Imagen destacada: CSIRT en Chile: Ley Marco de Ciberseguridad, ANCI y Cómo Implementarlo en tu Empresa - CSIRT en Chile 2026: qué exige la Ley Marco de Ciberseguridad 21.663, rol de ANC
Ciberseguridad y Regulación

CSIRT en Chile: Ley Marco de Ciberseguridad, ANCI y Cómo Implementarlo en tu Empresa

CSIRT en Chile 2026: qué exige la Ley Marco de Ciberseguridad 21.663, rol de ANCI, cómo designar un CSIRT corporativo y casos prácticos por sector regulado.

B

Autor

Blackend Team

18 de Mayo, 2026
22 min de lectura

Un CSIRT (Computer Security Incident Response Team) es el equipo formal dentro de una organización —o el servicio externo contratado— responsable de detectar, responder, mitigar y reportar incidentes de ciberseguridad. En Chile, este concepto dejó de ser una buena práctica recomendada para volverse una pieza obligatoria del nuevo marco regulatorio: la Ley 21.663 Marco de Ciberseguridad, publicada a fines de 2024 y operativa bajo la supervisión de la Agencia Nacional de Ciberseguridad (ANCI), exige a las empresas calificadas como "operadores de importancia vital" y "servicios esenciales" contar con capacidades de respuesta a incidentes formalizadas, reportes ante ANCI en plazos estrictos y, en muchos casos, designar un CSIRT propio, sectorial o tercerizado.

Esta guía está pensada para gerentes generales, CTOs, CISOs y oficiales de cumplimiento de empresas medianas y grandes chilenas —especialmente utilities, finanzas, salud, telecomunicaciones, transporte y servicios públicos digitales— que necesitan entender qué exige la Ley 21.663, cómo se diferencia un CSIRT nacional de uno sectorial y uno corporativo, qué pasos concretos implica designar uno, qué stack tecnológico requiere y cómo encaja con regulaciones adyacentes como la Ley Fintech 21.521 o la Ley de Protección de Datos Personales 21.719. Si después de leerla todavía no sabes si tu empresa está obligada, al final dejamos los frentes correctos para diagnosticarlo.

¿Qué es un CSIRT?

Un CSIRT —en inglés Computer Security Incident Response Team, en español "Equipo de Respuesta ante Incidentes de Seguridad Informática"— es la unidad responsable de gestionar el ciclo de vida completo de los incidentes de ciberseguridad de una organización o sector. No es solo "monitoreo": un CSIRT real combina personas, procesos y tecnología para prevenir, detectar, contener, erradicar, recuperar y aprender de cada incidente.

Históricamente los CSIRT nacieron a fines de los años 80 (el primero fue el CERT/CC en Carnegie Mellon, tras el gusano Morris de 1988). Hoy existen en tres grandes formatos: nacionales (uno por país, articulan respuesta y coordinan con pares internacionales), sectoriales (uno por industria regulada: banca, salud, energía) y corporativos o internos (uno por empresa, gestionan los incidentes de esa organización). En Chile, los tres conviven y están explícitamente definidos en la Ley 21.663.

La diferencia con un SOC (Security Operations Center) es que el SOC es principalmente operación 24/7 de monitoreo y primera línea, mientras que el CSIRT incluye además gestión de incidentes, forensia, threat intelligence, coordinación con autoridad, comunicaciones de crisis y mejora continua. Muchas empresas medianas tercerizan el SOC y mantienen el CSIRT mínimo internamente; otras contratan todo bajo modelo CSIRT-as-a-Service.

Marco regulatorio en Chile: Ley 21.663 Marco de Ciberseguridad

La Ley 21.663, conocida como Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, fue publicada en el Diario Oficial el 8 de abril de 2024 y constituye el cambio más significativo en la regulación de ciberseguridad chilena en décadas. Sus puntos clave son:

  • Vigencia escalonada: la ley entró en vigencia el 1 de enero de 2025 para algunas obligaciones generales y completa su despliegue durante 2025-2026 con la designación de operadores y la emisión de reglamentos por parte de ANCI.
  • Alcance: aplica a "operadores de importancia vital" y "servicios esenciales", categorías que incluyen sectores como energía, agua y saneamiento, telecomunicaciones, transporte, salud, banca y servicios financieros, administración pública, infraestructura digital, y proveedores TIC críticos.
  • Sectores obligados: la calificación específica la determina ANCI por resolución, pero el espíritu de la ley apunta a que toda empresa cuya caída operacional impacte servicios esenciales para la población o la economía chilena quede dentro del perímetro.
  • Obligaciones principales: implementar un sistema de gestión de seguridad de la información, contar con planes de continuidad operacional y respuesta a incidentes, reportar incidentes de impacto significativo a ANCI dentro de plazos definidos (típicamente 3 horas para alerta inicial y 72 horas para reporte completo), someterse a auditorías y mantener registros.
  • Sanciones: multas administrativas que pueden alcanzar hasta 40.000 UTM (cerca de USD 2,8 millones) para infracciones gravísimas, además de medidas correctivas y consecuencias reputacionales. La reincidencia y la falta de cooperación con ANCI agravan las multas.
  • Relación con otras leyes: la Ley 21.663 no deroga las regulaciones sectoriales previas (Ley Fintech 21.521, normativa CMF para bancos, normas de la Superintendencia de Salud, etc.). Convive con ellas y, en general, eleva el piso mínimo de exigencia.

La consecuencia práctica para una empresa chilena mediana o grande es simple: si operas en un sector regulado o tu servicio digital tiene escala significativa, deberías asumir que estás —o estarás pronto— dentro del alcance de la ley. Postergar el diagnóstico es la decisión más cara que puedes tomar este año.

ANCI: rol, funciones y por qué importa tanto

La Agencia Nacional de Ciberseguridad (ANCI) es el órgano técnico autónomo creado por la Ley 21.663 que coordina, supervisa y sanciona en materia de ciberseguridad a nivel nacional. Su rol es comparable al de ENISA en la Unión Europea o CISA en Estados Unidos. Reemplaza y unifica funciones que antes estaban dispersas entre ministerios, el CSIRT de Gobierno y el sector privado.

Las funciones principales de ANCI incluyen:

  • Calificar operadores: identificar qué empresas son "operadores de importancia vital" y qué servicios son "esenciales".
  • Emitir reglamentos técnicos: normas específicas sobre controles de seguridad, criterios de reporte, estándares mínimos.
  • Coordinar CSIRT nacional: opera el CSIRT Nacional que articula respuesta a incidentes de gran escala y enlaza con CSIRTs sectoriales, corporativos e internacionales (FIRST, OEA-CICTE).
  • Recibir y procesar reportes de incidentes: las empresas obligadas deben reportar incidentes significativos a ANCI en ventanas estrictas. ANCI puede coordinar respuesta, emitir alertas sectoriales y compartir indicadores de compromiso.
  • Auditar y fiscalizar: puede solicitar evidencia de cumplimiento, realizar auditorías y aplicar sanciones.
  • Promover capacidades: programas de formación, ejercicios nacionales (ciberejercicios), difusión de buenas prácticas y colaboración público-privada.

En términos prácticos, ANCI es la autoridad con la que tu CSIRT corporativo va a interactuar cuando ocurra un incidente significativo. Y es también la entidad que puede auditar tu programa de ciberseguridad si tu empresa quedó calificada como operador. Entender cómo se reporta, qué información se entrega y cómo se mantiene el canal de comunicación es una capacidad operacional que el CSIRT debe tener antes de que ocurra el primer incidente, no después.

CSIRT nacional vs CSIRT sectorial vs CSIRT corporativo

La Ley 21.663 reconoce tres niveles de CSIRT que conviven y se coordinan entre sí. Entender las diferencias es clave porque tu empresa muy probablemente necesita un CSIRT corporativo, pero también va a reportar y coordinar con los otros dos niveles.

AspectoCSIRT NacionalCSIRT SectorialCSIRT Corporativo
Quién lo operaANCI (Estado)Asociación gremial, regulador o consorcio sectorialLa empresa, in-house o como CSIRT-as-a-Service
AlcancePaís completoUna industria (banca, energía, salud, telco)Una organización
Función principalCoordinación nacional, alertas, respuesta a incidentes de escala sistémicaCompartir threat intelligence sectorial, coordinar respuesta entre empresas del rubroDetectar, responder y mitigar incidentes dentro de la empresa
Obligación legalDefinida por leyRecomendada para sectores regulados; obligatoria en algunos casosObligatoria para operadores de importancia vital y servicios esenciales
Quién reporta a quiénRecibe reportes de sectoriales y corporativosRecibe reportes de corporativos del sector, reporta al nacionalReporta a sectorial (si existe) y/o directamente al nacional
FinanciamientoPresupuesto públicoAportes del sectorPresupuesto interno o contrato de servicio
Coordinación internacionalFIRST, OEA-CICTE, pares de otros paísesCon CSIRTs sectoriales internacionales (FS-ISAC, E-ISAC)Limitada, generalmente vía sectorial o nacional

En la práctica chilena, los CSIRT sectoriales más maduros están en banca (alrededor de la ABIF y la CMF) y energía (Coordinador Eléctrico Nacional). En salud, telco, transporte, agua y otros sectores el modelo está aún en construcción. Por eso muchas empresas se enfrentan al dilema "no existe sectorial maduro, tengo que armar el corporativo igual o más rápido".

