Reporte de Incidentes de Ciberseguridad: Guía Paso a Paso para Chile, Perú y Colombia

3 horas. Ese es el plazo máximo que tienes para enviar la alerta temprana a la ANCI desde que detectas un incidente de ciberseguridad significativo. No 3 días. No "cuando tengas toda la información". Tres horas.

Y si eres Operador de Importancia Vital (OIV), la actualización debe llegar en 24 horas, no en 72. El informe final: 15 días.

Estos plazos no son recomendaciones. Son obligaciones legales establecidas en la Ley Marco de Ciberseguridad 21.663, reglamentadas por el Decreto Supremo 295/2024 y detalladas en la Resolución 7 de la ANCI. Y las multas por incumplimiento llegan a 40.000 UTM (aproximadamente $2.795 millones CLP) para los OIV.

Este artículo es tu guía operativa. Qué se considera un incidente reportable, cuáles son los plazos exactos, cómo funciona el portal de la ANCI paso a paso, qué información debes incluir en cada etapa, y cómo se comparan estos requisitos con los de Perú y Colombia. También te explico por qué sin inteligencia artificial en tu operación de seguridad, cumplir el plazo de 3 horas es prácticamente imposible.

¿Qué se considera un "incidente significativo" de ciberseguridad?

No todo evento de seguridad activa la obligación de reporte. La Ley 21.663 y la Resolución 7 de la ANCI definen criterios específicos para lo que constituye un "incidente de ciberseguridad significativo".

Un incidente es significativo cuando cumple al menos una de estas condiciones:

• Afecta la continuidad de un servicio esencial o la operación de un OIV
• Compromete la confidencialidad, integridad o disponibilidad de datos o sistemas críticos
• Afecta a un número significativo de usuarios o beneficiarios del servicio
• Genera o puede generar efectos en cascada sobre otros servicios esenciales o infraestructura crítica
• Implica acceso no autorizado a sistemas que procesan datos sensibles o estratégicos

Taxonomía de incidentes de la ANCI

La ANCI publicó una taxonomía oficial que clasifica los incidentes en categorías estandarizadas. Conocerla es fundamental porque el portal de reporte te exige clasificar el incidente según esta taxonomía:

Fuente: ANCI, Resolución 7, 2025

Mi recomendación: No esperes a tener un incidente real para familiarizarte con esta taxonomía. Imprímela y tenla visible en tu centro de operaciones. Cuando el reloj de 3 horas está corriendo, no quieres estar buscando en qué categoría encaja lo que estás viendo.

¿Cuáles son los plazos de reporte en Chile?

La Ley 21.663 y el DS 295/2024 establecen un proceso de reporte en tres etapas con plazos diferenciados según si eres OIV o prestador de servicio esencial (PSE):

Línea de tiempo del reporte

Etapa 1: Alerta temprana

• Plazo: 3 horas desde la detección
• Aplica a: OIV y PSE
• Objetivo: Notificar que existe un incidente. No necesitas tener toda la información, pero sí los datos esenciales

Etapa 2: Actualización del incidente

• Plazo OIV: 24 horas desde la alerta temprana
• Plazo PSE: 72 horas desde la alerta temprana
• Objetivo: Ampliar la información inicial con análisis preliminar, alcance estimado, acciones de contención en curso

Etapa 3: Informe final

• Plazo: 15 días desde la alerta temprana
• Aplica a: OIV y PSE
• Objetivo: Reporte completo con causa raíz, impacto real, acciones correctivas, lecciones aprendidas

Tabla resumen de plazos Chile

Fuente: Ley 21.663 y DS 295/2024

Un detalle que muchos pasan por alto: El plazo de 3 horas se cuenta desde la detección, no desde que confirmas que el incidente es real. Esto significa que si tu equipo de seguridad recibe una alerta a las 2:00 AM y la revisa recién a las 8:00 AM, ya incumpliste el plazo. Por eso el monitoreo 24/7 no es un lujo, es un requisito operativo para poder cumplir la ley.

¿Cómo se reporta paso a paso en el portal de la ANCI?

El proceso de reporte se realiza a través del portal oficial de la ANCI en portal.anci.gob.cl. Este es el flujo completo:

Paso 1: Acceso al portal

• Ingresa a portal.anci.gob.cl con las credenciales de tu organización
• El delegado de ciberseguridad registrado ante la ANCI es quien debe tener acceso. Si aún no has designado delegado, este es el primer problema que resolver
• Asegúrate de tener al menos dos personas autorizadas. Si tu delegado está de vacaciones o inaccesible a las 3 AM, necesitas un respaldo

Paso 2: Selección del tipo de notificación

• Elige "Alerta temprana" para la primera notificación
• El sistema te guiará por un formulario estructurado con campos obligatorios y opcionales

Paso 3: Completar el formulario de alerta temprana

El formulario requiere información mínima pero crítica:

• Datos de la organización: RUT, nombre, sector, datos del delegado
• Clasificación del incidente: Según la taxonomía ANCI (código malicioso, disponibilidad, intrusión, etc.)
• Fecha y hora de detección: Exacta. Esta es la que define el inicio del plazo
• Descripción inicial: Qué se detectó, qué sistemas están afectados, impacto estimado
• Acciones inmediatas: Qué medidas de contención se están aplicando

Paso 4: Envío y confirmación

• Al enviar, recibes un número de caso y una confirmación con timestamp
• Guarda esta confirmación. Es tu evidencia de cumplimiento del plazo de 3 horas
• El equipo del CSIRT de la ANCI puede contactarte para solicitar información adicional o coordinar apoyo

Paso 5: Actualización (24h OIV / 72h PSE)

• Desde el mismo portal, accede al caso abierto y selecciona "Actualizar incidente"
• Agrega: Análisis preliminar de causa, alcance confirmado, sistemas comprometidos, datos afectados, estado de la contención

Paso 6: Informe final (15 días)

• Nuevamente desde el caso abierto, selecciona "Informe final"
• Debe incluir: Causa raíz confirmada, impacto total, timeline del incidente, acciones correctivas implementadas, plan de prevención, lecciones aprendidas

¿Qué información debes incluir en cada reporte?

Tener la información lista antes de que ocurra un incidente es lo que separa a las organizaciones que cumplen de las que no. Este es el detalle de lo que necesitas en cada etapa:

Alerta temprana (3 horas)

Actualización (24h/72h)

• Indicadores de compromiso (IoC) identificados
• Vector de ataque preliminar
• Extensión real del compromiso (cuántos equipos, cuántos datos)
• Estado actualizado de la contención
• Terceros notificados (proveedores, clientes, reguladores sectoriales)

Informe final (15 días)

• Causa raíz confirmada con evidencia técnica
• Timeline completo del incidente (desde el acceso inicial hasta la remediación)
• Impacto cuantificado: Datos afectados, tiempo de indisponibilidad, usuarios impactados, costo estimado
• Acciones correctivas implementadas y en curso
• Plan de prevención para evitar recurrencia
• Lecciones aprendidas

Mi consejo práctico: Prepara plantillas prellenadas con los datos estáticos de tu organización (RUT, sector, datos del delegado, inventario de sistemas críticos). Cuando el incidente ocurra, solo necesitas completar las variables del evento. Esos minutos ahorrados pueden ser la diferencia entre cumplir o no el plazo de 3 horas.

¿Cómo funcionan los plazos de reporte en Perú y Colombia?

Si tu organización opera en múltiples países de la región, necesitas conocer los marcos de cada jurisdicción. La buena noticia: Si cumples con los plazos de Chile, estás preparado para lo que exigen Perú y Colombia.

Tabla comparativa: Chile vs Perú vs Colombia

Perú: Avance con el CNSD y DL 1700

Perú operó durante años bajo un modelo voluntario de reporte de incidentes. El Decreto de Urgencia 007-2020 creó el Centro Nacional de Seguridad Digital (CNSD) y estableció la obligación de reportar incidentes para entidades de infraestructura crítica digital, pero sin los plazos estrictos que tiene Chile.

El Decreto Legislativo 1700, vigente desde enero de 2026, actualizó la Ley de Ciberdelitos con nuevas tipificaciones penales y fortaleció el marco sancionatorio. Sin embargo, los plazos de notificación de incidentes siguen sin definición precisa, lo que deja a las organizaciones en un terreno ambiguo.

