Incidentes12 min de lectura

Casos reales de incidentes de datos en Chile: lecciones aprendidas

Equipo Confidata·
Compartir

Estudiar casos reales de incidentes es la forma más eficiente de preparar a su organización para lo que probablemente ocurrirá. Chile ha sido escenario de algunos de los ciberataques e incidentes de datos más significativos de América Latina — y el nuevo marco regulatorio de la Ley 21.719 transforma lo que antes era solo un problema de TI en un problema de cumplimiento, reputación y responsabilidad legal.

Este artículo analiza los principales incidentes de datos ocurridos en Chile, con foco en las causas, los impactos y — principalmente — las lecciones que cada caso enseña a las organizaciones que quieren evitar cometer los mismos errores.

El panorama chileno de incidentes de datos

Chile ha experimentado un aumento sostenido de ciberataques e incidentes de datos en los últimos años. Entre los factores que contribuyen a esto:

  • Digitalización acelerada sin crecimiento equivalente en prácticas de seguridad
  • Cultura de acumulación de datos sin políticas claras de retención y minimización
  • Infraestructura heredada en sectores público y privado, con sistemas antiguos expuestos
  • Ausencia de un marco sancionatorio robusto hasta la Ley 21.719 (en vigor desde diciembre de 2026)

Todos los incidentes analizados a continuación ocurrieron bajo la Ley 19.628, que carecía de un régimen efectivo de sanciones y de una autoridad supervisora con poder real. La Ley 21.719 cambia ese escenario: con la APDP operativa, estos mismos incidentes tendrían consecuencias regulatorias directas.

Caso 1: Ransomware en BancoEstado — el ataque que cerró 410 sucursales (2020)

En septiembre de 2020, BancoEstado, el único banco estatal de Chile, sufrió un ataque de ransomware que obligó al cierre temporal de sus 410 sucursales en todo el país — una paralización sin precedentes para la banca chilena.

Qué pasó

El malware utilizado fue Sodinokibi (también conocido como REvil), uno de los grupos de ransomware más activos del mundo en ese período. El ataque cifró sistemas internos del banco durante el fin de semana del 6 al 8 de septiembre. El lunes, el banco anunció el cierre preventivo de todas sus sucursales para limpiar y reinstalar equipos afectados.

Los sistemas de cara al cliente — cajeros automáticos, CajaVecina, sitio web y aplicación móvil — continuaron operando con normalidad. El banco declaró que "los fondos de los clientes y los activos del banco no fueron afectados".

La respuesta regulatoria

La Comisión para el Mercado Financiero (CMF) inició supervisión presencial en el banco e implementó coordinación con otras entidades financieras y la Sociedad de Apoyo al Giro Bancario (BECH) para evitar la propagación de la amenaza al resto del sistema financiero.

Lecciones del caso

  1. El ransomware es una amenaza para datos personales, no solo operacional — aun cuando los atacantes "solo" cifren, la investigación debe evaluar si hubo exfiltración de datos de clientes antes del cifrado
  2. La segmentación de red limita el impacto — un ataque que contamina toda la infraestructura indica ausencia de segmentación adecuada entre sistemas críticos
  3. La capacidad de respuesta operacional debe probarse antes — BancoEstado mantuvo sus servicios digitales operativos; no todas las organizaciones tendrían ese respaldo
  4. La comunicación externa durante el incidente es parte del plan — la transparencia inmediata del banco contribuyó a contener el pánico entre los clientes
  5. Bajo la Ley 21.719, un incidente de esta magnitud en un banco requeriría notificación formal a la APDP y evaluación del riesgo para los derechos de los titulares afectados

Caso 2: El hackeo al Estado Mayor Conjunto — 340 GB de documentos sensibles (2022)

En septiembre de 2022, el grupo hacktivista Guacamaya reveló públicamente que había exfiltrado 340 gigabytes de datos del Estado Mayor Conjunto (EMCO) de Chile — el órgano de coordinación de las Fuerzas Armadas. La filtración expuso más de 400.000 correos electrónicos de 162 cuentas comprometidas.

Qué fue expuesto

Los documentos filtrados incluían:

  • Archivos clasificados como "reservados", "secretos" y "ultra-secretos"
  • Estrategias de ciberseguridad e implementaciones de software
  • Sistemas de monitoreo de comunicaciones satelitales en fronteras
  • Mecanismos de intercepción de ondas de radio
  • Detalles del Sistema de Inteligencia Conjunto
  • Despliegues militares en la macrozona sur
  • Informes sobre la crisis migratoria (con datos personales de 144.578 intentos de ingreso irregular en 2021)
  • Comunicaciones de agregados de Defensa en todo el mundo

La cronología del ataque

El hackeo ocurrió entre el 7 y el 16 de mayo de 2022, pero las autoridades no tomaron conocimiento hasta el 19 de septiembre — más de cuatro meses después. La publicación fue estratégicamente sincronizada con el desfile militar del 19 de septiembre, Día de las Glorias del Ejército.

En enero de 2022, alertas previas habían detectado transferencias de más de 1 gigabyte de datos a servicios cloud externos — señal de alerta que no fue adecuadamente investigada.

La respuesta del gobierno

El Presidente Boric ordenó el regreso anticipado del ministro de Defensa desde Nueva York para gestionar la crisis. El gobierno inició investigaciones internas y derivó los antecedentes a los tribunales militares.

Lecciones del caso

  1. Los sistemas gubernamentales tienen los mismos riesgos que el sector privado — y frecuentemente con menores recursos para seguridad
  2. La detección tardía multiplica el daño — cuatro meses entre el ataque y su descubrimiento permitieron la exfiltración masiva de documentos sensibles
  3. Las alertas tempranas deben investigarse — las señales de enero 2022 (transferencias anómalas a cloud) no fueron seguidas; un sistema de monitoreo efectivo habría detectado el ataque mucho antes
  4. Los datos de terceros en sistemas gubernamentales están en riesgo — los datos personales de decenas de miles de migrantes quedaron expuestos como consecuencia del ataque a un sistema de defensa
  5. Los planes de respuesta deben contemplar la comunicación pública — la revelación por parte de los atacantes, antes que del gobierno, agravó el impacto reputacional

Caso 3: Los 15 millones de registros del Servel (2022)

En abril de 2022, el Servicio Electoral (Servel) publicó en su sitio web una base de datos con información de aproximadamente 15 millones de electores chilenos — prácticamente el padrón completo de votantes.

Los datos expuestos

La base de datos contenía, para cada elector:

  • RUT, nombre completo, sexo, edad
  • Condición de pertenencia a pueblo indígena
  • Afiliación a partido político (dato sensible según la normativa chilena)
  • Comportamiento de votación en las elecciones municipales de 2021

La afiliación política es un dato especialmente protegido bajo la legislación chilena, cuya exposición puede generar riesgos concretos para las personas — especialmente en contextos de polarización política o en trabajos donde la afiliación podría afectar la contratación.

Por qué ocurrió

El Servel publicó la base de datos como parte de su apertura de información pública, sin evaluar adecuadamente el carácter sensible de algunos de los datos incluidos. La falta de un proceso de revisión de privacidad antes de la publicación permitió que datos protegidos quedaran accesibles.

Lecciones del caso

  1. La transparencia pública no puede ignorar la protección de datos — publicar información electoral sin filtrar datos de afiliación política viola derechos fundamentales de los ciudadanos; la Ley 21.719 y la Ley 20.285 deben aplicarse de forma coordinada
  2. Los datos sensibles requieren procesos de revisión antes de publicar — una lista de verificación simple habría identificado que la afiliación política es un dato especialmente protegido
  3. El principio de minimización no solo aplica a la recolección — también aplica a la publicación; publicar más datos de los necesarios para el fin perseguido viola la ley
  4. Los organismos públicos son los mayores tratadores de datos sensibles — y por eso tienen responsabilidades más estrictas, no menos

Caso 4: El hackeo a Carabineros — 10.515 archivos de inteligencia (2019)

En octubre de 2019, en plena crisis social chilena, Carabineros de Chile fue víctima de un hackeo que expuso 10.515 archivos, incluyendo documentos de inteligencia policial.

Qué fue expuesto

Los archivos incluían:

  • Documentos de inteligencia interna
  • Datos personales de personas bajo vigilancia policial
  • Comunicaciones e informes operacionales internos
  • Información sobre operativos y procedimientos

El hackeo fue reivindicado por el grupo Distributed Denial of Secrets (DDoSecrets), que publicó los archivos en internet.

