La publicación de la nómina de Operadores de Importancia Vital (OIV) marca un antes y un después para muchas organizaciones en Chile, no solo para las que aparecen en el listado, sino también para quienes forman parte de su cadena de suministro. En este artículo, Lockbits te explica qué implica realmente ser OIV, por qué este cambio eleva el estándar para todo el ecosistema digital y qué acciones concretas conviene tomar desde ahora para reducir riesgos y anticiparse a las nuevas exigencias.
El 17 de diciembre de 2025 se publicó en el Diario Oficial la Resolución Exenta N°87 de la Agencia Nacional de Ciberseguridad (ANCI), que aprueba la nómina de Operadores de Importancia Vital (OIV) del primer proceso de calificación, en el marco de la Ley 21.663 (Ley Marco de Ciberseguridad).
En simple: es un listado oficial de organizaciones cuya continuidad operacional y ciberseguridad pasan a ser especialmente críticas.
Y aunque tu empresa no aparezca en la nómina, esto igual te puede impactar si prestas servicios a un OIV (tecnología, soporte, outsourcing, desarrollo, operación, conectividad, etc.). Muchas veces el “apriete” parte por la cadena de suministro.
Primero: ¿qué es ser OIV?
Ser Operador de Importancia Vital no es “un certificado” ni una etiqueta de marketing. Es una condición regulatoria: significa que la organización:
- Cumple un rol clave para la continuidad de servicios relevantes (por ejemplo, energía, telecomunicaciones, infraestructura digital, banca/medios de pago, salud, etc.).
- Pasa a tener mayores exigencias de ciberseguridad, gestión de riesgos, continuidad y gestión/reporte de incidentes, bajo el marco que define la ANCI y la Ley.
¿Qué cambia para una empresa que está en la nómina?
En la práctica, suele traducirse en cuatro cosas:
1) Más foco en gobierno y evidencia
No basta “tener antivirus”. Se necesita demostrar políticas, procesos, responsables, controles y trazabilidad.
2) Respuesta a incidentes más disciplinada
Los incidentes relevantes deben gestionarse con estándar: identificación, contención, comunicación, documentación y aprendizaje.
3) Continuidad operacional y recuperación
Prepararse para seguir operando (o volver rápido) cuando algo pasa: ransomware, caída de sistemas críticos, filtración, fraude.
4) Exigencias hacia terceros
Los OIV tienden a endurecer requisitos a proveedores: seguridad contractual, auditorías, accesos, posture, tiempos de respuesta, evidencias, etc.
Y si NO estoy en la nómina… ¿me importa?
Sí, si:
- Eres proveedor de un OIV (TI, nube, software, soporte, integraciones, telecomunicaciones, servicios administrados).
- Manejas datos o accesos que podrían afectar al OIV.
- Estás en una industria que podría entrar en futuras revisiones.
Muchos incidentes grandes no parten “en la empresa principal”, sino por un tercero con acceso, integración o soporte.
Importante: este listado va a seguir evolucionando
Esta nómina corresponde al primer proceso de calificación. En términos prácticos, eso suele significar que en el futuro cercano el universo de evaluados y el listado pueden cambiar e incorporar nuevas organizaciones en procesos posteriores (o ajustes), a medida que el marco se consolide y se vayan aplicando los criterios en más sectores.
Qué recomendamos hacer (checklist práctico)
Si tu organización está en la nómina (o trabaja con una), esto es lo que más rápido genera orden:
- Inventario real de activos críticos (qué sistemas sostienen el servicio, dónde están, quién accede).
- Gestión de vulnerabilidades con prioridad (no solo escanear: cerrar brechas con criterio y plazos).
- Monitoreo y detección 24/7 o al menos con cobertura extendida (porque el tiempo importa).
- Plan de respuesta a incidentes probado (con playbooks y responsables, no solo un PDF).
- Backups con estrategia de recuperación (RTO/RPO, pruebas de restore, protección contra ransomware).
- Control de fuga de información (datos sensibles, exfiltración, errores humanos, insiders).
Cómo puede ayudar Lockbits
En Lockbits trabajamos con un enfoque aterrizado: ayudarte a subir el estándar sin complicarte la vida.
1) Monitoreo y respuesta: cuándo MDR sí aplica
Para organizaciones con exposición alta (y especialmente OIV), la pregunta no es “si me van a intentar atacar”, sino cuándo. Ahí MDR tiene sentido porque suma capacidades difíciles de sostener internamente: monitoreo, hunting, guía de contención y escalamiento.
Si aplica para tu caso, en Lockbits podemos ayudarte a evaluarlo e implementarlo con MDR sobre ESET, integrando visibilidad y respuesta en endpoints y eventos relevantes.
2) Endpoints y XDR (ESET) cuando necesitas subir el estándar
Dependiendo del escenario, el stack de ESET puede cubrir desde protección y administración centralizada hasta capacidades más avanzadas de detección e investigación (XDR). Lo importante es que quede bien configurado y operado: reglas, hardening, telemetría útil y procedimientos claros.
3) DLP para reducir riesgos reales (Safetica)
Cuando el foco es continuidad y datos, muchos incidentes no son “hackers”: son errores, accesos excesivos o información sensible saliendo por canales no controlados. Safetica (DLP) sirve para aterrizar control sobre:
- Datos sensibles
- Riesgo por usuario
- Canales de salida (USB, nube, correo, apps)
4) Resiliencia y recuperación (Backup con Cloner)
Para ransomware y eventos disruptivos, el backup no es “tener copias”: es poder recuperar bien y rápido. Si aplica, evaluamos escenarios de respaldo con Cloner como parte del plan de continuidad: alcance, frecuencia, retención y pruebas de restauración.
Lo importante no es “estar” o “no estar” en la nómina
Lo importante es entender que, desde ahora, el estándar sube. Si tu organización está en la nómina OIV – o si presta servicios a una – conviene adelantarse: ordenar controles, madurar respuesta y reducir superficie de ataque.
¿Quieres que lo revisemos contigo? En Lockbits podemos ayudarte a confirmar impacto para tu operación y armar un plan realista (tecnología + operación) para cumplir y, sobre todo, resistir incidentes. Comencemos ahora, háblanos en https://lockbits.cl/contacto/.
- Share:
