedentes, entre ellos los datos, estadísticas e informes publicados por el Comité Sistema de Empresas – SEP Chile; las Memorias institucionales de las empresas precalificadas y de SEP Chile; y los datos e informes publicados por organismos reguladores sectoriales de los distintos ámbitos abarcados por las empresas del Estado.
En relación con el requisito establecido en el N°1 del artículo 5° de la ley, respecto a la dependencia de redes y sistemas informático para la provisión del servicio, se debe tener presente que, en el contexto actual, la transformación digital ha llevado a que la adopción de tecnologías, y el uso de redes y sistemas informáticos sea fundamental para que las instituciones presten sus servicios, garantizando un funcionamiento continuo, eficiente y seguro.
Los resultados del Cuestionario de autoevaluación Madurez y Criticidad en Ciberseguridad, dan cuenta que todas las empresas estatales que lo aplicaron presentan un nivel de exposición alto o muy alto.
En atención al requisito y los criterios dispuestos en el N°2 del artículo 5° de la ley, cabe destacar que en el proceso de calificación se consideraron aspectos como la misión de la empresa, sector en el que se desenvuelve, ámbito de operaciones, cobertura territorial, naturaleza de los productos y servicios que comercializa, usuarios y entidades con las que se vincula, entre otros.
A partir de lo anterior, se ha reconocido el impacto significativo que la afectación, interceptación, interrupción o destrucción de los servicios que prestan las empresas estatales incluidas en la nómina final tendría en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar, según la misión estratégica para el país que les ha sido encomendada.
Así, las empresas del sector defensa cumplen una función estratégica para el país en el ámbito de la defensa nacional, representando un elemento clave para el sostenimiento logístico integral de los sistemas de las Fuerzas Armadas, y contribuyendo a la investigación, innovación, desarrollo y producción de equipamiento militar.
El sector portuario, por su parte, resulta estratégico para la conectividad, el abastecimiento y el comercio exterior de Chile. En tal contexto, a las diez empresas portuarias públicas les corresponde asegurar la disponibilidad de la infraestructura portuaria de uso público del país para las operaciones del transporte marítimo y la transferencia de carga; garantizar la máxima eficiencia logística y operativa de los puertos; y coordinar a los diversos actores públicos y privados que actúan en estos, cumpliendo así un rol clave en el funcionamiento continuo y regular de la red logística portuaria pública.
En el sector transporte, por su parte, destacan dos empresas que cumplen un rol esencial en materia de conectividad y prestación de servicios de transporte terrestre. Así, la Empresa de Transporte de Pasajeros Metro S.A., tiene la misión de realizar el servicio de transporte público de pasajeros en ferrocarriles metropolitanos, para lo cual conecta a 27 comunas del Gran Santiago en 149 kilómetros, a través de su red de siete líneas y 143 estaciones. La entidad, que ha sido considerada la columna vertebral del sistema de transporte público de la capital del país, transportó en promedio a más de 2 millones de personas en un día laboral en 2024. Por su parte, la Empresa de los Ferrocarriles del Estado también cumple un importante rol de conectividad para Chile y forma parte activa de la cadena logística, permitiendo la movilidad de millones de personas, el crecimiento productivo y la actividad exportadora. Con operaciones en diez regiones del país, a través de su infraestructura ferroviaria durante el año 2024 se transportó un total de 61,7 millones de pasajeros y más de 8 millones de toneladas de carga.
Respecto a las empresas estatales que prestan otro tipo de servicios: a la Sociedad Agrícola y Servicios Isla de Pascua le corresponde proveer a la población de la Isla los servicios básicos de agua potable, de electricidad, y de carga y descarga marítimas para el abastecimiento del territorio.
A la Empresa de Correos de Chile, por su parte, se le ha encomendado la misión de prestar el servicio esencial de mensajería y postal a lo largo de todo el país. Opera como un actor clave en la industria de la logística y distribución de correspondencia y paquetería, cumpliendo un importante rol de conectividad en el país al mantener una amplia cobertura en el territorio nacional, abarcando zonas urbanas, rurales y remotas. Asimismo, Correos de Chile tiene el control completo de los envíos que ingresan al país desde el extranjero.
La Empresa Casa de Moneda de Chile, en tanto, presta servicios de impresión de elementos de fe pública con elementos de seguridad digital. Se trata de la única empresa del Estado encargada de proveer productos y servicios de impresión de alta seguridad, acuñación, identificación, trazabilidad fiscal y otras especies valoradas, los que requieren altos estándares de seguridad, calidad y confiabilidad. Presta sus servicios a nivel nacional e internacional, y tanto para instituciones del sector privado como para organismos de la Administración del Estado.
Al Fondo de Infraestructura S.A. se le ha encomendado la misión de desarrollar actividades empresariales de financiamiento e inversión referidas a proyectos de infraestructura, destacando la infraestructura digital como una de sus principales líneas de negocios.
La Empresa Nacional de Petróleo, finalmente, cumple un rol estratégico para la seguridad energética del país, desarrollando actividades de exploración, producción y refinación de petróleo, así como la distribución de combustibles. Su carácter estratégico se refuerza por la importancia de su posición en la refinación de petróleo y en la cadena logística de combustibles en la Región de Magallanes.
