En Chile, la ciberseguridad ya no es un asunto técnico relegado al sótano de informática; es una prioridad de supervivencia clínica. Con la Ley Marco de Ciberseguridad (N.º 21.663), la protección de datos en hospitales y clínicas pasó de ser una «buena práctica» a una obligación legal con multas que pueden asfixiar cualquier presupuesto (hasta 40.000 UTM).
El peso de ser un Operador de Importancia Vital (OIV).
La Agencia Nacional de Ciberseguridad (ANCI) ha sido clara: 114 prestadores de salud y 29 servicios estatales son ahora OIV. Esto significa que si sus sistemas caen, el impacto social es crítico. El reloj ya corre: las instituciones tienen plazos de apenas 60 días para designar responsables y reportar incidentes en menos de 3 horas.
El caso del HUAP: Anticipación sobre improvisación.
Mientras algunos corren para adaptarse, el Hospital de Urgencia Asistencia Pública (HUAP) destaca por una transición ordenada. Su estrategia no nació con la ley, sino de una cultura de prevención previa:
- Liderazgo real: Ya designaron a su delegado de ciberseguridad.
- Gobernanza activa: Constituyeron un comité preventivo para asegurar el cumplimiento de la normativa y los compromisos con el Ministerio de Salud.
- Resiliencia probada: A diferencia de quienes improvisan, el HUAP ya contaba con políticas de seguridad y planes antidesastres robustos antes de su clasificación como OIV.
Incluso entrenan protocolos de registro manual en papel. Saben que la ciberresiliencia no es solo tener el mejor software, sino garantizar que la atención médica no se detenga cuando la tecnología falla.
Lecciones de la realidad (2025-2026):
Los ataques recientes en Chile nos han dejado cicatrices claras. El ransomware al ISP en 2025 duplicó los tiempos de espera en diagnósticos críticos como VIH, demostrando que un servidor caído es, en realidad, un riesgo para la seguridad del paciente. Por otro lado, filtraciones masivas como la de Clínica Dávila (250 GB) muestran que el daño reputacional y la extorsión directa a pacientes son amenazas presentes.
Conclusión operativa:
La transformación del sector salud exige tres pilares:
- Institucionalidad: Comités y delegados con poder de decisión.
- Continuidad: Planes de respaldo que permitan operar «a ciegas».
- Cultura: Que cada funcionario entienda que es un guardián de la información.
La ley puso las reglas, pero ejemplos como el del HUAP demuestran que la verdadera seguridad se construye con gestión y anticipación, no solo con leyes.