OIV en Chile: Qué Exige la ANCI y Cómo Cumplir Antes del Plazo de Junio 2026

915 organizaciones. 6 meses de plazo. Multas de hasta $2.795 millones de pesos. Si tu empresa fue declarada Operador de Importancia Vital (OIV) por la ANCI, esto es lo que necesitas saber:

• SGSI certificado (alineado a ISO 27001): Obligatorio.
• Delegado de ciberseguridad designado ante la ANCI: Obligatorio.
• Plan de continuidad operacional documentado y probado: Obligatorio.
• Reporte de incidentes en un máximo de 3 horas (alerta temprana): Obligatorio.
• Plazo estimado para acreditar cumplimiento: Junio 2026.

La nómina ya no es preliminar. El 17 de diciembre de 2025, la ANCI publicó la Resolución Exenta N.º 87 con el listado definitivo del primer procedimiento de calificación. De las 1.712 instituciones iniciales, quedaron 915. Y a cada una le corre el reloj.

Este artículo es tu guía de acción. Qué exige la ley, cuánto tiempo tienes, qué diferencia a un OIV de un prestador de servicio esencial, y cómo las amenazas potenciadas por inteligencia artificial hacen que este cumplimiento sea más urgente que nunca.

¿Qué es un OIV y por qué la ANCI te declaró como uno?

Un Operador de Importancia Vital es una organización cuyo funcionamiento es tan crítico para el país que su interrupción podría afectar la seguridad nacional, el orden público, la salud de la población o la economía.

La Ley Marco de Ciberseguridad (21.663), vigente desde enero de 2025, creó esta categoría y facultó a la ANCI para definir quién entra en ella.

Los criterios de la ANCI son claros: Si la caída de tus sistemas genera un impacto significativo en la prestación de servicios esenciales, eres OIV. No es negociable.

Los 915 OIV por sector

Fuente: ANCI, Resolución Exenta N.º 87, diciembre 2025

Un dato que pocos mencionan: La ANCI ya anunció una segunda fase de calificación que incluirá sectores como transporte, farmacéuticas y seguridad social. Si hoy no estás en la lista, podrías estarlo mañana.

¿Qué obligaciones concretas tiene un OIV?

La Ley 21.663 establece obligaciones específicas para los OIV que van más allá de las que aplican a cualquier prestador de servicios esenciales (PSE). Esta diferencia es clave y muchas empresas no la tienen clara.

Tabla: Obligaciones PSE vs OIV

Nota: Valor UTM marzo 2026 = $69.889 CLP. Todo OIV es automáticamente un PSE, pero no todo PSE es OIV.

La diferencia práctica es significativa: Un OIV enfrenta el doble de multas, plazos de reporte más estrictos (24 horas vs 72 para la actualización del incidente), y la obligación de tener un SGSI certificado, no solo medidas de seguridad "apropiadas".

¿Cuánto tiempo tienes para cumplir?

El reloj empezó a correr el 17 de diciembre de 2025, cuando la ANCI publicó la nómina final. La ley establece un plazo de 6 meses desde la publicación para que los OIV acrediten el cumplimiento de sus obligaciones.

Línea de tiempo de cumplimiento OIV

• 17 diciembre 2025: Publicación nómina final (915 OIV) - Resolución Exenta N.º 87
• Enero - marzo 2026: Período para iniciar implementación SGSI, designar delegado, documentar planes
• Abril - mayo 2026: Período para certificar, realizar simulacros, presentar evidencia
• ~Junio 2026: Plazo estimado para acreditar cumplimiento ante la ANCI
• Post junio 2026: Fiscalización activa. Inicio de posibles sanciones por incumplimiento

Si tu organización aún no ha iniciado la implementación de su SGSI, el mensaje es directo: Cada semana que pasa reduce tu margen de maniobra.

¿Por qué la IA hace este cumplimiento más urgente que nunca?

Cumplir con las obligaciones OIV no es solo un ejercicio regulatorio. Es una necesidad operativa real, y la inteligencia artificial es la razón.