Resulta importante hacer presente que algunas empresas estatales han sido calificadas en un sector económico específico (y no en el apartado empresas estatales), o lo serán en la segunda etapa del proceso de calificación, atendiendo a razones metodológicas que aconsejan el análisis de la entidad en el marco del funcionamiento del sector en su conjunto.
VII. ORGANISMOS DE LA ADMINISTRACIÓN DEL ESTADO
Para efectos de calificar a los organismos de la Administración del Estado, la Agencia requirió a través del Oficio Secreto N°104, de 2025, un informe fundado del Ministerio de Hacienda, acerca de las instituciones públicas preliminarmente calificadas como operadores de importancia vital. Dicha información fue remitida a la Agencia con fecha 12 de diciembre de 2025, a través del Oficio Secreto N°E8405/2025.
El procedimiento para verificar si un organismo de la Administración del Estado debía ser calificado como OIV contempló, en una primera instancia, la revisión de aquellas entidades que, formando parte de la Administración del Estado, por las razones que se detallarán a continuación, fueron excluidas de este primer proceso de calificación de OIV.
Así, el universo de OAE se define en el artículo 1° de la ley, el cual dispone:
"Para efectos de esta ley, la Administración del Estado estará compuesta por los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
Las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio."
En particular, se revisaron tres categorías, con diversas realidades normativas y prácticas entre cada uno de los organismos que las integran; cuyo estudio hizo desaconsejable la inclusión como OIV de estos, por las razones que se detallan a continuación:
1.- Delegaciones presidenciales regionales y provinciales
De acuerdo con lo dispuesto en el artículo 1° de la Ley N°19.175 Orgánica Constitucional sobre Gobierno y Administración Regional, el delegado presidencial regional depende directamente del Presidente de la República.
En cuanto a la delegación presidencial provincial, la ley señala que se trata de un órgano territorialmente desconcentrado del delegado presidencial regional, a cargo de un delegado presidencial provincial, quien es nombrado y removido libremente por el Presidente de la República.
Debido a lo anterior, ambas autoridades deben sostener una relación constante y directa con la autoridad central para el adecuado desarrollo de las tareas del gobierno interior. En dicho contexto, y dada la naturaleza de la relación existe un control directo e inmediato desde la autoridad central hacia los representantes regionales y provinciales respecto a las funciones y encomendación de tareas, las que pueden ser ejercidas sin dependencia de redes y sistemas informáticos.
Este hecho, sumado a la priorización que la Agencia ha realizado para focalizar los recursos institucionales disponibles determinaron la exclusión de dichas autoridades del primer listado de OIV.
2.- Gobiernos regionales
La referida ley N°19.175, establece que la administración superior de cada región del país estará radicada en un gobierno regional, constituido por el gobernador regional y el consejo regional, y que tiene por objeto el desarrollo social, cultural y económico de la región.
Los gobiernos regionales poseen distintas competencias, dentro de las que destacan las de diseñar, elaborar, aprobar y aplicar las políticas, planes, programas y proyectos de desarrollo de la región en el ámbito de sus competencias, elaborar y aprobar su proyecto de presupuesto (ajustándose a las orientaciones que se emitan para la formulación del proyecto de Ley de Presupuestos del Sector Público), administrar fondos y programas de aplicación regional. Además, la ley N°19.175 les confiere importantes atribuciones en materia de ordenamiento territorial, de fomento de las actividades productivas, y de desarrollo social y cultural.
Como puede apreciarse, los gobiernos regionales disponen de presupuestos y necesidades diversos. Sin embargo, dada la carga de recursos que conlleva la revisión de información para el análisis de cada gobierno regional de forma separada, y la necesaria priorización que esta Agencia debe realizar en base a la focalización de los recursos institucionales de que dispone, en función de parámetros objetivos y cuantificables (Dictamen N°56.085/2015 CGR), esta Agencia dispuso, de momento, no calificar a los gobiernos regionales, en este primer proceso de calificación, como operadores de importancia vital, sin perjuicio de la facultad de la Agencia para iniciar un nuevo proceso de calificación, cuando circunstancias sobrevinientes así lo justifiquen, conforme lo dispuesto en el artículo 6° del Reglamento.
3.- Municipalidades
De acuerdo con lo señalado en la Ley N°18.695, Orgánica Constitucional de Municipalidades, estas son corporaciones autónomas de derecho público, con personalidad jurídica y patrimonio propio. Asimismo, gozan de autonomía para la administración de sus finanzas.
Actualmente, en nuestro país existen 345 municipios con diversas realidades geográficas, demográficas y económicas. En este sentido, la calificación de estas instituciones requiere una metodología que incorpore aspectos territoriales, financieros y también profesionales y técnicos presentes en cada comuna.
Debido a lo anterior y a la priorización que debe realizar la Agencia respecto de los recursos institucionales disponibles se resolvió excluir a dichas Corporaciones del primer proceso de calificación de OIV.
En relación con el resto de las instituciones, se procedió a una segunda etapa para determinar la concurrencia del primer requisito exigido por el artículo 5° de la ley, esto es, que la provisión del servicio dependa de redes y sistemas informáticos.
