La Ley Marco de Ciberseguridad 21.663 representa uno de los cambios regulatorios más importantes para la protección digital de las organizaciones en Chile. Su objetivo es establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad entre organismos del Estado y entidades privadas, además de definir requisitos mínimos para la prevención, contención, resolución y respuesta frente a incidentes de ciberseguridad. En otras palabras, esta ley eleva el estándar de responsabilidad para las organizaciones que dependen de redes, sistemas informáticos, activos digitales y servicios tecnológicos para operar.

En este nuevo escenario, la ciberseguridad deja de ser únicamente una decisión técnica o una buena práctica empresarial. Para muchas organizaciones, especialmente aquellas vinculadas a servicios esenciales, infraestructura crítica u operadores de importancia vital, se convierte en una obligación que debe ser gestionada, documentada y demostrada. Esto implica que las empresas deben contar con políticas, procesos, controles y tecnologías capaces de reducir riesgos, contener incidentes y mantener la continuidad operacional.

Dentro de esa estrategia, la gestión de dispositivos móviles y endpoints adquiere un papel fundamental. Hoy, los colaboradores acceden a correos, aplicaciones, archivos, sistemas internos y datos sensibles desde teléfonos, tablets, notebooks y equipos remotos. Cada uno de estos dispositivos puede convertirse en un punto de entrada para amenazas si no se administra correctamente. Por eso, una solución MDM, o Mobile Device Management, se vuelve clave para ayudar a las organizaciones a controlar su entorno digital y avanzar hacia una postura de cumplimiento más sólida.

La Ley 21.663 y el nuevo estándar de ciberseguridad en Chile

La Ley 21.663 define conceptos esenciales como activo informático, ciberataque, ciberseguridad, incidente de ciberseguridad, confidencialidad, integridad, disponibilidad, resiliencia y riesgo. Esto es importante porque la norma no se limita a hablar de tecnología de forma general, sino que establece un lenguaje claro para entender qué debe protegerse, qué puede afectarse y cómo deben actuar las organizaciones frente a un incidente. De acuerdo con la ley, la ciberseguridad se relaciona con la preservación de la confidencialidad e integridad de la información, así como con la disponibilidad y resiliencia de las redes y sistemas informáticos.

Este punto es especialmente relevante para las empresas porque muchos de esos riesgos se materializan a través de dispositivos mal gestionados. Un celular corporativo sin bloqueo, un notebook sin políticas de seguridad, una tablet usada en terreno sin control de aplicaciones o un dispositivo personal con acceso al correo empresarial pueden afectar directamente la confidencialidad, integridad y disponibilidad de la información. La seguridad ya no depende solo del centro de datos o de la red corporativa; también depende de cada endpoint que se conecta a la organización.

La ley también contempla principios como el control de daños, que exige actuar de manera coordinada y diligente frente a un incidente para evitar su escalada o propagación, y el principio de racionalidad, que establece que las medidas de gestión deben ser necesarias y proporcionales al nivel de exposición al riesgo y al eventual impacto social y económico. Esto conecta directamente con la necesidad de implementar controles tecnológicos adecuados, no como una carga operativa, sino como una forma de reducir el impacto de los incidentes y demostrar una gestión responsable.

Por qué los dispositivos son un frente crítico para el cumplimiento

Durante años, muchas organizaciones concentraron sus esfuerzos de ciberseguridad en firewalls, antivirus, respaldo, protección del correo y seguridad perimetral. Sin embargo, el modelo de trabajo actual cambió por completo esa lógica. El perímetro ya no está definido solamente por una oficina o una red interna. Ahora se extiende a cada dispositivo que accede a información corporativa desde diferentes ubicaciones, redes y contextos.

Esta realidad vuelve más compleja la gestión del riesgo. Un empleado puede revisar información confidencial desde su celular, un equipo comercial puede usar una tablet para acceder a datos de clientes, un técnico puede conectarse desde un dispositivo en terreno y un ejecutivo puede abrir documentos corporativos desde un notebook fuera de la oficina. Si la organización no tiene visibilidad sobre esos dispositivos, tampoco puede asegurar que cumplen con las políticas internas ni reaccionar de forma rápida ante una pérdida, robo, infección o acceso no autorizado.

La Ley 21.663 establece deberes generales para las instituciones obligadas, incluyendo la aplicación permanente de medidas para prevenir, reportar y resolver incidentes de ciberseguridad. También señala deberes específicos para operadores de importancia vital, como implementar un sistema de gestión de seguridad de la información continuo, elaborar planes de continuidad operacional y ciberseguridad, realizar operaciones de revisión y adoptar medidas oportunas para reducir el impacto y la propagación de incidentes. En la práctica, esto significa que la administración de endpoints no puede tratarse como un tema secundario.

Un MDM ayuda precisamente a cubrir este frente. Permite saber qué dispositivos están conectados, qué usuarios los utilizan, qué configuraciones tienen, qué aplicaciones están instaladas, qué políticas se están aplicando y cuáles equipos representan un riesgo. Sin esta visibilidad, cualquier programa de cumplimiento queda incompleto porque la organización no puede proteger lo que no puede ver ni gestionar.