Para empresas peruanas: Aunque los plazos no están formalizados como en Chile, la tendencia regulatoria apunta hacia allá. Adoptar voluntariamente el esquema de 3h/72h/15d te posiciona de manera ventajosa para cuando la regulación se endurezca.

Colombia: Marco estratégico con CSIRTs sectoriales

Colombia tiene un ecosistema de respuesta a incidentes basado en ColCERT (a nivel nacional) y CSIRTs sectoriales (financiero, gobierno, telecomunicaciones). El CONPES 3995 de 2020 estableció los lineamientos de política de ciberseguridad, incluyendo la identificación de infraestructura crítica.

El reporte de incidentes es obligatorio para ciertos sectores regulados (financiero a través de la SFC, telecomunicaciones a través de la CRC), pero no existe un marco unificado con plazos estandarizados como el chileno.

El proyecto de ley PL 043-2025 de regulación de IA avanza en el Congreso e incluye clasificación de riesgo y gobernanza, lo que podría acelerar la modernización del marco de ciberseguridad.

La tendencia regional es clara: Chile lidera con el marco más avanzado y estricto de Latinoamérica. Perú y Colombia avanzan, pero aún sin los plazos y sanciones definidos. Si operas en los tres países, usar el estándar chileno como base te prepara para cualquier escenario regulatorio.

¿Por qué sin IA es imposible cumplir el plazo de 3 horas?

Aquí es donde la teoría regulatoria choca con la realidad operativa. Tres horas desde la detección. Suena factible. Pero analicemos qué implica:

1. Detectar que algo anormal está ocurriendo
2. Validar que es un incidente real (no un falso positivo)
3. Clasificar según la taxonomía ANCI
4. Evaluar el impacto inicial y los sistemas afectados
5. Iniciar acciones de contención
6. Completar el formulario de alerta temprana en el portal
7. Enviar antes de que se cumplan las 3 horas

Todo eso, potencialmente a las 3 AM de un domingo.

Los números que explican el problema

Un CyberSOC promedio recibe entre 8.000 y 11.000 alertas diarias. De esas, menos del 5% son incidentes reales. Sin inteligencia artificial, un analista humano necesita entre 15 y 45 minutos para triagear cada alerta. Haz la matemática: Es físicamente imposible revisar ese volumen en tiempo real con un equipo humano limitado.

Las organizaciones que usan IA y automatización en sus operaciones de seguridad logran resultados radicalmente diferentes:

• MTTD (tiempo medio de detección) reducido en un 28% respecto a operaciones sin IA (IBM Cost of a Data Breach 2025)
• MTTR (tiempo medio de respuesta) reducido en un 26%
• El 90% de las alertas son filtradas automáticamente como ruido, permitiendo que los analistas se enfoquen en lo que importa
• Generación automática de reportes preliminares con la información estructurada que exige el formulario ANCI

Dicho de forma directa: Sin IA, tu equipo está apagando incendios con baldes de agua. Con IA, tiene un sistema que detecta el humo antes de que haya fuego, y cuando lo hay, ya tiene el reporte a medio llenar.

La detección con IA en la práctica

Un CyberSOC potenciado con IA funciona así frente a un incidente:

1. Minuto 0-5: La IA detecta comportamiento anómalo (movimiento lateral, exfiltración de datos, cifrado masivo) y genera alerta con nivel de confianza
2. Minuto 5-15: Correlación automática con threat intelligence, IoCs conocidos y contexto de la organización. Clasificación preliminar según taxonomía
3. Minuto 15-30: Analista humano valida, escala y activa protocolo de respuesta a incidentes
4. Minuto 30-60: Contención inicial automatizada (aislamiento de endpoints, bloqueo de IoCs en perímetro)
5. Minuto 60-120: Reporte preliminar generado con datos estructurados, listo para completar campos finales
6. Antes de la hora 3: Alerta temprana enviada al portal ANCI con toda la información requerida

Sin IA, el paso 1 puede tomar horas. Y si el paso 1 toma horas, el resto del proceso es irrelevante porque ya incumpliste el plazo.

