Artículo
Ciberseguridad en data centers Chile: qué exige la Ley 21.663 y cómo prepararte
Fecha publicación: 18 Mayo 2026 @ 14:15

La ciberseguridad en data centers pasó de ser una buena práctica opcional a una obligación legal en Chile. En abril de 2024 se promulgó la Ley Marco de Ciberseguridad N°21.663, que establece obligaciones concretas para todas las organizaciones que operan infraestructura crítica digital en el país — categoría en la que entran directamente los data centers de AWS, Microsoft, Google y los operadores especializados que están multiplicando su presencia en Chile en 2026. Incumplir no es solo un riesgo técnico: es un riesgo regulatorio con sanciones económicas y responsabilidades legales para las personas a cargo.

Para los profesionales técnicos, eso significa que la ciberseguridad ya no es un rol exclusivo de grandes equipos especializados. Es una competencia transversal que se exige en todos los perfiles del sector — desde el operador de sala hasta el administrador de redes y el ingeniero de infraestructura cloud. Si quieres entender el ecosistema completo de empleos que genera esta industria, revisa nuestro artículo sobre trabajos en data center en Chile. Y para el contexto completo del boom de inversiones detrás de esta demanda, revisa nuestro análisis sobre Chile como hub de data centers de Latinoamérica.

Qué es la Ley Marco de Ciberseguridad N°21.663 y a quién aplica

La Ley 21.663 es el primer marco legal integral de ciberseguridad en Chile. Su objetivo es proteger la infraestructura crítica digital del país, garantizar la continuidad de los servicios esenciales y coordinar la respuesta ante incidentes cibernéticos. Para implementarla, crea la Agencia Nacional de Ciberseguridad (ANCI) como organismo autónomo de supervisión, fiscalización y sanción.

La ley aplica tanto a instituciones públicas como privadas. En el sector privado, identifica dos categorías clave: los Prestadores de Servicios Esenciales (PSE) — organizaciones cuya operación es crítica para el país — y los Operadores de Importancia Vital (OIV), que son los PSE con mayor dependencia tecnológica y mayor impacto potencial ante una falla. Los data centers califican directamente en la categoría de infraestructura digital y telecomunicaciones, junto a telcos y servicios TI gestionados por terceros.

La primera obligación dura de la ley — el reporte de incidentes de ciberseguridad — ya rige desde marzo de 2025. Las organizaciones designadas como OIV deben reportar incidentes significativos a la ANCI y al CSIRT Nacional según severidad y dentro de plazos definidos. La Ley 21.663 mide la respuesta a un incidente en minutos, no en semanas.

Las obligaciones concretas que la ley impone a los data centers

Las organizaciones sujetas a la Ley 21.663 deben implementar un conjunto de medidas que van más allá de instalar un antivirus. Las principales obligaciones son:

• Gobernanza y roles definidos: designar un responsable de ciberseguridad con autoridad real, no nominal. Políticas firmadas, comité de seguridad activo y organigrama de roles documentado.
• Gestión de riesgos: identificar, evaluar y priorizar los riesgos de los sistemas digitales de forma periódica. Registro de riesgos con plan de tratamiento actualizado.
• Gestión de incidentes: plan de respuesta a incidentes (IRP), playbooks operativos, simulacros documentados y registro de lecciones aprendidas. El reporte a la ANCI debe cumplir plazos estrictos según la severidad del evento.
• Controles de seguridad técnicos: monitoreo continuo de redes y sistemas, control de accesos, segmentación de redes, cifrado de datos y gestión de vulnerabilidades. En data centers, esto incluye la integración entre los sistemas de CCTV y control de acceso físico con las herramientas de detección de amenazas lógicas.
• Auditorías periódicas: la ANCI puede exigir informes técnicos, revisar evidencias y aplicar sanciones. Las organizaciones deben mantener trazabilidad documental de todos sus controles.
• Capacitación obligatoria: la ley exige formación en ciberseguridad para toda la organización. Un equipo informado es la primera línea de defensa — y también una exigencia regulatoria explícita.

Los roles de ciberseguridad que demanda un data center en Chile

La ciberseguridad en data centers no es responsabilidad de una sola persona ni de un solo equipo. Es una función distribuida que atraviesa múltiples roles técnicos. Los perfiles con mayor demanda activa en el sector son:

• Analista de ciberseguridad: monitorea amenazas en tiempo real desde el SOC (Security Operations Center), responde a alertas y ejecuta los playbooks de incidentes. Es el perfil más demandado y más escaso del mercado TI chileno.
• Ingeniero de seguridad en redes: configura y mantiene firewalls, sistemas de detección de intrusos (IDS/IPS), segmentación de VLANs y controles de acceso a la red. Trabaja sobre la infraestructura de cableado estructurado y equipos Cisco que conectan los racks del data center.
• Especialista en seguridad cloud: protege la infraestructura de cloud computing mediante certificaciones como AWS Security Specialty o Azure Security Engineer (AZ-500). Con la región AWS llegando a Chile, es el perfil con mayor proyección salarial del sector.
• Auditor de ciberseguridad: evalúa el cumplimiento de controles bajo marcos como ISO 27001, NIST o los requisitos específicos de la Ley 21.663. Genera los informes que la ANCI puede exigir en cualquier momento.
• CISO (Chief Information Security Officer): responsable ejecutivo de la estrategia de seguridad. La Ley 21.663 exige que este rol tenga autoridad real y no sea solo nominal. En data centers medianos y grandes es un cargo dedicado de tiempo completo.

ISO 27001 y Ley 21.663: el estándar técnico y el marco legal

La norma ISO 27001 es el estándar internacional de gestión de seguridad de la información. Define los controles técnicos, organizacionales y físicos que una organización debe implementar para proteger sus sistemas. En Chile, los data centers que ya tenían ISO 27001 implementado están en mejor posición para cumplir con la Ley 21.663 — porque muchos de los controles que la ley exige están alineados con los requisitos del estándar.

Sin embargo, ISO 27001 no reemplaza a la Ley 21.663. La ley agrega obligaciones específicas chilenas — como el reporte a la ANCI, la designación de OIV y los plazos de respuesta a incidentes — que no están cubiertas por el estándar internacional. Los data centers en Chile necesitan cumplir ambos marcos simultáneamente.

Adicionalmente, en diciembre de 2026 entrará en vigor la nueva Ley de Protección de Datos Personales, que impondrá un segundo frente de cumplimiento sobre los mismos sistemas que ya deben estar protegidos por la Ley 21.663. Los data centers que almacenan datos de clientes — que son prácticamente todos — enfrentarán obligaciones simultáneas de ciberseguridad y privacidad. Eso multiplica la demanda de profesionales con formación en ambas áreas.

Cómo capacitarse en ciberseguridad para trabajar en data centers en Chile

La ruta de formación en ciberseguridad para el sector de data centers tiene varios puntos de entrada según el perfil de partida. Para quienes vienen del mundo de las redes, el camino natural es profundizar en seguridad de redes — firewalls, IDS/IPS, gestión de accesos — y luego certificarse en marcos como ISO 27001 o NIST. Para quienes vienen de infraestructura cloud, las certificaciones de seguridad específicas de plataforma (AWS Security, AZ-500) son el paso lógico. Para quienes están comenzando desde cero, los cursos de concientización y fundamentos de ciberseguridad son el primer escalón.

Lo que tienen en común todas estas rutas es que la formación certificada — con registro documental — no es solo útil para el empleador: es la evidencia que la Ley 21.663 exige como parte del cumplimiento del requisito de capacitación obligatoria. Un curso de ciberseguridad con certificado no es solo un logro personal: es un documento que la organización puede presentar ante la ANCI en una auditoría.