Los operadores de importancia vital (OIV) son una categoría específica de organizaciones que están sujetas a obligaciones derivadas de la Ley N° 21.663, Marco de Ciberseguridad, y el Decreto N° 285 – Aprueba Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital de la Ley n° 21.663. Los OIV son designados como tal porque proveen servicios de los cuales dependen las redes y servicios informáticos de instituciones importantes, y la afectación, destrucción, intercepción o interrupción de sus funciones puede tener un impacto significativo en la seguridad o en el orden público del país. Además, podrían incidir en la prestación regular y continua de los servicios esenciales en Chile, como energía, telecomunicaciones, salud, transporte, banca y finanzas, infraestructura y servicios digitales críticos, agua potable y combustibles. 

¿Estabilidad o caos? Un ciberataque significativo a un OIV podría generar pérdidas económicas considerables, además de comprometer la confianza pública y la seguridad nacional.

¿Dónde están los OIV? Existe un grupo de prestadores de servicios esenciales que son netamente estatales (Casa de La Moneda, Correos de Chile, Transporte de Pasajeros Metro); otras son órganos de la administración del Estado (FONASA, Ejército de Chile, Instituto de Previsión Social). No obstante, hay empresas privadas que, si bien no prestan servicios esenciales, llevan a cabo operaciones de importancia vital para los usuarios o para la cadena de suministros de bienes y/o servicios estratégicos del país, por lo que figuran en la Nómina preliminar de clasificación de los OIV. En la nómina encontramos: instituciones que proveen servicios de generación, transmisión o distribución eléctrica (Abastible, ENESA), instituciones que proveen servicios de telecomunicaciones (Claro, Entel), instituciones que realizan actividades de infraestructura y servicios digitales y de TI gestionados por terceros (BUPA, CERTINET), encargados de la banca, finanzas y métodos de pago (Transbank, MasterCard), y prestadores institucionales de salud (ISAPRES y hospitales).

Una gran responsabilidad

Es mucho lo que depende de los operadores de importancia vital. Los OIV se consideran prioritarios porque la interrupción de sus funciones puede afectar la continuidad y seguridad de las operaciones relevantes del país, ligadas, por ejemplo, a la economía, salud, orden público, entre otros, y tal interrupción tendría el potencial de afectar no solo la seguridad de Chile sino de otros países, puesto que los OIV pueden estar prestando servicios en otras latitudes.

Los OIV cuentan con una carga regulatoria alta y para honrarla requieren:

• Gestión de riesgos de seguridad de la información, con un plan de continuidad operacional y ciberseguridad.
• Supervisión continua y pruebas.  Esto implica hacer revisiones, ejercicios, simulacros, ejercicios de mesa y operacionales, análisis y revisiones técnicas de seguridad, como test de penetración y de ethical hacking.
• Procedimientos de respuesta a incidentes conforme con las exigencias de la ley en cuanto a tiempos y responsabilidades. 
• Reportar al CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) dentro de las primeras 3 horas tras un incidente grave.
• Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores
•  Designar un delegado de ciberseguridad registrado en la Agencia Nacional de Ciberseguridad.
• Contar con un sistema de gestión de seguridad de la información robusto.

Líderes latinoamericanos del NCSI

El incumplimiento de la Ley N° 21.663 y el Decreto N° 285 acarrea sanciones que pueden superar las 40 mil UTM, además, coexisten riesgos reputacionales, operativos y administrativos. ¿Chile y sus empresas están preparadas para cumplir con los requisitos de ser OIV? La edición de octubre de 2025 de la revista Forbes indica que según el ranking National Cyber Security Index (NCSI, un índice global y en tiempo real que evalúa la preparación de los países para prevenir y gestionar ciberataques), Chile ocupa el puesto n° 21, un avance significativo si tomamos en cuenta que el país austral ocupó la posición n° 56 en 2020 y que en la clasificación nacional de ciberseguridad participan más de 100 países. 

En GACS consideramos que la clave de la preparación reside en gestionar los riesgos, planificar y probar las estrategias frente a interrupciones, en vez de reaccionar cuando el desastre se materializa, de modo que es imperativo contar con una cultura de ciberseguridad y resiliencia en el país. 

La gobernanza es clave

El peso de ser declarado OIV recae en la alta dirección, pues su responsabilidad es armar un gobierno corporativo de ciberseguridad conformado por especialistas en el tema. Esto se logra al definir roles y responsabilidades que ejecuten y tomen decisiones, y al disponer de recursos que se destinen a entrenar a los especialistas y personal de la organización, crear relaciones con proveedores de servicios y tecnologías, adquirir bienes y servicios a la altura de las necesidades y compromisos, además del establecimiento del plan de capacitación y el desarrollo de una cultura de ciberseguridad en la que se contemplen estrategias detectivas, preventivas y reactivas ante incidentes. ¿Tu organización es OIV y quieres saber cómo gestionarlo? En este artículo te orientamos paso a paso para que tu desempeño sea óptimo.