MDM como herramienta para prevenir incidentes

Una solución MDM permite aplicar políticas de seguridad de forma centralizada en los dispositivos corporativos o autorizados. Esto puede incluir requisitos de contraseña, cifrado, bloqueo de pantalla, restricciones de aplicaciones, configuración de redes, control de acceso, administración de actualizaciones, separación entre datos personales y corporativos, y acciones remotas en caso de pérdida o robo del equipo.

Estas capacidades son relevantes para el cumplimiento porque ayudan a reducir la probabilidad de incidentes. No se trata solo de tener una herramienta para configurar dispositivos, sino de establecer una línea base de seguridad que todos los equipos deben cumplir antes de acceder a recursos corporativos. De esta manera, la empresa puede limitar accesos inseguros, reducir errores humanos y evitar que dispositivos no conformes se conviertan en una puerta de entrada para amenazas.

El valor del MDM también está en la consistencia. En organizaciones con decenas, cientos o miles de dispositivos, aplicar políticas manualmente no es sostenible. La administración centralizada permite que las reglas se desplieguen de forma uniforme y que el equipo de TI pueda mantener control sobre entornos distribuidos. Esto es especialmente importante para empresas con operación en terreno, colaboradores remotos, fuerza comercial, equipos técnicos o modelos BYOD.

MDM para contención y respuesta ante incidentes

La Ley 21.663 no solo habla de prevención. También establece requisitos mínimos para la contención, resolución y respuesta frente a incidentes de ciberseguridad. Aquí el MDM cobra una importancia especial, porque permite actuar rápidamente cuando un dispositivo representa un riesgo.

Si un equipo se pierde, es robado o queda comprometido, la organización puede bloquearlo, revocar accesos, eliminar información corporativa, retirar perfiles de trabajo o ejecutar un borrado remoto. También puede restringir aplicaciones, impedir conexiones no autorizadas o aislar dispositivos que no cumplen con las políticas definidas. En un incidente real, estas acciones pueden marcar la diferencia entre un evento controlado y una brecha con impacto mayor.

La rapidez es fundamental. Muchas veces, el problema no es solamente que un dispositivo se pierda, sino el tiempo durante el cual sigue teniendo acceso al correo, archivos, aplicaciones o sistemas internos. Un MDM reduce esa ventana de exposición y permite que el área de TI responda con mayor eficiencia.

Además, la trazabilidad de las acciones ejecutadas puede ser valiosa para auditorías, investigaciones internas y procesos de cumplimiento. Saber cuándo se detectó un dispositivo en riesgo, qué acción se tomó y qué política se aplicó ayuda a construir evidencia de gestión. En un entorno regulado, esa evidencia es clave para demostrar diligencia.

MDM y continuidad operacional

Uno de los elementos más importantes de la Ley 21.663 es la resiliencia, entendida como la capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente, incluso en un estado degradado, y recuperar sus funciones después del evento. Este concepto se conecta directamente con la continuidad operacional.

Los dispositivos móviles y endpoints forman parte de esa continuidad. Si una organización depende de equipos en terreno, puntos de venta, tablets operativas, notebooks de colaboradores o dispositivos industriales conectados, su funcionamiento debe mantenerse bajo control. Un incidente que afecte estos equipos puede detener procesos comerciales, atención a clientes, soporte técnico, logística, ventas, atención médica, operaciones financieras o servicios públicos.

El MDM permite reducir ese riesgo porque facilita la administración remota de dispositivos, la aplicación de configuraciones, el despliegue de aplicaciones, la corrección de problemas y la protección de datos. En lugar de depender de intervenciones manuales o presenciales, el equipo de TI puede gestionar una gran cantidad de equipos desde una consola central. Esto mejora la capacidad de respuesta y contribuye a mantener la operación activa incluso cuando existen amenazas, fallas o cambios urgentes.

Cumplir no es solo tener tecnología, pero sin tecnología es difícil demostrar cumplimiento

Es importante dejar claro que una solución MDM por sí sola no garantiza el cumplimiento total de la Ley 21.663. La normativa exige una gestión más amplia que incluye gobierno, procesos, políticas, responsables, planes de continuidad, respuesta a incidentes, gestión de riesgos, capacitación y coordinación con las autoridades correspondientes. Sin embargo, también es cierto que ninguna estrategia de cumplimiento puede sostenerse si los dispositivos que acceden a la información corporativa permanecen sin control.

El MDM funciona como un habilitador tecnológico del cumplimiento. Permite convertir políticas internas en acciones concretas sobre los dispositivos. Permite generar registros, aplicar restricciones, controlar accesos y responder ante eventos. También ayuda a que las organizaciones pasen de una ciberseguridad basada en intención a una ciberseguridad basada en evidencia.

En este sentido, la pregunta ya no debería ser si una empresa necesita administrar sus dispositivos, sino qué tan preparada está para demostrar que esos dispositivos cumplen con estándares mínimos de seguridad. En el contexto de la Ley 21.663, esa diferencia puede ser determinante.

