Volver al blog

Qué hacer si tu empresa sufre una filtración de datos en Chile: guía paso a paso

Guía práctica para empresas chilenas ante una filtración de datos. Pasos legales y técnicos según la Ley 21.719 y mejores prácticas internacionales.

Equipo FideliNorm
Qué hacer si tu empresa sufre una filtración de datos en Chile: guía paso a paso

Qué hacer si tu empresa sufre una filtración de datos en Chile: guía paso a paso

Una filtración de datos puede ocurrirle a cualquier empresa, independiente de su tamaño o sector. En Chile, la Ley 21.719 establece obligaciones claras para quienes sufren un incidente de seguridad que comprometa información personal.

Si descubres o sospechas que tu empresa fue vulnerada, el tiempo es tu peor enemigo. Esta guía te entrega un protocolo práctico para actuar con rapidez y cumplir con la normativa vigente.

Paso 1: Contener el incidente

Tu primera acción debe ser detener la sangría. No intentes resolver todo de inmediato; prioriza evitar que la filtración continúe.

  • Desconecta los sistemas afectados de la red.
  • Cambia las credenciales de acceso comprometidas.
  • Revoca los tokens de API y sesiones activas sospechosas.
  • Preserva los logs de auditoría antes de que se sobrescriban.

Actúa con calma pero rapidez. Minutos de contención efectiva pueden reducir el impacto en ordenes de magnitud.

Paso 2: Evaluar el alcance

Antes de comunicar nada externamente, necesitas saber qué se filtró, de quién y en qué volumen.

  • Identifica las bases de datos o sistemas comprometidos.
  • Determina si la información expuesta incluye datos personales (nombres, RUT, correos, teléfonos, datos financieros, históricos médicos).
  • Estima la cantidad de titulares afectados.
  • Documenta la línea de tiempo del incidente: ¿cuándo comenzó?, ¿cuándo fue detectado?, ¿cómo ocurrió?

Esta evaluación es crítica porque define tus obligaciones legales y el contenido de las notificaciones que deberás enviar.

Paso 3: Notificar a la autoridad

La Ley 21.719 establece que el encargado del tratamiento de datos personales debe informar a la Agencia de Protección de Datos Personales dentro de las 24 horas siguientes al conocimiento del incidente.

La notificación debe incluir:

  • Descripción general del incidente.
  • Categorías de datos personales comprometidos.
  • Número aproximado de titulares afectados.
  • Medidas adoptadas para mitigar el riesgo.
  • Medios de contacto para obtener más información.

El incumplimiento de esta obligación puede resultar en multas de hasta 10.000 UTM (aproximadamente $700 millones de pesos chilenos al valor actual).

Paso 4: Comunicar a los titulares afectados

Además de notificar a la autoridad, debes informar a las personas cuyos datos fueron comprometidos. La ley exige que esta comunicación sea clara, oportuna y contenga al menos:

  • Descripción del incidente en lenguaje comprensible.
  • Datos de contacto del encargado o del responsable del tratamiento.
  • Descripción de las consecuencias probables.
  • Medidas que has adoptado para hacer frente al incidente.
  • Medidas que el titular puede tomar para protegerse (cambio de contraseñas, monitoreo de cuentas bancarias, alertas de fraude).

El canal de comunicación debe ser el mismo que usas habitualmente para contactar al cliente, a menos que ese canal haya sido comprometido.

Paso 5: Remediar y recuperar

Una vez contenido y notificado, enfócate en la recuperación.

  • Aplica los parches de seguridad necesarios.
  • Elimina el acceso no autorizado.
  • Restaura sistemas desde backups limpios si es necesario.
  • Refuerza los controles de acceso y autenticación.
  • Realiza un análisis forense para entender el vector de ataque.

Paso 6: Documentar todo

La Ley 21.719 exige que mantengas un registro de todas las actividades de tratamiento, incluyendo incidentes de seguridad. Documenta:

  • Fecha y hora de detección.
  • Descripción técnica del incidente.
  • Personas involucradas en la respuesta.
  • Decisiones tomadas y justificación.
  • Lecciones aprendidas.

Esta documentación no solo te protege ante una auditoría regulatoria; también es insumo valioso para prevenir futuros incidentes.

Paso 7: Prevenir la siguiente filtración

El 90% de las filtraciones de datos ocurre por causas prevenibles: configuraciones incorrectas, falta de actualizaciones, contraseñas débiles o falta de capacitación del personal.

Implementar un Sistema de Gestión de Seguridad de la Información basado en ISO 27001 te permite establecer controles sistemáticos para reducir drásticamente la probabilidad de un nuevo incidente.

Entre los controles más efectivos se encuentran:

  • Gestión de accesos basada en roles.
  • Cifrado de datos en tránsito y en reposo.
  • Segmentación de redes.
  • Planes de respuesta a incidentes documentados y probados.
  • Auditorías de seguridad periódicas.

Conclusión

Una filtración de datos no tiene por qué ser el fin de tu empresa. Lo que la convierte en una crisis controlable o en un desastre reputacional y legal es la preparación previa y la calidad de tu respuesta.

Si no cuentas con un plan de respuesta a incidentes ni con los controles de seguridad necesarios, el momento de actuar es ahora, no después de que ocurra el primer incidente.

Contáctanos si necesitas ayuda para desarrollar un plan de respuesta a incidentes o implementar ISO 27001 en tu empresa.

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →