Cifrado, 2FA y respaldos verificados: Cómo adecuar la arquitectura TI a las exigencias de la nueva Ley 21.663
La Ley 21.663 eleva las exigencias de protección digital para las empresas en Chile. En este nuevo escenario, el cifrado de datos, la autenticación multifactor y los respaldos verificados se vuelven pilares fundamentales para fortalecer la resiliencia corporativa y asegurar la continuidad operacional.
23 junio, 2026
| Lectura: 2 min
La entrada en vigencia de la Ley 21.663, conocida como Ley Marco de Ciberseguridad, representa un cambio relevante para las empresas que operan en Chile.
Su implementación exige que las empresas, especialmente aquellas vinculadas a servicios esenciales o de importancia vital, adopten medidas preventivas, reactivas y técnicas para proteger sus sistemas, datos e infraestructura digital.
En este contexto, la ciberseguridad deja de ser solo una responsabilidad del área TI y pasa a formar parte de la gestión estratégica del negocio.
La arquitectura TI debe evolucionar desde modelos tradicionales de protección hacia esquemas más robustos, capaces de anticipar amenazas, responder ante incidentes y recuperar operaciones críticas en el menor tiempo posible.
Dentro de este proceso de adecuación, existen tres componentes técnicos que resultan especialmente relevantes: el cifrado de datos, la autenticación multifactor y los respaldos verificados.
Estos elementos permiten reducir riesgos, controlar accesos y asegurar que la empresa pueda mantener su continuidad incluso frente a ataques como ransomware, filtraciones o compromisos de credenciales.
El cifrado es una de las medidas más importantes para resguardar la confidencialidad de la información corporativa. Su función es transformar los datos en un formato ilegible para cualquier persona o sistema que no cuente con las claves de acceso correspondientes.
En el marco de la Ley 21.663, la protección de datos personales, operacionales y corporativos adquiere mayor relevancia. Por eso, las empresas deben revisar cómo almacenan, transmiten y gestionan su información sensible.
Una arquitectura TI preparada para este nuevo estándar debería considerar cifrado tanto para datos en reposo como para datos en tránsito. Esto implica proteger bases de datos, servidores, respaldos, archivos internos, plataformas cloud y comunicaciones de red.
Entre las buenas prácticas técnicas se encuentran:
Aplicar estándares de cifrado robustos, como AES-256, para bases de datos físicas, virtualizadas o alojadas en la nube.
Utilizar protocolos seguros como TLS 1.3 para proteger las comunicaciones entre usuarios, aplicaciones, servidores y plataformas externas.
Revisar periódicamente la gestión de claves criptográficas, evitando accesos innecesarios o configuraciones obsoletas.
El objetivo no es solo cumplir con una exigencia normativa, también reducir el impacto potencial de una filtración o acceso no autorizado.
El robo de credenciales sigue siendo una de las principales puertas de entrada para ataques informáticos. Contraseñas débiles, reutilizadas o comprometidas pueden permitir que un atacante acceda a correos corporativos, plataformas administrativas, sistemas financieros o entornos cloud.
Por esta razón, la autenticación multifactor, también conocida como MFA o 2FA, se convierte en una medida clave para fortalecer el control de identidad. Este mecanismo exige que el usuario valide su acceso mediante más de un factor, reduciendo la dependencia exclusiva de la contraseña.
Para empresas que buscan adecuarse a mayores estándares de seguridad informática, es recomendable implementar MFA en todos los accesos sensibles, especialmente en:
Correos corporativos.
Conexiones VPN.
Paneles de administración en la nube.
Sistemas financieros y ERP.
Herramientas de gestión interna.
Cuentas con privilegios administrativos.
Además, es aconsejable priorizar aplicaciones de autenticación o llaves de seguridad físicas por sobre los códigos enviados por SMS, ya que estos últimos pueden estar expuestos a técnicas de interceptación o suplantación.
Una estrategia más avanzada también debería incorporar plataformas de gestión de identidad y acceso, conocidas como IAM. Estas permiten centralizar credenciales, aplicar el principio de menor privilegio, auditar accesos y controlar qué usuarios pueden interactuar con cada sistema.
La prevención es fundamental, pero no suficiente. En un escenario de ciberamenazas cada vez más sofisticadas, las empresas también deben prepararse para recuperarse de forma rápida y segura ante incidentes destructivos.
El ransomware es uno de los ejemplos más claros. Este tipo de ataque puede cifrar archivos, bloquear sistemas y afectar la operación completa de una organización. En estos casos, contar con respaldos tradicionales no siempre garantiza recuperación, especialmente si las copias están conectadas a la misma red comprometida.
Por eso, los respaldos verificados e inmutables cumplen un rol crítico dentro de la arquitectura TI moderna. Un respaldo inmutable es aquel que no puede ser modificado, eliminado ni cifrado durante un período de retención definido.
Para fortalecer esta dimensión, las empresas pueden aplicar medidas como:
Implementar almacenamiento inmutable para proteger copias críticas de información.
Aplicar la regla 3-2-1: mantener tres copias de los datos, en dos medios distintos y con al menos una copia externa o en la nube.
Realizar pruebas de restauración periódicas para comprobar que los respaldos funcionan correctamente.
Definir tiempos objetivos de recuperación según la criticidad de cada sistema.
Documentar los procesos de respaldo, restauración y validación.
La adecuación a la Ley Marco de Ciberseguridad no debe entenderse como un proyecto puntual. Se trata de un proceso permanente de mejora, monitoreo y actualización tecnológica.
Las empresas necesitan contar con herramientas capaces de detectar anomalías, accesos sospechosos, comportamientos inusuales y posibles brechas de seguridad en tiempo real.
Esto permite actuar antes de que un incidente escale y afecte la operación. Además, es importante desarrollar planes de respuesta ante incidentes que definan responsabilidades, protocolos internos, canales de comunicación y mecanismos de reporte.
Estos planes deben estar alineados con las exigencias regulatorias y con los procedimientos que establezca la Agencia Nacional de Ciberseguridad.
En este nuevo escenario, las empresas que avancen con anticipación estarán mejor preparadas para proteger su información, responder ante incidentes y mantener la continuidad de sus servicios críticos.
La ciberseguridad deja de ser una barrera técnica y se convierte en una condición básica para operar con confianza en un entorno digital cada vez más exigente.
Déjanos tus datos y te ayudaremos con lo que necesites en IoT, Cloud y Ciberseguridad.
Entel Digital se compromete a proteger tu privacidad y tratar tus datos conforme a la Ley de Protección y Tratamiento de Datos Personales. La información que nos entregues será utilizada exclusivamente para gestionar tu cuenta y entregarte los productos o servicios que solicites. Si además aceptas recibir comunicaciones comerciales, podremos contactarte para informarte sobre productos, servicios y contenidos que puedan ser de tu interés. Puedes ejercer tus derechos sobre tus datos personales; incluidos acceso, rectificación, supresión, oposición, portabilidad y revocación de consentimiento en cualquier momento a través de los canales indicados en nuestra Política de Privacidad.
¿Quieres saber más?