¿Mi empresa necesita un CSIRT propio?

La respuesta corta: si tu empresa fue —o probablemente sea pronto— calificada como operador de importancia vital o servicio esencial, sí. La respuesta más larga depende de tamaño, sector, exposición digital y apetito al riesgo. Esta matriz orienta la decisión:

SituaciónRecomendación
Empresa pequeña (< 50 personas), sector no regulado, exposición web bajaNo necesitas CSIRT formal. Asegura básicos (MFA, backups, EDR básico, plan de respuesta documentado).
Mediana (50-300 personas), no regulada, con e-commerce o app clienteCSIRT-as-a-Service de un MSSP serio. Costo razonable, cobertura 24/7, sin necesidad de equipo interno.
Mediana en sector regulado (fintech bajo Ley 21.521, salud, utilities pequeñas)CSIRT corporativo híbrido: un CISO interno + MSSP para SOC 24/7 + consultor externo para reporting ANCI.
Grande (> 300 personas) o calificada operador importancia vitalCSIRT corporativo formalizado con equipo interno (mínimo 4-8 personas), tooling propio, procesos documentados y auditoría anual.
Empresa pública o servicio esencial declarado por ANCICSIRT propio obligatorio con designación formal, integración con CSIRT Nacional y cumplimiento explícito Ley 21.663.

Las señales que indican que ya cruzaste el umbral incluyen: recibes requerimientos de cumplimiento de tus clientes B2B (especialmente corporativos o estatales), tu marca aparece en reportes de vulnerabilidades públicos, tu equipo legal recibe consultas sobre Ley 21.663, tu auditor externo agregó un capítulo de ciberseguridad, o tu sector tiene un regulador activo (CMF, SEC, Subtel, Superintendencia de Salud) que está empezando a pedir evidencias. Si dos o más aplican, probablemente necesitas iniciar el frente de servicios de ciberseguridad gestionados antes de fin de año.

Cómo se designa un CSIRT: 6 pasos de implementación

Implementar un CSIRT no es comprar un software ni contratar un analista. Es construir una capacidad operacional que integra personas, procesos y tecnología, alineada con tu marco regulatorio. La secuencia que recomendamos en proyectos reales es:

1. Análisis de riesgo y alcance

Antes de levantar un equipo o un SOC, hay que entender qué se protege. Esto incluye inventariar activos críticos (sistemas, datos, procesos), mapear amenazas relevantes para tu sector, definir el apetito al riesgo de la organización y precisar el alcance del CSIRT (¿cubre solo la matriz o también filiales? ¿solo TI o también OT industrial?). Esta etapa suele tomar 3-6 semanas y entrega un statement of authority que define qué puede hacer el CSIRT, sobre qué activos y con qué autoridad de decisión.

2. Modelo organizacional y equipo

Define si el CSIRT será 100% interno, mixto o tercerizado, y arma el organigrama. Un CSIRT corporativo mínimo viable tiene 4 roles: un líder CSIRT (CISO o jefe SecOps), un analista de detección (alertas, correlación, triage), un respondedor de incidentes (forensia, contención) y un analista de threat intelligence (inteligencia de amenazas, hunting). Para 24/7 se suman turnos de SOC, típicamente tercerizados a un MSSP. Para empresas grandes se agregan roles de ingeniería de detección, automatización (SOAR), compliance y comunicaciones de crisis.

3. Herramientas y stack tecnológico

Un CSIRT necesita visibilidad sobre toda la superficie digital de la empresa. El stack mínimo en 2026 incluye: SIEM para correlación de logs, EDR en endpoints, NDR para detección de red, SOAR para automatizar playbooks, feeds de threat intelligence, plataforma de tickets y gestión de casos, y herramientas forenses. Más adelante en esta guía profundizamos en el stack específico.

4. Procedimientos y playbooks

Documenta cómo el CSIRT detecta, clasifica, escala y responde a cada tipo de incidente. Los playbooks típicos cubren: phishing dirigido, ransomware, exfiltración de datos, ataques DDoS, compromiso de cuentas privilegiadas, vulnerabilidades en aplicaciones web, ataques a la cadena de suministro, y fraude interno. Cada playbook define disparadores, pasos de contención, criterios de escalamiento, plantilla de comunicación y criterios de cierre. Sin playbooks, cada incidente se maneja con improvisación —y la improvisación es donde se cometen los errores más caros.

5. Procedimiento de reporting a ANCI

Si tu empresa es operador obligado, define en detalle el flujo de reporte a ANCI: quién recibe la alerta interna, quién decide que el incidente es "significativo" y debe reportarse, quién redacta y firma el reporte, canal de comunicación con ANCI (portal, correo, teléfono), y cómo se documenta cada paso. Los plazos típicos son 3 horas para alerta inicial y 72 horas para reporte completo. Cualquier ambigüedad en el flujo en el momento del incidente cuesta horas críticas y eventualmente multas. Recomendamos correr al menos un simulacro trimestral del flujo ANCI antes de necesitarlo de verdad.

6. Certificación, auditoría y mejora continua

Un CSIRT maduro se audita periódicamente. Las certificaciones más relevantes son ISO/IEC 27001 (gestión de seguridad de la información) e ISO/IEC 27035 (gestión de incidentes), y a nivel operativo el reconocimiento FIRST.org o las acreditaciones TF-CSIRT. Internamente, el CSIRT debe medir métricas clave (MTTD, MTTR, número de incidentes por categoría, falsos positivos) y reportar trimestralmente al directorio. La mejora continua viene de las lecciones aprendidas post-incidente: cada caso real es una oportunidad para refinar playbooks, controles preventivos y entrenamiento.

Stack tecnológico típico de un CSIRT en 2026

Las capas tecnológicas que sostienen la operación de un CSIRT moderno están relativamente estandarizadas. Estas son las categorías y los productos más comunes en proyectos chilenos:

SIEM (Security Information and Event Management)

Centraliza logs de toda la infraestructura, normaliza, correlaciona y genera alertas. Es el corazón del SOC y del CSIRT. Opciones comunes: Splunk Enterprise Security, Microsoft Sentinel (especialmente fuerte en empresas con stack M365/Azure), Elastic Security, IBM QRadar, Wazuh (open source, popular en empresas medianas con presupuesto acotado), Sumo Logic y Devo.

SOAR (Security Orchestration, Automation and Response)

Automatiza playbooks: cuando aparece una alerta, el SOAR ejecuta pasos definidos (aislar endpoint, bloquear IP, escalar a analista) sin intervención manual. Reduce el MTTR de horas a minutos en incidentes rutinarios. Productos: Palo Alto Cortex XSOAR, Splunk SOAR (ex Phantom), Microsoft Sentinel Playbooks, Tines, Torq, Swimlane.

EDR / XDR (Endpoint y Extended Detection and Response)

Visibilidad y respuesta en endpoints (laptops, servidores). Permite detectar actividad maliciosa, contener (aislar máquina) y hacer forensia. Líderes 2026: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Palo Alto Cortex XDR, Sophos Intercept X. XDR extiende el alcance a red, identidad, correo y cloud.

NDR (Network Detection and Response)

Analiza tráfico de red para detectar movimiento lateral, exfiltración y C2. Productos: Darktrace, Vectra AI, ExtraHop, Corelight. Más relevante en empresas con OT industrial, segmentación compleja o sin EDR universalmente desplegado.

Threat Intelligence Feeds

Indicadores de compromiso (IOCs), tácticas, técnicas y procedimientos (TTPs) de adversarios conocidos, alimentando SIEM, EDR y firewalls. Fuentes: Mandiant Threat Intelligence, Recorded Future, Anomali, MISP (open source), AlienVault OTX, además de feeds sectoriales (FS-ISAC en banca, E-ISAC en energía) y los compartidos por ANCI a CSIRTs corporativos en el futuro.

Gestión de casos e investigación

Plataforma para registrar incidentes, asignarlos, trazar línea de tiempo, adjuntar evidencias y generar reportes. Puede ser un módulo del SIEM/SOAR o herramientas dedicadas como TheHive (open source), ServiceNow Security Operations o Jira Service Management con plantillas específicas. Es la fuente de verdad para auditorías y para el reporting a ANCI.

Forensia y respuesta avanzada

Para incidentes graves se necesita capacidad de análisis profundo: memoria, disco, red, logs. Herramientas: Velociraptor, Volatility, Autopsy, FTK, X-Ways, Wireshark, Zeek. Este perfil suele ser caro y escaso; muchas empresas chilenas lo tercerizan a una firma especializada bajo retainer.

Vulnerability Management y Attack Surface Management

Aunque no son del CSIRT en sentido estricto, alimentan el contexto: Tenable Nessus, Qualys VMDR, Rapid7 InsightVM, y ASM como Cycognito o Censys ayudan al CSIRT a entender la superficie de ataque cuando ocurre un incidente.

Esta lista es deliberadamente larga: no toda empresa necesita todo. Un CSIRT mediano chileno bien diseñado suele combinar SIEM + EDR + SOAR básico + threat intel feeds + plataforma de casos, con NDR y forensia contratados según necesidad. Si tu empresa también opera infraestructura legacy, es probable que necesites primero un proyecto de modernización de sistemas legacy para reducir la superficie de vulnerabilidad antes de invertir pesado en detección.

Casos de uso reales por sector

Estos son perfiles concretos que vemos en proyectos chilenos donde el CSIRT formal es decisivo:

Banco / fintech regulada por CMF y Ley 21.521

Una fintech chilena con cartera de crédito, integración con SII, Transbank, bancos y burós de riesgo, debe responder simultáneamente a: Ley Fintech 21.521, Compendio de Normas de la CMF (capítulo de ciberseguridad), Ley Marco 21.663 y Ley 21.719 de Datos Personales. El CSIRT corporativo típico aquí tiene un equipo interno de 5-8 personas con CISO dedicado, SOC 24/7 tercerizado a un MSSP, reporting automatizado a CMF y a ANCI, simulacros trimestrales y auditoría anual. El presupuesto anual de ciberseguridad suele estar entre el 6% y el 12% del presupuesto de TI. Para fintechs en etapa de licenciamiento bajo Ley 21.521, la madurez del CSIRT es uno de los factores que la CMF evalúa en el proceso, lo que se cruza con todo lo que cubre el desarrollo de software fintech regulado.

Utility eléctrica regional

Una distribuidora eléctrica que opera SCADA/OT con conexión IT cumple doble obligación: la Norma Técnica de Ciberseguridad del Coordinador Eléctrico Nacional y la Ley Marco 21.663. Su CSIRT corporativo debe cubrir un mundo dual: el lado IT clásico (correo, ERP, e-commerce) y el lado OT (PLCs, RTUs, SCADAs en subestaciones) donde un incidente puede tener consecuencias físicas. Stack típico: SIEM con módulo OT (Claroty, Nozomi Networks, Dragos), EDR en endpoints corporativos, NDR especializado en redes OT, threat intelligence con foco en grupos APT conocidos por atacar infraestructura crítica (Sandworm, ELECTRUM). El CSIRT participa en ejercicios anuales coordinados por el sector.

Salud privada con expediente clínico electrónico

Una clínica o red de salud con ficha clínica electrónica, RIS-PACS y telemedicina, maneja datos sensibles bajo Ley 21.719 (datos personales con categoría especial de "datos sensibles") y simultáneamente cae bajo la Ley 21.663 si califica como servicio esencial. Los riesgos típicos son ransomware (el sector más golpeado globalmente en los últimos años), exfiltración de datos clínicos y compromiso de dispositivos médicos conectados. El CSIRT suele ser híbrido: 2-3 personas internas + MSSP 24/7 + retainer forense con firma especializada. La consultoría TI inicial en estos casos típicamente parte por un assessment de madurez y un plan de cierre de brechas a 18-24 meses.

Errores comunes implementando un CSIRT

Estos son los errores que vemos repetidamente cuando una empresa intenta armar su CSIRT sin acompañamiento adecuado:

  • Comprar SIEM sin equipo: instalar Splunk o Sentinel y no tener analistas que lo operen. El SIEM se vuelve un sumidero de licencias que nadie mira. Sin personas y procesos, ninguna herramienta sirve.
  • No definir el alcance: el CSIRT termina respondiendo a "todo lo que pase" incluyendo problemas que no son ciberseguridad (caídas operacionales, errores de aplicación). Sin alcance claro, se agota el equipo y se diluyen las prioridades reales.
  • No tener playbooks: cada incidente se maneja con improvisación. La improvisación es donde se cometen los errores más caros: avisos a clientes en mal momento, pérdida de evidencia, escalas tardías a la autoridad.
  • Ignorar OT y dispositivos no gestionados: el CSIRT cubre laptops y servidores pero deja afuera SCADAs, IoT, impresoras conectadas y dispositivos médicos. Son precisamente esos puntos los más explotados por atacantes serios.
  • No ensayar el reporting a ANCI: el primer reporte real se hace en pánico, sin saber qué información va, en qué formato, ni quién firma. El simulacro trimestral es barato; el aprendizaje en vivo es caro.
  • Subestimar comunicaciones: el CSIRT no involucra a legal, marketing ni atención al cliente. Cuando llega un incidente mediático, los mensajes salen descoordinados y el daño reputacional excede al técnico.
  • No medir métricas: el directorio pregunta "¿cómo estamos en ciberseguridad?" y el CSIRT responde con tickets cerrados en vez de MTTD, MTTR, cobertura de detección y nivel de cumplimiento Ley 21.663.