Resulta pertinente recordar que la legislación chilena ha ido dando cuenta de un proceso paulatino, pero continuo, de digitalización del Estado. De ello son manifestación diferentes normas, entre ellas, la ley N°19.886 de bases sobre contratos administrativos de suministro y prestación de servicios, cuyo artículo 18° obliga a los órganos públicos regidos por dicha ley a cotizar, licitar, contratar, adjudicar, generar las órdenes de compras asociadas, solicitar el despacho, administrar sus contratos y, en general, desarrollar todos sus procesos de adquisición contractual de bienes, servicios y obras, utilizando solamente los sistemas electrónicos o digitales que establezca al efecto la Dirección de Compras y Contratación Pública.
Otra importante ley de aplicación general para los órganos de la Administración del Estado es la ley N°19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado, y cuyo artículo 19° –luego de la modificación implementada por la ley N°21.180 sobre transformación digital del Estado– establece expresamente que los órganos de la Administración estarán obligados a disponer y utilizar adecuadamente plataformas electrónicas para efectos de llevar expedientes electrónicos, las que deberán cumplir con estándares de seguridad, interoperabilidad, interconexión y ciberseguridad. La referida ley N°21.180, publicada en el Diario Oficial en noviembre de 2019, tiene por objeto que los distintos procedimientos administrativos de los órganos de la Administración del Estado se realicen en formato electrónico, buscando con ello alcanzar una mayor eficiencia, velocidad y certeza en los trámites que llevan a cabo las instituciones públicas.
Asimismo, la ley N°20.285 sobre acceso a la información pública, obliga a los órganos de la Administración del Estado a mantener a disposición permanente del público, a través de sus sitios electrónicos, información actualizada mensualmente sobre su estructura orgánica, funciones, personal, transferencias de fondos públicos, por nombrar solo algunos antecedentes.
Resulta innegable, luego, que la Administración del Estado opera desde hace años con un alto grado de digitalización, lo cual se ve confirmado por las cifras informadas por el Ministerio de Hacienda mediante el Oficio Secreto N°E8405/2025, el cual da cuenta de la importancia de plataformas como, por ejemplo, la de Clave Única, que permite millones de trámites realizados al año.
Sobre los requisitos dispuestos en el artículo 4° del Reglamento, se analizaron las atribuciones conferidas por la ley y particularmente la naturaleza de la prestación otorgada. El análisis se centró en aquellas instituciones que operan a través de redes y sistemas informáticos, y luego en el impacto de la institución en caso de verse afectada en los términos del artículo 4 indicado. Ello teniendo como foco que de conformidad con la ley N°21.663, la ciberseguridad busca la preservación de la confidencialidad e integridad de la información, además de la disponibilidad y resiliencia de redes y sistemas informáticos.
Respecto del primer punto, si bien toda pérdida de confidencialidad resulta irrecuperable, en términos de lo irreversible de la divulgación de información sensible, la calificación ha atendido al impacto significativo en la protección de bienes jurídicos y en el efectivo cumplimiento de las funciones de Estado.
Respecto del segundo punto, esto es, la dimensión de la integridad; esta es definida como la propiedad de que la información sea modificada o destruida sin autorización. En este sentido, el análisis se centró en si la vulneración a la integridad representaría o no un riesgo sistémico para el Estado de Derecho y si la entidad pública cuenta con mecanismos de recuperación que mitiguen el riesgo de un impacto irrecuperable.
Por lo demás, tratándose de organismos de la Administración del Estado, resulta importante recordar que, bajo la Constitución Política de la República vigente, la creación de servicios públicos es entregada a la ley. A su vez, el actuar válido de dichos servicios queda sujeto a la investidura regular de sus integrantes, a que dicho actuar se efectúe dentro de su competencia y en la forma prescrita por la ley. Luego, la competencia de cada órgano está definida por el conjunto de facultades, poderes y atribuciones que le corresponde a cada órgano, por lo que existe una imposibilidad estructural de que un órgano de la Administración del Estado actúe como sustituto de otro, toda vez que el marco de actuación de cada entidad está dado por el ámbito de su competencia.
21. Que, teniendo en cuenta lo anteriormente señalado:
Resuelvo:
Artículo primero: Apruébase la siguiente nómina de Operadores de Importancia Vital, correspondiente al primer proceso de calificación, iniciado mediante resolución exenta N°24, de 2025, de la Agencia Nacional de Ciberseguridad.
I. Instituciones que proveen servicios de generación, transmisión o distribución eléctrica y el Coordinador Eléctrico Nacional.
II. Instituciones que prestan servicios de telecomunicaciones.
III. Instituciones que realizan actividades de infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros.
IV. Instituciones que realizan actividades de banca, servicios financieros y medios de pago.
V. Instituciones que realizan servicios de prestación institucional de salud.
VI. Empresas del Estado y del sector estatal.
VII. Organismos de la Administración del Estado
Anótese y publíquese.- Daniel Álvarez Valenzuela, Director Nacional, Agencia Nacional de Ciberseguridad.