El contexto

El ataque ocurrió durante el período más crítico del estallido social de octubre de 2019, cuando las fuerzas policiales estaban en el centro del debate público. La exposición de documentos de inteligencia en ese contexto tuvo un impacto multiplicado, ya que los datos de personas identificadas en esos documentos quedaron expuestos en un clima de alta tensión social.

Lecciones del caso

  1. Los sistemas críticos de seguridad deben tener los más altos estándares — paradójicamente, los sistemas que manejan datos más sensibles suelen tener las mayores brechas de seguridad
  2. Los datos de terceros en sistemas de inteligencia tienen protección reforzada — la exposición de personas que figuran en registros de inteligencia puede generar riesgos directos para su seguridad
  3. El contexto de un incidente amplifica su impacto — la misma filtración en otro momento habría tenido consecuencias distintas; los planes de respuesta deben contemplar el contexto

Patrones recurrentes: lo que los casos enseñan

Analizando los principales incidentes en Chile, cinco patrones se repiten:

1. Detección tardía

La mayoría de los incidentes no se detecta cuando ocurre, sino semanas o meses después. El EMCO tardó cuatro meses en detectar la exfiltración. Una estrategia de monitoreo continuo reduce el tiempo de detección — y con eso, el daño.

2. Datos acumulados sin política de retención

Las organizaciones que nunca eliminan datos son las que más tienen que perder. El Servel publicó datos que no debería haber conservado en esa forma. La minimización de datos reduce directamente el impacto de cualquier incidente.

3. Ausencia de planes de respuesta probados

Las organizaciones que respondieron bien tenían planes documentados. Las que respondieron mal aprendieron durante la crisis lo que deberían haber practicado antes.

4. Notificación reactiva, no proactiva

En todos los casos analizados, la información sobre el incidente llegó primero por los atacantes o por medios de comunicación, no por las propias organizaciones. Bajo la Ley 21.719, la notificación proactiva y oportuna a la APDP será obligatoria.

5. Tensión entre transparencia y protección de datos

El caso Servel ilustra que la transparencia pública no es incompatible con la protección de datos — pero requiere procesos de revisión que consideren ambas obligaciones antes de publicar.

Checklist: qué aprender para su organización

  • ¿Su organización tiene un inventario actualizado de dónde están los datos personales?
  • ¿Existe una política de retención que limite el volumen de datos expuestos en caso de incidente?
  • ¿Los proveedores con acceso a datos personales fueron evaluados en materia de seguridad?
  • ¿Existe un plan de respuesta a incidentes documentado, con roles definidos?
  • ¿El plan fue probado en ejercicios (tabletop)?
  • ¿El equipo sabe a quién notificar (APDP) y en qué plazo?
  • ¿Existe comunicación preparada para los titulares en caso de incidente relevante?
  • ¿Los sistemas de monitoreo pueden detectar transferencias anómalas de datos?

Conclusión

Los grandes incidentes de datos en Chile no son accidentes aislados — son el resultado de decisiones acumuladas en el tiempo sobre cómo los datos son recolectados, conservados, protegidos y compartidos. La Ley 21.719 no crea nuevas vulnerabilidades técnicas; crea responsabilidad legal por vulnerabilidades que ya existían.

Para la mayoría de las organizaciones chilenas, la pregunta no es si un incidente va a ocurrir, sino cuándo — y si la organización estará preparada para responder de forma que minimice el daño a las personas afectadas y cumpla con las obligaciones regulatorias.

La diferencia entre una organización preparada y una impreparada no se mide en el momento del incidente — se mide en los meses y años anteriores, cuando se construye la capacidad de detección, respuesta y comunicación.

Confidata incluye en su módulo de incidentes un flujo estructurado de respuesta alineado con los plazos de la Ley 21.719: desde la detección hasta la notificación a la APDP, con trazabilidad de auditoría completa de cada etapa del proceso.

Compartir
#incidentes de datos#filtración de datos#Ley 21.719#APDP#ransomware#casos reales#lecciones aprendidas#Chile

Artículos relacionados

Ransomware en Hospitales: Qué Exige la Ley 21.719 Tras un AtaqueIncidentes · 14 minCómo comunicar una filtración de datos a los titulares afectadosIncidentes · 11 minEvaluación de Impacto en la Protección de Datos (EIPD) para productos accesibles por menores: guía prácticaLegislación y Regulación · 14 minLey 21.719 y el sector público chileno: guía práctica de adecuación para organismos del EstadoSector Público · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista