Ley 21.663 de Ciberseguridad: qué exige a los colegios chilenos
La Ley 21.663 de Ciberseguridad impone obligaciones técnicas concretas a los establecimientos educacionales: cifrado, reporte de incidentes y auditoría. Lo que todo sostenedor debe saber.

TL;DR
La Ley 21.663 de Ciberseguridad, vigente desde 2024, impone obligaciones técnicas directas a los operadores de infraestructura digital en Chile, categoría en la que entran los establecimientos educacionales que gestionan datos de menores. Cifrado obligatorio, reporte de incidentes en 72 horas y registros de auditoría son las tres exigencias centrales. Ethoz implementa estos controles de forma nativa con pgcrypto, RLS y auditoría sobre Cloud SQL/PostgreSQL.
Una ley que los colegios no esperaban
Cuando se menciona ciberseguridad en el contexto educacional chileno, la referencia casi automática es la Ley 21.719 de Protección de Datos Personales. Pero desde 2024 existe otra norma que los establecimientos educacionales deben conocer con igual urgencia: la Ley 21.663, Marco de Ciberseguridad.
Esta ley no fue diseñada exclusivamente para el sector financiero ni para las grandes empresas de telecomunicaciones. Define como sujetos obligados a todos los operadores de servicios esenciales y a los operadores de importancia vital. La educación, en tanto servicio que gestiona datos sensibles de menores de edad en escala masiva, queda comprendida dentro de estas categorías según la interpretación de la Agencia Nacional de Ciberseguridad (ANCI).
El punto de partida para cualquier sostenedor es simple: si su establecimiento almacena, procesa o transmite datos personales de estudiantes en sistemas digitales, la Ley 21.663 le aplica. Y la pregunta relevante no es si aplica, sino qué exige específicamente.
Las tres obligaciones técnicas centrales
1. Medidas técnicas de seguridad obligatorias
El artículo 27 de la Ley 21.663 establece que los operadores de servicios esenciales deben implementar medidas técnicas y organizativas para proteger sus redes y sistemas informáticos. La norma no prescribe una tecnología específica, pero la reglamentación y las directrices de la ANCI definen un conjunto mínimo de controles:
- Cifrado en reposo y en tránsito: los datos almacenados deben estar cifrados. El tráfico entre cliente y servidor debe usar protocolos seguros (TLS 1.2 mínimo, TLS 1.3 recomendado).
- Control de acceso basado en roles (RBAC): cada usuario del sistema debe tener acceso únicamente a los datos que su función requiere. El acceso amplio o irrestricto constituye una vulnerabilidad técnica y un incumplimiento normativo.
- Gestión de vulnerabilidades: los sistemas deben mantenerse actualizados. Las vulnerabilidades conocidas deben ser parcheadas dentro de plazos razonables.
- Autenticación robusta: el acceso a sistemas con datos sensibles debe requerir autenticación de múltiples factores para cuentas con privilegios elevados.
2. Reporte de incidentes en 72 horas
El artículo 33 de la ley establece la obligación de notificar a la ANCI dentro de las 72 horas siguientes al momento en que el operador tome conocimiento de un incidente de ciberseguridad que afecte a sus sistemas. Esta ventana es la misma que establece el GDPR europeo y que recoge la Ley 21.719 para brechas de datos personales.
Lo que esto significa en la práctica es que el establecimiento debe tener:
- Un proceso definido para detectar incidentes (no se puede reportar lo que no se detecta).
- Un responsable designado que evalúe la gravedad del incidente y tome la decisión de notificar.
- Una plantilla o procedimiento de notificación que permita cumplir el plazo sin improvisación.
- Un registro interno del incidente, las acciones adoptadas y la notificación enviada.
El incumplimiento del deber de reporte es sancionado de manera independiente a las sanciones por el incidente en sí. Un establecimiento que sufre una brecha y no la reporta dentro del plazo acumula dos infracciones, no una.
3. Registros de auditoría
La ley exige que los operadores mantengan registros de actividad (logs) que permitan reconstruir los eventos que llevaron a un incidente. Estos registros deben ser:
- Completos: deben capturar accesos, modificaciones y eliminaciones de datos.
- Íntegros: no deben poder ser alterados por los mismos usuarios que generan la actividad.
- Conservados: deben mantenerse por un período mínimo que la reglamentación define según el tipo de operador.
- Accesibles: deben poder ser consultados y exportados en caso de fiscalización o investigación.
Cómo se complementa con la Ley 21.719
Las leyes 21.663 y 21.719 no son redundantes: son complementarias. La Ley 21.719 regula el tratamiento de datos personales: qué datos se pueden recopilar, con qué finalidad, por cuánto tiempo y con qué base de legitimación. La Ley 21.663 regula la seguridad de los sistemas que procesan esos datos.
La intersección más relevante para los colegios es la de las brechas de seguridad. Un acceso no autorizado a los datos de estudiantes activa simultáneamente:
- La obligación de notificación a la ANCI bajo la Ley 21.663 (72 horas).
- La obligación de notificación a la Agencia de Protección de Datos Personales bajo la Ley 21.719.
- La obligación de informar a los titulares afectados (los apoderados, en el caso de menores).
Un establecimiento que tiene los sistemas correctos para cumplir con la Ley 21.663 está, en su mayor parte, también en condiciones de cumplir con la Ley 21.719 en materia de seguridad. La inversa no siempre es cierta: se puede cumplir con algunas obligaciones de protección de datos sin tener la infraestructura de ciberseguridad que la Ley 21.663 exige. El análisis completo de la Ley 21.719 está disponible en Ley 21.719: Lo que todo colegio debe saber antes de diciembre 2026.
El estado actual de los colegios chilenos
La realidad es que la mayoría de los establecimientos educacionales chilenos no tiene los controles técnicos que la Ley 21.663 exige. Las razones son estructurales:
- Infraestructura heredada: muchos colegios operan con software de gestión que data de hace 10 o 15 años, diseñado sin las exigencias actuales de seguridad.
- Falta de personal especializado: el área de TI en un establecimiento educacional típico es una persona que gestiona dispositivos, no un equipo de seguridad informática.
- Desconocimiento normativo: la Ley 21.663 es reciente y el sector educacional no ha recibido la misma comunicación institucional que, por ejemplo, el sector financiero.
- Plataformas que no cumplen: los sistemas de gestión escolar más usados en Chile no fueron diseñados con los estándares que la ley ahora exige. El análisis detallado de este punto está en Por qué ninguna plataforma de gestión escolar cumple la Ley 21.719.
Las sanciones que los sostenedores deben conocer
La Ley 21.663 establece un régimen sancionatorio escalonado:
- Infracciones leves: multas de hasta 5.000 UTM (~$350 millones de pesos).
- Infracciones graves: multas de hasta 10.000 UTM y prohibición temporal de operar ciertos sistemas.
- Infracciones gravísimas: multas de hasta 20.000 UTM (más de $1.300 millones), con agravantes si el incidente afecta a menores de edad o si hubo negligencia en la notificación obligatoria.
Adicionalmente, la ley contempla la responsabilidad personal de los directivos que hayan tenido conocimiento de vulnerabilidades y no hayan adoptado medidas. En el contexto educacional, esto apunta directamente al director del establecimiento y al sostenedor.
Cómo Ethoz implementa nativamente las exigencias de la Ley 21.663
Ethoz fue diseñado desde su arquitectura base con las exigencias de la Ley 21.663 como requisito no negociable. Las tres obligaciones técnicas centrales están implementadas de manera nativa:
Cifrado con pgcrypto
Ethoz utiliza pgcrypto, la extensión de cifrado nativa de PostgreSQL, para cifrar los datos en reposo. Esto significa que los datos sensibles de los estudiantes, incluyendo fichas médicas, registros de convivencia y documentos adjuntos, están cifrados a nivel de base de datos, no solo a nivel de transporte. Incluso si alguien obtuviera acceso directo a los archivos de la base de datos, los datos serían ilegibles sin las claves de cifrado.
Control de acceso con Row-Level Security (RLS)
El Row-Level Security (RLS) de PostgreSQL implementa control de acceso a nivel de fila. Esto significa que las políticas de acceso no se gestionan solo en la capa de aplicación, que puede ser vulnerada, sino en la base de datos misma. Un usuario que accede con credenciales válidas pero sin los permisos correctos simplemente no ve los datos, aunque intente consultarlos directamente. Esta es la implementación más robusta posible del principio de mínimo privilegio que la Ley 21.663 exige.
Auditoría completa con pgAudit
pgAudit es la extensión de auditoría para PostgreSQL que registra todas las operaciones sobre los datos: quién accedió, qué consultó, qué modificó y cuándo. En Ethoz, este registro es inmutable desde la perspectiva del usuario de la aplicación: ni el administrador del colegio puede alterar los logs. En caso de un incidente de ciberseguridad, el establecimiento puede presentar a la ANCI un log completo, íntegro y cronológico de toda la actividad del sistema.
Conclusión
La Ley 21.663 no es una ley del futuro: es una ley vigente con sanciones reales. Los establecimientos educacionales que gestionan datos de estudiantes en sistemas digitales (es decir, prácticamente todos) son sujetos obligados. Las tres exigencias centrales (cifrado, reporte en 72 horas y registros de auditoría) requieren infraestructura técnica específica que la mayoría de las plataformas de gestión escolar actuales no tienen.
El cumplimiento no es solo una obligación legal: es una decisión de gestión de riesgo. Los datos de los estudiantes son datos de menores de edad, y su protección tiene consecuencias que van más allá de las multas.
Verifique si su plataforma cumple la Ley 21.663
Ethoz es la única plataforma de gestión escolar en Chile diseñada con cifrado pgcrypto, RLS y auditoría pgAudit desde su arquitectura base. Solicite una demostración técnica y revise el cumplimiento de su establecimiento.
Agendar demoCentraliza la información de cada alumno
Ve cómo Ethoz complementa tu sistema actual y protege la información de cada estudiante.
Agendar demo