A partir de un estudio sobre las 915 organizaciones que administran infraestructura crítica en Chile, el autor de esta columna advierte que el país mantiene graves falencias básicas en ciberseguridad, pese a contar con una nueva institucionalidad y un marco legal vigente. Sostiene que cerrar esas brechas no requiere grandes inversiones, sino exigir estándares mínimos, medir su cumplimiento y asumir la ciberseguridad como una política pública verificable y permanente.

Imagen de portada: Hans Scott / Agencia Uno

Imagine que un vecino bien intencionado descubre que la puerta trasera de una central eléctrica quedó abierta. Quiere avisar. Marca el teléfono que figura en la fachada, golpea, busca un buzón, un correo, un cartel que diga «para reportar un problema, contáctenos aquí». No encuentra nada. La puerta sigue abierta, pero no hay forma de avisar. Solo le quedan dos opciones igual de malas: irse y dejar el problema sin resolver, o improvisar un contacto por redes sociales con el dueño y rezar para que conteste. 

Esa escena, trasladada al mundo digital, describe el estado actual de la infraestructura crítica de Chile. Y no lo digo como impresión: lo medí. Publiqué un estudio que censó, una por una, las 915 organizaciones que el Estado designó en diciembre de 2025 como Operadores de Importancia Vital —los bancos, las eléctricas, los hospitales, las telecomunicaciones, el agua, el transporte, los combustibles y la administración del Estado que la Ley 21.663 puso bajo la supervisión de la nueva Agencia Nacional de Ciberseguridad (ANCI)—. La pregunta era simple: ¿cuántas de estas organizaciones tienen un canal verificable y público para que alguien de afuera pueda avisarles de una falla de seguridad? 

La respuesta es 16. De 915. Un 1,7%. 

Dicho de otro modo: el 98,3% del perímetro que el Estado declaró vital para el país no tiene ningún canal descubrible por el que un investigador honesto pueda entregar un aviso. Y no se trata de actores menores. Los cuatro grandes bancos del país no lo tienen. Las dos principales empresas de telecomunicaciones tampoco. Entre todas las organizaciones que operan infraestructura del mundo físico —la electricidad que llega a su casa, el agua que toma, el hospital donde lo atienden— menos de diez publican ese canal. 

A esa distancia —entre la infraestructura que el Estado declaró vital y la que es siquiera contactable cuando algo falla— la llamo la brecha de cobertura. Es, exactamente, lo que mide este estudio: no si las puertas están cerradas, sino si alguien que ve una abierta tiene cómo avisar. 

POR QUÉ ESTO LE IMPORTA A USTED 

Vale la pena explicar qué es esa «puerta con timbre», porque es engañosamente humilde. En la práctica es un archivo estándar y público —existe una norma internacional para ello, la RFC 9116 — donde una organización dice, en una línea: «si encontró un problema de seguridad, escriba a esta dirección». Cuesta esencialmente nada ponerlo. No requiere comprar equipos ni contratar consultores. Es la capa más barata, más básica y más fundacional de la higiene digital. Es el timbre de la puerta. 

Cuando ese timbre no existe, la consecuencia no es abstracta —y usted ya la conoce de primera mano. La medición encontró un segundo problema, todavía más extendido: 766 de las 915 organizaciones —el 84%— tienen mal configurada la autenticación de su correo electrónico. Para los sistemas que reciben los mensajes es difícil, o imposible, distinguir un correo legítimo de una de estas instituciones de uno falso que se hace pasar por ella. Esa grieta tiene un nombre que ningún chileno necesita que le expliquen: phishing. Es el SMS que dice que su encomienda quedó retenida y hay que pagar una aduana; el correo que parece venir de su banco avisando de un «ingreso desde un dispositivo desconocido»; el mensaje que ofrece una devolución de impuestos lista para reclamar. Todos lo hemos recibido. Esa familiaridad cotidiana es, en sí misma, la prueba: el correo es el vector por el que se suplanta a las instituciones, y funciona precisamente porque tantas de ellas no han cerrado esa puerta. 