Scalefusion como aliado para fortalecer la gestión de endpoints

Scalefusion es una plataforma de gestión unificada de endpoints que permite administrar dispositivos Android, iOS/iPadOS, macOS, Windows y Linux desde un único panel. La solución permite provisionar, monitorear y asegurar dispositivos, además de desplegar políticas, aplicaciones y restricciones para gestionar endpoints a escala.

Esto la convierte en una herramienta relevante para organizaciones que necesitan fortalecer sus controles sobre dispositivos corporativos y avanzar hacia un modelo más alineado con la Ley Marco de Ciberseguridad 21.663. Desde una perspectiva de cumplimiento, Scalefusion ayuda a centralizar la administración de endpoints, aplicar políticas de seguridad, limitar accesos no autorizados, gestionar aplicaciones y mantener visibilidad sobre el estado de los dispositivos que se conectan a la organización.

Scalefusion también integra capacidades relacionadas con acceso y seguridad. Su propuesta combina administración de endpoints con acceso Zero Trust, autenticación de endpoints y acceso condicionado al cumplimiento del dispositivo. La plataforma permite restringir el acceso a correo y aplicaciones a dispositivos que cumplen con las políticas UEM, además de aplicar reglas contextuales basadas en factores como IP, Wi-Fi, ubicación y postura del dispositivo.

Este punto es especialmente importante para empresas chilenas que buscan reducir riesgos y demostrar control. Si un dispositivo no cumple las políticas de seguridad, no debería tener el mismo nivel de acceso que un equipo administrado y validado. Ese enfoque ayuda a fortalecer la confidencialidad, integridad y disponibilidad de la información, principios centrales dentro de la Ley 21.663.

Además, Scalefusion cuenta con capacidades de seguridad y cumplimiento de endpoints, incluyendo filtrado de contenido web, control de acceso de dispositivos y túnel VPN para enrutar tráfico de forma segura hacia activos internos. Estas funciones pueden apoyar a las organizaciones en la reducción de exposición, protección de navegación, control de conexiones y gestión segura del acceso a recursos corporativos.

En la práctica, Scalefusion ayuda a las empresas a pasar de una administración dispersa de dispositivos a una gestión centralizada, medible y orientada al riesgo. Esto no reemplaza los procesos legales, organizacionales ni de gobierno que exige la Ley 21.663, pero sí aporta una capa tecnológica clave para implementar controles, generar visibilidad y responder con mayor rapidez ante eventos relacionados con endpoints.

Grupo Micronet: distribuidor mayorista de Scalefusion para la región

Para las organizaciones que buscan implementar Scalefusion en Chile y América Latina, Grupo Micronet actúa como un aliado estratégico en la distribución de soluciones de ciberseguridad y protección de datos. Grupo Micronet se presenta como un distribuidor mayorista con presencia en América Latina y alcance internacional, especializado en representar fabricantes globales del sector de ciberseguridad y protección de datos.

Dentro de su portafolio, Grupo Micronet incluye Scalefusion como una solución que combina gestión unificada de endpoints, acceso Zero Trust, cumplimiento y seguridad en una única plataforma. En su sitio oficial, Micronet destaca que Scalefusion permite gestionar dispositivos Android, iOS/iPadOS, macOS, Windows y Linux desde un único panel, enrolar políticas, aplicaciones y restricciones, y proteger endpoints a escala.

Esto permite que canales, partners y organizaciones cuenten con acompañamiento local para llevar una solución global de UEM y MDM a proyectos concretos de ciberseguridad, cumplimiento y gestión de dispositivos. En un contexto como el chileno, donde la Ley Marco de Ciberseguridad 21.663 exige mayor madurez, trazabilidad y capacidad de respuesta, contar con un mayorista especializado como Grupo Micronet facilita el acceso a tecnología, soporte comercial y acompañamiento para estructurar proyectos orientados a la protección de endpoints.

Conclusión

La Ley Marco de Ciberseguridad 21.663 obliga a las organizaciones en Chile a mirar la ciberseguridad con mayor responsabilidad, especialmente cuando sus operaciones dependen de redes, sistemas informáticos, activos digitales y dispositivos conectados. En este escenario, los endpoints ya no pueden quedar fuera de la estrategia de cumplimiento.

Una solución MDM permite controlar, proteger y monitorear los dispositivos que acceden a la información corporativa. Ayuda a prevenir incidentes, contener riesgos, responder con rapidez, mantener continuidad operacional y generar evidencia de gestión. Aunque no reemplaza una estrategia integral de cumplimiento, sí representa una capa fundamental para convertir las políticas de ciberseguridad en controles reales sobre los dispositivos.

Scalefusion aporta una plataforma robusta para gestionar endpoints, aplicar políticas, controlar accesos y fortalecer la seguridad de dispositivos en diferentes sistemas operativos. Junto al acompañamiento de Grupo Micronet como distribuidor mayorista de soluciones de ciberseguridad y protección de datos, las organizaciones pueden avanzar con mayor confianza en la implementación de proyectos MDM y UEM orientados a cumplimiento, seguridad y eficiencia operativa en Chile y la región.