El reciente ciberataque al Instituto de Salud Pública (ISP) de Chile no solo evidenció una falla técnica, sino también una profunda paradoja institucional: mientras avanzamos hacia la implementación de la nueva Ley de Protección de Datos Personales, nuestras propias entidades públicas aún operan con sistemas vulnerables, sin políticas robustas de ciberseguridad ni gobernanza moderna de su información crítica.
¿Cómo es posible que el organismo encargado de certificar medicamentos, vacunas, laboratorios y ensayos clínicos funcione sin un plan actualizado de respaldo de datos? ¿Cómo se explica que, en pleno siglo XXI, se pierda el acceso a información sanitaria sensible y posiblemente se exponga sin que existan medidas efectivas de recuperación o contención?
El ISP no es un servicio público más. Su infraestructura digital debe ser reconocida como infraestructura crítica del Estado. En ella se procesan y almacenan datos esenciales para la salud de la población. Cuando esa infraestructura se ve comprometida, el impacto no es solo tecnológico: afecta la seguridad sanitaria, la toma de decisiones públicas y la confianza ciudadana. Y es momento de decirlo con claridad: un asalto digital puede llegar a ser más nocivo que un asalto físico, no por su violencia directa, sino por su escala de daño. Un ciberataque bien ejecutado puede paralizar hospitales, manipular resultados clínicos, interrumpir cadenas de suministro o inutilizar sistemas judiciales, todo al mismo tiempo. El daño puede ser simultáneo, silencioso y devastador.
En ese contexto, se hace indispensable actualizar con urgencia el Código Penal chileno, para que incluya con claridad las figuras delictivas vinculadas a los ciberataques, sabotajes digitales y crímenes informáticos cometidos a través de plataformas digitales. La tecnología avanza más rápido que la legislación, y hoy muchos de estos delitos aún carecen de una tipificación proporcional al daño que generan.
La Ley 21.546, que establece el derecho fundamental a la protección de datos personales, fue un avance necesario. Pero no puede quedar en el papel. El Estado debe liderar con el ejemplo. No basta con exigir a las empresas y startups que resguarden los datos de sus clientes si los propios ministerios y servicios públicos operan sin estándares mínimos de protección, trazabilidad y recuperación.
A ello se suma una deuda estructural aún más profunda, la inexistencia de una Ley de Gobernanza de Datos del Estado. En un país donde los organismos públicos generan, procesan e interconectan millones de datos cada día, resulta urgente establecer marcos normativos claros que regulen su administración, interoperabilidad, seguridad y calidad. La gobernanza de datos no es un aspecto técnico: es una política pública estratégica, una condición para ejercer soberanía digital.
Frente a este escenario, el Estado debe actuar con decisión.
Algunas acciones urgentes: Ciberseguridad como política pública transversal. Debe ser incorporada en las estrategias nacionales, no tratada como un asunto técnico aislado. La seguridad digital es un tema de gobernabilidad. Respaldo automático y externo de datos críticos. Toda información sensible debe contar con respaldos automáticos, cifrados y almacenados fuera del entorno local. Sin respaldo no hay continuidad operativa.
Actualización de infraestructura tecnológica. Es imprescindible dejar atrás los sistemas legados sin soporte ni actualizacione. No se puede proteger lo que no se mantiene actualizado. Planes de respuesta ante incidentes. Cada entidad debe tener protocolos claros, con roles definidos y simulacros regulares. La rapidez en la reacción puede evitar daños irreversibles.
Capacitación continua a los funcionarios públicos La seguridad comienza por las personas. Formar a los equipos en buenas prácticas digitales es tan prioritario como desplegar firewalls. Una Ley de Gobernanza de Datos del Estado. Chile necesita una legislación moderna que establezca principios, estándares y responsabilidades institucionales claras en el uso y protección de los datos públicos.
Colaboración efectiva con la Agencia Nacional de Ciberseguridad y la Agencia de Protección de Datos. Las instituciones públicas deben integrarse al ecosistema nacional de ciberseguridad y protección digital. La seguridad no puede gestionarse en silos. Finalmente, Reforma al Código Penal. Tipificar explícitamente los delitos informáticos, sabotajes digitales y ataques a infraestructuras críticas, elevando la gravedad de estas acciones en función de su impacto social.
Este episodio nos demuestra que la transformación digital del Estado debe ir acompañada de una arquitectura de protección equivalente. Proteger datos es proteger a las personas. Y una república digital moderna debe comenzar por resguardar su infraestructura crítica, su institucionalidad y su ciudadanía. La protección de datos, la ciberseguridad y la gobernanza informacional no son compartimentos estancos. Son pilares interdependientes de una democracia contemporánea. Si el Estado quiere liderar la revolución digital, debe comenzar liderando por casa.