Hay una tercera señal, que reporto con honestidad sobre su margen de error: cerca de un cuarto del perímetro —el estudio estima un 23,5%, con un intervalo amplio de entre 12% y 38%— expone públicamente componentes de software descontinuados o con vulnerabilidades conocidas. El número exacto es incierto y así lo digo en el paper; lo que no es incierto es la dirección: una fracción material de la infraestructura crítica corre con piezas que ya nadie mantiene.

EL CONTRASTE INTERNACIONAL 

Lo que hace que estas cifras sean preocupantes no es que sean malas en el vacío. Es que el resto del mundo ya resolvió esto, y hace tiempo. En octubre de 2017 —hace casi nueve años— Estados Unidos obligó a todas las agencias federales civiles a configurar correctamente la autenticación de su correo. El resultado fue contundente: la adopción de la medida clave saltó de cerca de 14% a más de 91% en 18 meses, y luego superó el 99%. El Reino Unido hizo lo mismo y además regaló a sus organismos públicos un servicio gratuito para facilitarlo; hoy supera el 99%. Países Bajos llegó a más de 95% con un esquema de «cumpla o explique». Dinamarca, que partió tarde, en 2023, ya se acerca a la saturación. 

En cada uno de esos países, la cobertura del canal de aviso en su infraestructura crítica va del 90% a más del 99%. En Chile es de 1,7%. La diferencia no es un matiz: en la dimensión del correo autenticado, Chile está aproximadamente ocho años detrás de Estados Unidos, el Reino Unido y Holanda, y unos tres años detrás de Dinamarca. Mientras tanto, la mejor estimación pública de adopción en los dominios del Estado chileno (.gob.cl) ronda apenas el 12%. 

La lección que comparten todos esos países es la misma, y es la parte incómoda: tener la ley no basta. Chile ya tiene la ley —la 21.663— y tiene su agencia, la ANCI. Lo que falta no es legislación. Lo que falta es exigir, y medir, los mínimos técnicos verificables desde afuera. Un país puede tener un estatuto de ciberseguridad bellamente redactado, pero si sus organizaciones reguladas presentan en conjunto una brecha del 98%, el estatuto es, en la práctica, opcional.

LO BARATO QUE ES ARREGLARLO 

Aquí está la buena noticia, y es la razón por la que escribo esto en clave constructiva y no de alarma. Esto se arregla, es barato y ya existe el manual. 

Ninguna de las cinco democracias que cité inventó nada. Cada una cerró una brecha inicialmente comparable en 12 a 24 meses tras emitir una sola instrucción vinculante. Chile no necesita reinventar la rueda; necesita adoptar una rueda que lleva casi una década rodando. El costo para las organizaciones es modesto: son cambios de configuración sobre la infraestructura que ya tienen, no inversiones de capital. Y la propia ANCI tiene hoy la facultad legal para exigirlo sin necesidad de una nueva ley. 

La medida más urgente es directa: que la ANCI instruya a las 915 organizaciones a autenticar correctamente su correo dentro de un plazo definido, y a publicar ese canal mínimo de aviso. Eso por sí solo atacaría el hallazgo más extendido del estudio —el 84%— y pondría a Chile en la trayectoria que Dinamarca tomó en 2023. Después vienen pasos igual de asequibles: un registro público de a quién avisar en cada organización, un servicio del Estado que ayude a procesar los reportes, y un informe anual de «cumpla o explique» que convierta esta brecha en una métrica de rendición de cuentas. 

Conviene recordar qué mide exactamente esta brecha. No mide si la infraestructura crítica de Chile es segura: una organización con el timbre puesto igual puede sufrir un ataque, y una sin él puede, por suerte, nunca ser vulnerada. Mide algo más preciso y más urgente: si la próxima vulnerabilidad que alguien descubra en el territorio digital del Estado tendrá adónde ir. Hoy, para el 98,3% del perímetro, no la tiene. Hay una ventana abierta —el país todavía no es blanco de campañas masivas— y es justamente ahora, mientras hay calma, cuando conviene poner el timbre. La iteración de ocho años que tomó a otros países, Chile puede comprimirla en un solo paso. Solo hace falta exigir el mínimo, y medirlo. 

Y medirlo no puede ser un gesto único. Por mi parte seguiré haciéndolo: volveré a medir esta brecha cada 90 días y publicaré el avance, abiertamente. Una brecha que se mira de frente, y en público, es mucho más difícil de dejar abierta.