El World Economic Forum reporta que el 94% de los líderes de ciberseguridad identifica la IA como el factor que más está transformando el panorama de amenazas en 2026. El 87% señala las vulnerabilidades habilitadas por IA como el riesgo de más rápido crecimiento. Y los datos lo respaldan:

• Los ataques a aplicaciones potenciados por IA aumentaron un 44% en el último año (IBM X-Force 2026)
• El vishing con deepfakes creció 1.600% en un solo trimestre
• Más de 300.000 credenciales de ChatGPT aparecieron en la dark web, evidenciando los riesgos del uso no gobernado de IA en las organizaciones
• Los prompts de IA riesgosos aumentaron un 97% (Check Point 2026)

¿Qué significa esto para un OIV? Que las amenazas que la Ley 21.663 busca mitigar ya no son solo ransomware tradicional o phishing genérico. Son ataques planificados por agentes de IA autónomos, que identifican vulnerabilidades y ejecutan exploits sin intervención humana.

El costo de no estar preparado

El IBM Cost of a Data Breach Report 2025 entregó un dato que debería estar en la mesa de todo directorio:

• Organizaciones que usan IA y automatización en seguridad: Costo promedio de brecha USD $3,62 millones
• Organizaciones sin IA en seguridad: Costo promedio USD $5,52 millones
• Diferencia: USD $1,9 millones por incidente

Dicho de otra forma: La IA no solo es el problema, también es parte fundamental de la solución. Un OIV que implementa su SGSI sin considerar las capacidades de detección y respuesta potenciadas por IA está cumpliendo con la letra de la ley pero no con su espíritu.

A esto se suma que los incidentes de shadow AI (herramientas de IA usadas sin aprobación de TI) agregan en promedio USD $670.000 adicionales al costo de cada brecha. Con el 29% de los agentes de IA en empresas operando sin autorización, este es un riesgo que tu SGSI debe contemplar.

¿Tu empresa está preparada? Checklist de autodiagnóstico para OIV

Evalúa rápidamente en qué estado se encuentra tu organización frente a las exigencias de la ANCI. Marca cada punto que ya tengas cubierto:

Gobernanza y organización:

• Delegado de ciberseguridad designado y registrado ante la ANCI
• Roles y responsabilidades de ciberseguridad definidos formalmente
• La ciberseguridad es tema recurrente en el directorio (no solo cuando hay incidentes)

SGSI y controles:

• SGSI implementado y alineado a ISO 27001
• Proceso de certificación del SGSI en curso o completado
• Gestión de vulnerabilidades con escaneos regulares y parches priorizados
• Política de gobernanza de IA (shadow AI, uso autorizado de herramientas, protección de datos)

Continuidad y respuesta:

• Plan de continuidad operacional documentado, socializado y probado
• Simulacros de incidentes realizados en los últimos 6 meses
• Monitoreo de seguridad 24/7 operando (CyberSOC interno o externo)
• Proceso de reporte a la ANCI definido y ensayado (alerta temprana en 3 horas)

Protección avanzada:

• Monitoreo de Dark Web y threat intelligence activo
• Gestión de superficie de ataque (ASM) implementada
• Capacitaciones de ciberseguridad periódicas para todo el personal

Resultado orientativo:

• 0-4 puntos: Riesgo crítico. Tu organización tiene brechas significativas que la ANCI probablemente identificará en su primera fiscalización. Necesitas un plan acelerado de cumplimiento con apoyo externo.
• 5-9 puntos: Riesgo moderado. Tienes bases, pero hay brechas que necesitan cerrarse antes de junio. Prioriza SGSI, monitoreo 24/7 y plan de continuidad.
• 10-14 puntos: Nivel de preparación aceptable. Enfócate en mantener evidencias, realizar simulacros y asegurar que tu ecosistema de proveedores también cumple.

¿Cómo se compara Chile con el resto de la región?

Chile lidera el camino en regulación de ciberseguridad para infraestructura crítica en Latinoamérica. Pero no está solo. Perú y Colombia avanzan con marcos propios que todo OIV con operaciones regionales debería conocer.

Chile: El marco más avanzado de LatAm

• Ley 21.663 vigente desde enero 2025
• ANCI operativa con capacidad de fiscalización
• 915 OIV declarados con obligaciones específicas
• Multas de hasta 40.000 UTM ($2.795M CLP)
• Primer balance ANCI: 3.258 instituciones registradas, más de 400 incidentes reportados
• Chile fue clasificado #1 en ciberseguridad en Latinoamérica (BID/OEA)

Perú: Avanzando con CNSD y nueva regulación de IA

• El Centro Nacional de Seguridad Digital (CNSD), bajo el Decreto de Urgencia 007-2020, coordina la gestión de incidentes para infraestructura crítica
• Notificación de incidentes obligatoria, aunque sin plazos tan estrictos como Chile ni sanciones específicas
• No existe una lista publicada de operadores críticos equivalente a los OIV
• La nueva regulación de IA (DS 115-2025-PCM, vigente desde enero 2026) clasifica sistemas de IA en tres niveles de riesgo con supervisión humana obligatoria para decisiones de alto impacto
• El Decreto Legislativo 1700 (enero 2026) actualizó la Ley de Ciberdelitos con nuevas tipificaciones