Relación del CSIRT con otras leyes chilenas

La Ley 21.663 no opera sola. El CSIRT corporativo de una empresa chilena regulada tiene que articular varias normas simultáneamente:

  • Ley 21.521 (Ley Fintech): para fintechs supervisadas por la CMF, exige requisitos específicos de ciberseguridad, continuidad operacional y resiliencia. El CSIRT es parte del marco de gestión de riesgos operativos exigido.
  • Ley 21.719 (Protección de Datos Personales): obliga a notificar brechas de datos personales a la Agencia de Protección de Datos y a los titulares afectados. El CSIRT debe coordinar notificación dual (ANCI + Agencia de Datos) cuando un incidente involucra PII.
  • Norma Técnica del Coordinador Eléctrico Nacional: para empresas del sector eléctrico, exige controles específicos sobre OT y reporte de incidentes al Coordinador, complementarios al reporte a ANCI.
  • Compendio de Normas de la CMF: para bancos y emisores, define capítulos completos de gestión de riesgo tecnológico y ciberseguridad. Los reportes a CMF y a ANCI pueden superponerse en eventos significativos.
  • Normativa Subtel: para telcos, exige controles específicos sobre integridad de redes y reportes de incidentes a la Subsecretaría.
  • Norma Técnica Salud Digital: en construcción, pero ya con borradores que mencionan obligaciones de ciberseguridad sobre ficha clínica electrónica.

La consecuencia operacional es que el CSIRT no puede actuar en silo: tiene que mantener interfaces formales con compliance, legal y los distintos reguladores sectoriales. En proyectos donde la empresa tiene varias integraciones críticas con terceros, recomendamos abrir el frente de integraciones y arquitectura paralelo, porque la mayoría de los incidentes serios entran por conectores mal protegidos. Y si tu base es una aplicación web pública, revisa también nuestra guía de ciberseguridad para aplicaciones web en empresas chilenas, que cubre OWASP, hardening y controles preventivos que el CSIRT debería exigir antes de salir a producción.

Costos típicos de implementar un CSIRT en Chile

Los rangos varían según madurez, tamaño y sector, pero como orientación 2026 para empresas chilenas:

  • CSIRT-as-a-Service para empresa mediana (50-300 personas, no regulada): entre USD 4.000 y USD 12.000 mensuales por SOC 24/7 + gestión de incidentes + threat intel. Implementación inicial de 6-10 semanas con costo de USD 25.000 a USD 60.000.
  • CSIRT corporativo híbrido (mediana regulada o grande no crítica): equipo interno de 2-4 personas (CISO + 1-3 analistas) + MSSP tercerizado. Costo anual total típico USD 250.000 a USD 600.000 incluyendo licencias, personas y servicios.
  • CSIRT corporativo formalizado (operador de importancia vital o servicio esencial): equipo interno de 6-12 personas + tooling enterprise + retainers especializados. Costo anual USD 800.000 a USD 2.500.000 según escala. Implementación de 9-18 meses para llegar a madurez operacional alta.

A esto se suma el costo de no tenerlo: una multa máxima bajo Ley 21.663 puede llegar a 40.000 UTM (cerca de USD 2,8 millones), sin contar el daño reputacional, la pérdida de clientes corporativos que exigen cumplimiento contractual y el costo de un incidente real mal manejado (un ransomware típico en empresa mediana cuesta entre USD 500.000 y USD 4.000.000 entre rescate, recuperación, pérdida operacional y litigios).

CSIRT interno vs tercerizado (CSIRT-as-a-Service): cómo decidir

No hay una respuesta universal. La decisión depende de tamaño, madurez, sector y disponibilidad de talento local. Como referencia:

CriterioInterno conviene cuandoTercerizado conviene cuando
Tamaño> 500 personas con TI significativa< 500 personas
SectorOperador importancia vital con auditoría continuaRegulado mediano sin exigencia de equipo dedicado
Madurez de TIAlta, con CISO y equipos SecOps preexistentesMedia o baja, sin perfiles de ciberseguridad internos
Disponibilidad de talentoPuedes contratar y retener analistas SOC seniorMercado local de talento limitado o muy caro
Continuidad 24/7Tienes presupuesto para 8-12 personas en turnosEl MSSP entrega turnos compartidos eficientes
ConfidencialidadDatos extremadamente sensibles (defensa, banca, salud)Datos sensibles pero manejables bajo NDA y certificaciones

El modelo más común en empresas chilenas medianas reguladas en 2026 es híbrido: CISO interno + 1-2 analistas internos para gestión y compliance + MSSP para SOC 24/7 y respuesta nivel 1. Este modelo equilibra control, costo y velocidad de implementación, y es típicamente el primer paso antes de eventualmente internalizar más capacidades a 24-36 meses si la escala lo justifica.

FAQs sobre CSIRT en Chile

¿Qué es un CSIRT y para qué sirve?

Un CSIRT (Computer Security Incident Response Team) es el equipo responsable de detectar, responder, contener y reportar incidentes de ciberseguridad. Combina personas, procesos y tecnología para cubrir el ciclo completo: prevención, detección, contención, erradicación, recuperación y aprendizaje. En Chile, la Ley 21.663 lo convierte en una pieza obligatoria para operadores de importancia vital y servicios esenciales.

¿La Ley Marco de Ciberseguridad obliga a tener un CSIRT?

La Ley 21.663 obliga a contar con capacidades de gestión de incidentes, planes de continuidad y reporte ante ANCI a las empresas calificadas como operadores de importancia vital o servicios esenciales. En la práctica, cumplir estas obligaciones sin un CSIRT formal —propio, sectorial o tercerizado— es muy difícil. Por eso, la designación de un CSIRT corporativo es la forma estándar de demostrar cumplimiento.

¿Cuánto cuesta implementar un CSIRT en una empresa chilena?

Para una empresa mediana no regulada, un servicio CSIRT-as-a-Service cuesta entre USD 4.000 y USD 12.000 mensuales con implementación inicial de USD 25.000 a USD 60.000. Para una empresa regulada con equipo híbrido, el costo anual total suele estar entre USD 250.000 y USD 600.000. Para operadores de importancia vital con CSIRT formalizado, el rango va de USD 800.000 a USD 2.500.000 anuales.

¿Es mejor un CSIRT interno o tercerizado (CSIRT-as-a-Service)?

Para empresas pequeñas y medianas, tercerizado (CSIRT-as-a-Service) suele ser la mejor opción: cobertura 24/7, sin necesidad de retener talento escaso y costo predecible. Para empresas grandes, reguladas o con datos extremadamente sensibles, modelo interno o híbrido es preferible. La realidad chilena en 2026 es que la mayoría de empresas medianas reguladas operan modelos híbridos: CISO y analistas internos para gestión y compliance, MSSP para SOC 24/7 y respuesta nivel 1.

¿Qué relación tiene un CSIRT con la ANCI?

ANCI es la Agencia Nacional de Ciberseguridad y opera el CSIRT Nacional. Tu CSIRT corporativo se relaciona con ANCI de dos maneras principales: reportando incidentes significativos en los plazos exigidos por la Ley 21.663 (típicamente alerta inicial en 3 horas y reporte completo en 72 horas), y recibiendo alertas, indicadores de compromiso y requerimientos de fiscalización. La calidad de esa relación es uno de los factores que ANCI considera en auditorías y sanciones.

¿Cuánto tarda certificarse o reportar incidentes a ANCI?

Los plazos de reporte de incidentes a ANCI bajo la Ley 21.663 son estrictos: típicamente alerta inicial dentro de 3 horas desde la detección del incidente significativo, y reporte detallado completo dentro de 72 horas. Para certificarse (ISO 27001, por ejemplo), el proceso suele tomar 8-14 meses desde el inicio del proyecto hasta la certificación efectiva, incluyendo gap analysis, implementación de controles, auditoría interna y auditoría externa de certificación.

¿Qué pasa si mi empresa no cumple la Ley 21.663?

Las sanciones administrativas pueden alcanzar hasta 40.000 UTM (cerca de USD 2,8 millones) para infracciones gravísimas, además de medidas correctivas obligatorias y consecuencias reputacionales. La reincidencia y la falta de cooperación con ANCI agravan las multas. Además, el incumplimiento puede gatillar consecuencias indirectas: pérdida de contratos B2B con corporativos y entidades públicas que exigen cumplimiento contractual, mayor costo de seguros cibernéticos o directamente cancelación de pólizas.

¿Qué es un MSSP y en qué se diferencia de un CSIRT propio?

Un MSSP (Managed Security Service Provider) es un proveedor externo que entrega servicios de ciberseguridad gestionados, típicamente SOC 24/7, monitoreo SIEM, EDR gestionado y respuesta a incidentes. Un CSIRT propio es la capacidad organizacional interna —con autoridad de decisión, conocimiento del negocio y responsabilidad legal— de gestionar la ciberseguridad de la empresa. La diferencia clave: el MSSP es proveedor, el CSIRT es responsabilidad. En la práctica, muchas empresas medianas chilenas operan un modelo híbrido donde el MSSP entrega el SOC 24/7 y la respuesta de primera línea, mientras que el CSIRT corporativo (interno) mantiene la gobernanza, el reporting a ANCI y la coordinación con legal, compliance y dirección.

Conclusión: ¿por dónde empezar?

La Ley Marco de Ciberseguridad cambió las reglas del juego en Chile y la ventana para llegar bien preparado se está cerrando rápido durante 2026. Si tu empresa opera en un sector regulado, tiene escala digital relevante o ya recibe requerimientos de cumplimiento de tus clientes corporativos, el CSIRT dejó de ser una conversación de "para más adelante". Lo razonable es:

  1. Diagnosticar si tu empresa está dentro del alcance de la Ley 21.663 y de las regulaciones sectoriales que apliquen.
  2. Hacer un assessment de madurez de ciberseguridad contra ISO 27001 y los controles esperados por ANCI.
  3. Definir el modelo de CSIRT correcto para tu tamaño y sector (interno, híbrido o tercerizado).
  4. Implementar el stack mínimo viable (SIEM + EDR + playbooks + reporting ANCI) en 3-6 meses.
  5. Iterar a madurez completa en 12-24 meses con simulacros, auditoría externa y eventualmente certificación.

Si estás evaluando construir o tercerizar tu CSIRT, alinearlo con la Ley 21.663 y la regulación sectorial que te aplica, o simplemente quieres una opinión técnica antes de invertir, podemos ayudarte. En Blackend acompañamos a empresas chilenas en servicios de ciberseguridad gestionados y en consultoría TI con foco regulatorio, y combinamos esa capacidad con desarrollo seguro cuando el frente crítico es una plataforma o aplicación pública. Cuéntanos tu caso y entregamos un plan ejecutable en 48 horas.

¿Tu empresa está obligada por la Ley Marco de Ciberseguridad y aún no tienes CSIRT?

Diseñamos e implementamos CSIRT corporativos y CSIRT-as-a-Service para empresas reguladas en Chile: utilities, finanzas, salud y retail enterprise. Evaluamos tu cumplimiento Ley 21.663 frente a ANCI y entregamos un plan de acción en 48 horas.

Ver servicios de ciberseguridadPedir diagnóstico regulatorio

Ciberseguridad y cumplimiento en práctica

Proyectos donde el riesgo regulatorio y técnico se cruzan

Plataformas chilenas donde los controles de ciberseguridad, la trazabilidad y el cumplimiento normativo fueron parte central de la arquitectura.

Finanzas · Originación digital

San Geronimo

Onboarding con firma electrónica, scoring automático e integraciones directas al SII para procesar 3x más solicitudes sin aumentar headcount.

Resultado observable

Time-to-yes < 8 minutos

Ver caso completo →

B2B industrial · Marketplace

WDGroup

Marketplace industrial con pricing dinámico, órdenes multi-proveedor e integraciones ERP para escalar cotizaciones y operación comercial.

Resultado observable

Go-live en 12 semanas

Ver caso completo →

Agro · Supply chain

Alisur

Suite web + mobile para trazabilidad de insumos y logística de campo con apps offline, analytics en vivo e integración completa con ERP.

Resultado observable

+55% productividad de cuadrillas

Ver caso completo →
#csirt chile#ciberseguridad#ley marco de ciberseguridad#anci chile#ingenieria en ciberseguridad#ley 21.663

Lecturas recomendadas

Continuar leyendo

Consultoría informática en Chile: qué incluye un asesor TI y cómo se cobra

Continuar leyendo

Software factory vs outsourcing TI vs desarrollo a medida en Chile

Continuar leyendo

Ciberseguridad para aplicaciones web en empresas chilenas: amenazas, controles y cumplimiento

Continuar leyendo

Modernización de sistemas legacy en empresas chilenas: por qué urge en 2026

Recibe insights épicos directo en tu inbox

Tendencias, tácticas y playbooks accionables de producto, crecimiento y tecnología.

Ciudades

Contacto

Av Kennedy 5600, Vitacura

max@blackend.dev+56 9 8833 0550WhatsApp
Blackend - Fábrica de Software en Chile | Logotipo oficial de la empresa de desarrollo de software

Somos el partner tecnológico

de empresas y emprendedores

Av Kennedy 5600, Vitacura

max@blackend.dev+56 9 8833 0550

COPYRIGHT © 2026 BLACKEND