Plan de acción en 7 días para OIV

Si tu organización fue declarada OIV y aún no tiene un proceso de reporte de incidentes definido y probado, este es un plan para implementarlo en una semana:

Día 1-2: Gobernanza y accesos

• Verificar que tu delegado de ciberseguridad tiene acceso activo al portal ANCI
• Designar un delegado suplente con acceso al portal (cobertura 24/7)
• Definir la cadena de escalamiento interna: Quién detecta, quién valida, quién reporta
• Asegurar que el delegado tiene datos de contacto directo con el CSIRT de la ANCI

Día 3-4: Documentación y plantillas

• Crear plantillas prellenadas para cada etapa del reporte (alerta temprana, actualización, informe final)
• Documentar el inventario de sistemas críticos (nombre, función, criticidad, responsable)
• Imprimir y distribuir la taxonomía de incidentes ANCI en el área de operaciones
• Crear un checklist físico de "primeros 30 minutos" con acciones de contención por tipo de incidente

Día 5-6: Proceso y automatización

• Configurar alertas automáticas del CyberSOC con clasificación de severidad alineada a la taxonomía ANCI
• Implementar correlación de alertas con IA para reducir falsos positivos y acelerar triaje
• Definir el flujo de comunicación durante un incidente (canales, frecuencia, audiencias)
• Configurar generación automática de reportes preliminares con datos estructurados

Día 7: Simulacro

• Ejecutar un simulacro de incidente que cubra el ciclo completo: Detección, validación, clasificación, contención, reporte
• Medir el tiempo real desde la detección hasta el envío de la alerta temprana
• Si el tiempo excede 3 horas, identificar los cuellos de botella y corregir
• Documentar el resultado del simulacro como evidencia para la ANCI

Resultado esperado: Al final de los 7 días, tu organización tiene un proceso documentado, probado y medido. No es el fin del camino, pero es un punto de partida sólido que reduce dramáticamente el riesgo de incumplimiento.

¿Cómo puede ayudarte Netprovider?

Reportar un incidente en 3 horas no es un problema de formularios. Es un problema de capacidad operativa. Si no detectas rápido, no reportas a tiempo. Si no tienes monitoreo 24/7, el plazo empieza a correr sin que lo sepas. Si no tienes automatización, tu equipo se ahoga en miles de alertas mientras el reloj avanza.

En Netprovider, ayudamos a organizaciones de sectores críticos en Chile, Perú y Colombia a construir esa capacidad operativa con dos servicios que se complementan:

CyberSOC potenciado con IA:

• Monitoreo 24/7 con detección asistida por inteligencia artificial que filtra el 90% del ruido
• Correlación automática de alertas con threat intelligence y contexto de tu organización
• MTTD reducido un 28% y MTTR reducido un 26%
• Generación automática de reportes preliminares alineados al formato ANCI
• Contención automatizada que actúa en minutos, no en horas

GRC (Gobernanza, Riesgo y Cumplimiento):

• Diseño de procesos de reporte alineados al DS 295/2024 y la Resolución 7 ANCI
• Creación de plantillas, flujos y protocolos de escalamiento
• Simulacros de incidentes con medición de tiempos reales
• Acompañamiento para delegados de ciberseguridad ante la ANCI
• Preparación de evidencia para fiscalizaciones

El primer balance de la ANCI reportó más de 400 incidentes en su primer año de operación y 3.258 instituciones registradas en su plataforma. La fiscalización ya está activa. La pregunta no es si tendrás un incidente, sino si cuando ocurra, podrás reportarlo en 3 horas.

Tu próxima acción: Agenda una evaluación con Netprovider y mide cuánto tardaría hoy tu organización en cumplir el ciclo completo de reporte. Si la respuesta te incomoda, tenemos la solución.

Fuentes

• Ley Marco de Ciberseguridad 21.663 - Texto completo
• Decreto Supremo 295/2024 - Diario Oficial
• ANCI Portal de reportes - portal.anci.gob.cl
• ANCI Resolución 7 (2025) - anci.gob.cl
• ANCI Primer Balance - anci.gob.cl
• IBM Cost of a Data Breach Report 2025 - ibm.com/reports/data-breach
• WEF Global Cybersecurity Outlook 2026 - weforum.org
• CSIRT Chile - csirt.gob.cl
• CNSD Perú - gob.pe/cnsd
• ColCERT Colombia - colcert.gov.co