Ciberseguridad empresarial en Chile
Fraudes, suplantación y responsabilidad del empleador frente a la fuga de datos
La digitalización de las empresas ha convertido la protección de la información en una obligación jurídica, operacional y reputacional. En Chile, la Ley de Delitos Informáticos y las normas de compliance elevan el estándar de diligencia exigible a empleadores, pymes y grandes compañías.
Un riesgo que dejó de ser solo técnico
La ciberseguridad empresarial ya no puede entenderse como una materia exclusiva del área informática. En la actualidad, los incidentes digitales comprometen la continuidad del negocio, la responsabilidad civil de la empresa, la protección de datos personales, la relación laboral con sus trabajadores e incluso la eventual responsabilidad penal de la persona jurídica.
El aumento de fraudes digitales, suplantaciones de identidad, ataques de ransomware, phishing y filtraciones de información ha obligado a las organizaciones chilenas a revisar sus sistemas internos de prevención. La pregunta ya no es únicamente si la empresa cuenta con antivirus o firewall, sino si puede demostrar que adoptó medidas razonables para evitar, contener y reportar un incidente.
Esta exigencia alcanza tanto a grandes compañías como a pequeñas y medianas empresas. Aunque el nivel de sofisticación técnica puede variar según el tamaño y giro del negocio, la obligación básica de proteger información, controlar accesos y capacitar trabajadores no desaparece por tratarse de una pyme.
La Ley de Delitos Informáticos y el nuevo estándar empresarial
La Ley N.º 21.459 modernizó la legislación chilena en materia de delitos informáticos y reemplazó un marco normativo que había quedado insuficiente frente a la economía digital. La norma sanciona conductas como el acceso ilícito a sistemas, la interceptación indebida de datos, el ataque a la integridad de sistemas o información, el fraude informático, la falsificación informática y el abuso de dispositivos.
Su relevancia para las empresas no está solo en la tipificación penal de estas conductas. También instala un estándar más exigente de prevención, control y supervisión. Una organización puede ser víctima de un ataque, pero también puede quedar expuesta a responsabilidad si el incidente revela ausencia de protocolos, negligencia en la administración de accesos o falta de capacitación mínima.
Este punto se vuelve especialmente importante por la relación entre delitos informáticos y responsabilidad penal de las personas jurídicas. Bajo la Ley N.º 20.393, una empresa puede responder penalmente cuando ciertos delitos son cometidos en su beneficio y existe incumplimiento de deberes de dirección o supervisión. Por ello, la ciberseguridad se ha incorporado progresivamente al ámbito del compliance corporativo.

Obligaciones mínimas para empresas y pymes
La legislación no establece un catálogo técnico único aplicable a todas las organizaciones. Sin embargo, existen medidas mínimas que hoy pueden considerarse parte del estándar de diligencia razonable.
La primera es el control de accesos. La empresa debe asegurar que cada trabajador acceda solo a la información necesaria para cumplir sus funciones. Las cuentas compartidas, las claves débiles, los privilegios excesivos o los accesos no revocados después del término de una relación laboral constituyen focos evidentes de riesgo.
También resulta indispensable contar con políticas de contraseñas, autenticación multifactor cuando sea posible y registros que permitan identificar quién accedió a determinada información. La trazabilidad es clave: si la empresa no puede reconstruir lo ocurrido, difícilmente podrá acreditar diligencia.
Otra obligación básica es la capacitación. Muchos fraudes se producen porque un trabajador cae en phishing, abre archivos maliciosos o entrega información frente a una suplantación de identidad. Capacitar no es una formalidad; es una medida concreta de prevención y una prueba relevante de que el empleador cumplió su deber de supervisión.
Asimismo, las empresas deben mantener respaldos, actualizar sistemas, proteger dispositivos, regular el teletrabajo y definir protocolos de respuesta ante incidentes. En el caso de proveedores tecnológicos o servicios externalizados, la organización debe incorporar cláusulas de seguridad, confidencialidad, tratamiento de datos y notificación de brechas.
Fraudes y suplantación: el factor humano como punto crítico
Una parte relevante de los fraudes informáticos no comienza con una vulneración sofisticada de sistemas, sino con ingeniería social. El atacante busca manipular a una persona para que entregue credenciales, apruebe una transferencia, descargue malware o revele información confidencial.
El fraude conocido como Business Email Compromise es un ejemplo frecuente. En estos casos, los delincuentes suplantan a un ejecutivo, proveedor o cliente para instruir pagos o cambios de cuenta bancaria. Si la empresa no cuenta con protocolos de doble validación, confirmación telefónica u otros controles internos, el fraude puede concretarse sin necesidad de vulnerar técnicamente ningún sistema.
La suplantación también se ha vuelto más compleja con el uso de inteligencia artificial. Voces sintéticas, correos personalizados y documentos falsificados aumentan la dificultad de detección. Frente a este escenario, los controles internos deben ser procedimentales y no depender exclusivamente de la intuición del trabajador.
¿Qué pasa si un trabajador causa una filtración?
Cuando una filtración de datos es causada por un trabajador, el análisis jurídico debe distinguir entre negligencia y dolo. No es lo mismo un error involuntario, como enviar un archivo al destinatario equivocado, que extraer deliberadamente una base de clientes para venderla o usarla en beneficio propio.
En ambos casos, sin embargo, la empresa puede ser examinada. Si el trabajador actuó negligentemente, se evaluará si recibió capacitación, si existían protocolos claros y si la organización mantenía medidas razonables para prevenir ese tipo de error. Si no existía ninguna política interna, la responsabilidad empresarial se vuelve más probable.
Si el trabajador actuó dolosamente, puede enfrentar responsabilidad individual, incluso penal, dependiendo de la conducta. Pero la empresa no queda automáticamente liberada. Deberá demostrar que el acceso a la información estaba justificado, que existían controles, que la conducta fue excepcional y que no hubo falta de supervisión.
El punto central es que el empleador tiene deberes de organización, dirección y control. La filtración puede haber sido ejecutada materialmente por un trabajador, pero la empresa será cuestionada si el incidente fue facilitado por desorden interno, ausencia de controles o permisos excesivos.

Protección de datos personales y deber de seguridad
La fuga de datos también debe analizarse desde la perspectiva de la protección de datos personales. Las empresas tratan información de trabajadores, clientes, proveedores y usuarios. Esa información debe ser recolectada, almacenada y usada bajo estándares adecuados de seguridad.
Cuando se exponen datos personales, especialmente si son sensibles, el daño puede ser significativo. Información financiera, médica, biométrica o laboral exige resguardos reforzados. La empresa que no adopta medidas proporcionales al riesgo puede enfrentar reclamos, sanciones regulatorias y daños reputacionales.
Además, las nuevas tendencias regulatorias apuntan hacia mayores deberes de notificación de incidentes, tanto a autoridades como a titulares afectados. Esto obliga a las organizaciones a contar con mecanismos internos para detectar brechas, evaluar su impacto y comunicar oportunamente cuando corresponda.
Protocolos obligatorios y recomendaciones de cumplimiento
Toda empresa debería contar con una política de seguridad de la información, aunque sea proporcional a su tamaño. Esa política debe regular el uso de correos corporativos, dispositivos, plataformas, contraseñas, almacenamiento de documentos y acceso remoto.
También es necesario un protocolo de respuesta a incidentes. Este debe definir quién recibe las alertas, cómo se contiene el incidente, qué evidencia debe preservarse, cuándo corresponde informar a la administración, cuándo se involucra al área legal y cómo se comunica una brecha a terceros afectados.
En materia laboral, las reglas de ciberseguridad deben estar reflejadas en contratos, anexos, reglamento interno o políticas formalmente comunicadas. Esto permite exigir cumplimiento al trabajador y aplicar medidas disciplinarias en caso de infracción.
Desde el punto de vista del compliance, es recomendable integrar los riesgos informáticos al modelo de prevención de delitos. Esto supone identificar procesos críticos, evaluar riesgos de fraude, controlar accesos, documentar capacitaciones, revisar proveedores y auditar periódicamente los sistemas.
La importancia de documentar la diligencia
En ciberseguridad no basta con actuar correctamente; también hay que poder probarlo. Frente a una investigación, demanda o fiscalización, la empresa necesitará demostrar qué controles tenía vigentes antes del incidente, qué capacitaciones realizó, qué protocolos existían y cómo respondió una vez detectado el problema.
La documentación cumple una función preventiva y defensiva. Actas de capacitación, registros de acceso, informes de auditoría, respaldos de comunicaciones y bitácoras de incidentes pueden ser decisivos para acreditar que la empresa no actuó negligentemente.
La falta de documentación, en cambio, suele operar en contra de la organización. Si no hay evidencia de políticas, controles o supervisión, será difícil sostener que existía un sistema real de prevención.
La ciberseguridad empresarial en Chile se ha convertido en una obligación jurídica transversal. La Ley de Delitos Informáticos, la responsabilidad penal de las personas jurídicas y las exigencias de protección de datos obligan a empresas y pymes a adoptar una gestión preventiva del riesgo digital.
Los fraudes, la suplantación de identidad y las filtraciones de información no son eventos excepcionales. Forman parte del entorno normal de operación de cualquier organización digitalizada. Por ello, el empleador debe capacitar, controlar accesos, establecer protocolos, supervisar trabajadores y documentar sus medidas de seguridad.
Cuando un trabajador causa una fuga de datos, la empresa no siempre será responsable, pero sí deberá demostrar que actuó con diligencia. Esa será la diferencia entre un incidente gestionado y una contingencia jurídica de mayor alcance.

Deja tu comentario