Colombia: Marco estratégico en construcción

• El CONPES 3995 (2020) establece la política nacional de ciberseguridad con lineamientos para identificar infraestructura crítica
• Existen directrices de identificación pero no una lista obligatoria de operadores ni un SGSI mandatorio
• No hay sanciones específicas por incumplimiento de estándares de ciberseguridad para infraestructura crítica
• El proyecto PL 043-2025 de regulación de IA avanza en el Congreso con clasificación de riesgo y marco de gobernanza
• ColCERT y CSIRTs sectoriales coordinan respuesta a incidentes, pero sin los plazos definidos que tiene Chile

La tendencia es clara: Los marcos regulatorios de la región se endurecen. Si tu organización opera en más de un país, anticiparse al cumplimiento en Chile te prepara para lo que viene en Perú y Colombia.

¿Qué pasos debes priorizar de aquí a junio?

Si tu empresa fue declarada OIV y aún tiene brechas, este es un plan de acción realista para los próximos 3 meses:

Marzo 2026: Diagnóstico y gobernanza

• 1. Designar al delegado de ciberseguridad y registrarlo ante la ANCI (si aún no lo has hecho)
• 2. Realizar un gap analysis de tu SGSI actual vs los requisitos de la Ley 21.663 y la ISO 27001
• 3. Evaluar tu superficie de ataque (ASM) para identificar activos expuestos que desconoces
• 4. Implementar política de gobernanza de IA que contemple shadow AI y uso autorizado de herramientas

Abril 2026: Implementación de controles críticos

• 5. Activar monitoreo 24/7 (CyberSOC) si no lo tienes. Sin monitoreo continuo, cumplir el reporte en 3 horas es prácticamente imposible
• 6. Documentar y probar el plan de continuidad operacional con escenarios reales
• 7. Implementar threat intelligence y monitoreo de Dark Web para anticipar amenazas específicas a tu sector
• 8. Iniciar programa de capacitación en ciberseguridad para todo el personal

Mayo 2026: Certificación y evidencia

• 9. Completar proceso de certificación SGSI o, como mínimo, tener evidencia documentada de implementación avanzada
• 10. Realizar simulacro de incidente que incluya el flujo completo de reporte a la ANCI (3h → 24h → 15d)
• 11. Consolidar evidencia de todos los controles implementados para presentar ante la ANCI
• 12. Evaluar cadena de proveedores para asegurar que tu ecosistema también cumple

Un CyberSOC con IA: La pieza que conecta cumplimiento con protección real

La experiencia de estos primeros meses de la Ley 21.663 dejó una lección clara: Las herramientas aisladas y los equipos que solo operan en horario laboral no alcanzan para cumplir las exigencias de un OIV.

Un CyberSOC potenciado con IA integra las capacidades que la ANCI espera ver funcionando:

• Monitoreo 24/7 con detección asistida por IA que filtra el 90% del ruido de alertas y escala solo lo relevante
• Threat intelligence y monitoreo de Dark Web que anticipa amenazas antes de que se materialicen
• Gestión de superficie de ataque (ASM) que identifica activos expuestos que no sabías que tenías
• Respuesta automatizada que contiene incidentes en minutos, no en horas
• Trazabilidad completa que genera la evidencia que la ANCI exige en cada reporte

Con más de 400 incidentes reportados a la ANCI solo en su primer año de operación, y con amenazas cada vez más sofisticadas impulsadas por IA, la pregunta no es si tu organización necesita estas capacidades. La pregunta es si las tendrá operativas antes de junio.

¿Tu empresa fue declarada OIV y necesita cerrar brechas antes del plazo?

En Netprovider, ayudamos a organizaciones de sectores críticos en Chile y la región a pasar del diagnóstico al cumplimiento con CyberSOC potenciado con IA, GRC, y la experiencia de acompañar a empresas reguladas en los sectores más exigentes. Porque cumplir con la ANCI no debería ser una carrera contrarreloj, sino el punto de partida de una estrategia de resiliencia que proteja tu operación hoy y en los años que vienen.

Agenda una evaluación con Netprovider y convierte la obligación regulatoria en ventaja competitiva.