Ley 21.719 y Ethical Hacking: Cómo Prevenir Brechas de Datos en Chile

La Ley 21.719 obliga a todas las empresas en Chile a proteger los datos personales de clientes, empleados y proveedores. A partir de diciembre de 2026, cualquier filtración o mal manejo de información podrá transformarse en multas de hasta 10.000 UTM y en un daño serio de confianza.

Antes de comenzar, un punto clave es entender qué significa una brecha de datos. Cuando información que debería estar protegida queda expuesta o accesible sin autorización. Puede ser una base de clientes publicada en internet, correos internos divulgados o registros financieros descargados por terceros.

La mejor manera de anticiparse a este riesgo es someter los sistemas a pruebas controladas de seguridad. Esto es lo que conocemos como ethical hacking, y es una herramienta concreta para identificar fallas antes de que un atacante real las aproveche.

La Ley 21.719 y el riesgo de una brecha de datos

La Ley de Protección de Datos Personales,  establece que toda empresa en Chile que trate datos personales será responsable de protegerlos y de reportar incidentes cuando ocurran. Esto incluye a bancos, clínicas, universidades, retailers, pymes y cualquier organización que maneje información de personas.

Una brecha de datos ocurre cuando esa información queda expuesta sin autorización. No es un concepto abstracto, es un problema concreto:

• Un servidor mal configurado que permite descargar bases de clientes.
• Una contraseña débil que abre acceso a correos corporativos.
• Una filtración de nóminas de empleados publicada en foros de internet.

En todos estos casos, la nueva ley exige notificar a la Agencia de Protección de Datos y a los afectados, además de enfrentar sanciones que pueden ir desde 1 UTM hasta 10.000 UTM.

La norma no solo busca castigar después de una filtración, sino empujar a las empresas a tomar medidas preventivas hoy.

Qué es el ethical hacking y cómo funciona

El ethical hacking es la práctica de evaluar la seguridad de sistemas, aplicaciones y redes mediante pruebas controladas que simulan ataques reales. Lo realizan hackers éticos, profesionales autorizados para detectar vulnerabilidades antes de que un atacante las aproveche.

A diferencia de un ciberdelincuente, el hacker ético trabaja con el consentimiento de la empresa y entrega un informe con las fallas encontradas y las recomendaciones para corregirlas.

En la práctica, estas pruebas incluyen:

• Pruebas de penetración (pentesting): Intentos controlados de acceso no autorizado.
• Revisión de configuraciones: Detección de servidores o aplicaciones mal ajustadas.
• Evaluación de contraseñas y accesos: Análisis de credenciales débiles o repetidas.
• Simulación de ataques de phishing: Pruebas de concientización en empleados.

El valor del ethical hacking es que convierte las amenazas en hallazgos accionables, permitiendo reforzar la seguridad antes de que ocurra una brecha.

Cómo el ethical hacking ayuda a cumplir con la Ley 21.719

La Ley de Protección de Datos Personasles no solo regula cómo se deben manejar los datos personales, también exige que las empresas adopten medidas de seguridad efectivas para prevenir incidentes. El ethical hacking es una herramienta clave para demostrar que esas medidas existen y funcionan.

En concreto, el ethical hacking contribuye a:

• Prevenir brechas de datos: Detectar vulnerabilidades técnicas antes de que se conviertan en incidentes que deban notificarse a la Agencia.
• Respaldar evaluaciones de impacto (DPIA): Entregar evidencia técnica que fortalece el análisis de riesgos exigido por la ley.
• Cumplir con la obligación de seguridad: Demostrar que la empresa no se limitó a un plan en papel, sino que puso a prueba sus controles.
• Reducir el riesgo de sanciones: Corregir fallas detectadas de forma proactiva disminuye la probabilidad de multas de hasta 10.000 UTM.

En este sentido, la ley es super clara. Si ocurre una filtración, la responsabilidad recae en la empresa. El ethical hacking permite adelantarse y mostrar que se han tomado medidas concretas para proteger los datos.

Casos comunes de vulnerabilidades detectadas en empresas chilenas

Los ejercicios de ethical hacking realizados en Chile muestran que las brechas de datos suelen originarse en fallas simples pero críticas. Algunos de los casos más comunes son:

• Contraseñas débiles o repetidas: Accesos a sistemas corporativos protegidos con claves fáciles de adivinar o reutilizadas en distintos servicios.
• Servidores mal configurados: Bases de datos expuestas en internet sin las restricciones adecuadas.
• Aplicaciones sin parches de seguridad: Software desactualizado que contiene vulnerabilidades conocidas y aprovechables.
• Accesos excesivos: Usuarios con permisos que exceden lo necesario para sus funciones, lo que aumenta el riesgo de abuso.
• Ingeniería social y phishing: Empleados que caen en correos falsos y entregan credenciales de acceso.

Cada una de estas fallas puede convertirse en una brecha que expone datos personales de clientes o empleados. Bajo la Ley 21.719, ese tipo de incidente debe notificarse a la ANCI y puede derivar en sanciones económicas y pérdida de confianza.

De la teoría a la acción: prepararse hoy para evitar multas y pérdida de confianza

La Ley 21.719 entrará en vigencia en diciembre de 2026, pero el tiempo para prepararse es ahora. Ajustar procesos internos, capacitar equipos y reforzar la seguridad requiere meses de trabajo, no semanas.

El ethical hacking debe ser parte del plan de cumplimiento. Permite identificar vulnerabilidades técnicas, corregirlas antes de que generen una brecha y demostrar que la empresa adopta medidas concretas de seguridad.

Esperar al último momento es un error que puede costar caro: 

• Multas de hasta 10.000 UTM
• Demandas colectivas
• Pérdida de confianza de clientes y socios.

La recomendación es clara. Integre el ethical hacking dentro de su estrategia de cumplimiento de la Ley de Protección de Datos Personales y hágalo acompañado de un partner especializado en ciberseguridad. Es la forma más efectiva de cumplir con la normativa y proteger la continuidad del negocio.