La Ley Marco de Ciberseguridad 21.663 elevó el estándar de responsabilidad para las organizaciones en Chile. Su objetivo es establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad entre organismos del Estado y entidades privadas. Además, la ley establece requisitos mínimos para la prevención, contención, resolución y respuesta frente a incidentes de ciberseguridad, junto con mecanismos de control, supervisión y responsabilidad ante infracciones.

En este nuevo escenario, el patch management, o gestión de parches, deja de ser una tarea operativa secundaria y pasa a convertirse en una práctica fundamental de cumplimiento, continuidad operacional y reducción del riesgo. Mantener sistemas operativos, aplicaciones y endpoints actualizados no es solamente una buena práctica técnica; es una forma concreta de disminuir vulnerabilidades conocidas, reducir la superficie de ataque y demostrar que la organización aplica medidas permanentes para proteger sus activos digitales.

La gestión de parches cobra especial importancia porque muchos incidentes de ciberseguridad no comienzan con ataques sofisticados, sino con fallas conocidas que no fueron corregidas a tiempo. Un sistema desactualizado, una aplicación vulnerable o un endpoint sin parches puede abrir la puerta a accesos no autorizados, robo de información, ransomware, interrupción de servicios o movimiento lateral dentro de la red. Bajo la lógica de la Ley 21.663, este tipo de exposición debe gestionarse de forma preventiva y documentada.

Qué es patch management y por qué es clave para la ciberseguridad

Patch management es el proceso mediante el cual una organización identifica, evalúa, prioriza, prueba, despliega y monitorea actualizaciones de seguridad y correcciones de software en sus sistemas, aplicaciones y dispositivos. No se trata simplemente de instalar actualizaciones cuando aparecen. Una gestión madura de parches requiere inventario, clasificación de activos, análisis de criticidad, control de versiones, ventanas de mantenimiento, reportes de cumplimiento y seguimiento constante.

Este proceso es clave porque las vulnerabilidades conocidas suelen ser uno de los caminos más utilizados por los atacantes. Cuando un fabricante publica una actualización de seguridad, normalmente está corrigiendo una debilidad que podría ser explotada. Si una empresa no aplica ese parche, mantiene abierta una brecha que ya es conocida públicamente y que puede ser aprovechada por actores maliciosos.

Desde una perspectiva de cumplimiento, el patch management permite demostrar diligencia. Una organización puede evidenciar qué dispositivos tiene, cuáles están actualizados, cuáles tienen parches pendientes, qué acciones se tomaron y qué riesgos siguen abiertos. Esa capacidad de generar evidencia es especialmente importante en un marco regulatorio donde la ciberseguridad debe gestionarse de manera permanente y verificable.

La relación entre patch management y la Ley 21.663

La Ley 21.663 define la ciberseguridad en relación con la preservación de la confidencialidad, integridad, disponibilidad y resiliencia de redes, sistemas informáticos y datos. También define incidente de ciberseguridad como un evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de redes y sistemas informáticos, o la autenticación de procesos ejecutados en esos sistemas.

Esta definición conecta directamente con la gestión de parches. Una vulnerabilidad sin corregir puede afectar la confidencialidad si permite acceso no autorizado a información sensible. Puede comprometer la integridad si permite modificar datos o configuraciones sin permiso. Puede afectar la disponibilidad si facilita un ataque de ransomware o denegación de servicio. Y puede debilitar la resiliencia si impide que la organización mantenga o recupere su operación después de un incidente.

Por eso, el patch management debe verse como una práctica de prevención y contención. Prevenir, porque reduce la probabilidad de que una vulnerabilidad conocida sea explotada. Contener, porque limita el impacto de una amenaza cuando los sistemas están actualizados y bajo control. En una organización regulada, este proceso también permite demostrar que existen medidas razonables para reducir el riesgo tecnológico.

Servicios esenciales y operadores de importancia vital

La Ley Marco de Ciberseguridad contempla obligaciones para instituciones públicas y privadas bajo su alcance, especialmente aquellas vinculadas con servicios esenciales y operadores de importancia vital. La Agencia Nacional de Ciberseguridad ha indicado que la ley establece requisitos mínimos para la prevención, contención, resolución y respuesta frente a incidentes, así como atribuciones y obligaciones para organismos del Estado e instituciones privadas que posean infraestructura crítica de la información.

Para este tipo de organizaciones, el patch management es aún más crítico. Sectores como banca, salud, telecomunicaciones, energía, transporte, infraestructura digital, servicios públicos o proveedores tecnológicos no pueden permitirse operar con sistemas vulnerables durante largos periodos. Una falla sin corregir puede convertirse en una interrupción de servicios, una filtración de datos o un incidente con impacto social, económico y reputacional.

Además, la ANCI informó que desde el 1 de marzo de 2025 es obligatorio para empresas y organizaciones que prestan servicios esenciales reportar a la Agencia los ciberataques o incidentes de impacto significativo que les ocurran, conforme a la ley. Esto refuerza la necesidad de contar con trazabilidad, reportes y evidencia técnica. Cuando ocurre un incidente, la organización debe poder saber qué sistemas estaban afectados, qué parches estaban pendientes y qué acciones se habían tomado para reducir el riesgo.

Por qué muchas empresas fallan en la gestión de parches

Uno de los principales problemas del patch management es que muchas organizaciones lo siguen tratando como una tarea manual, reactiva y fragmentada. En algunos casos, los equipos de TI dependen de hojas de cálculo, revisiones periódicas o actualizaciones manuales por dispositivo. En otros, solo se actualizan servidores críticos, mientras endpoints, notebooks, dispositivos móviles o aplicaciones de terceros quedan por fuera del proceso.

Este enfoque genera brechas importantes. Una empresa puede tener un buen control sobre sus servidores, pero mantener laptops sin parches, navegadores desactualizados, aplicaciones de videoconferencia vulnerables, herramientas de compresión sin actualizar o equipos remotos sin supervisión. En un entorno distribuido, cualquier endpoint puede convertirse en el punto inicial de un incidente.

También existe el reto de priorizar. No todos los parches tienen el mismo nivel de urgencia. Algunos corrigen vulnerabilidades críticas, otros resuelven errores menores y otros agregan funcionalidades. Una estrategia madura debe diferenciar entre actualizaciones de seguridad, actualizaciones de sistema operativo, parches de aplicaciones de terceros, controladores y actualizaciones funcionales. Sin esa priorización, la organización puede perder tiempo en parches de bajo impacto mientras mantiene abiertas vulnerabilidades críticas.

Patch management como parte del hardening integral

La gestión de parches debe formar parte de una estrategia más amplia de hardening. No basta con instalar actualizaciones si los dispositivos siguen teniendo permisos excesivos, aplicaciones no autorizadas, configuraciones débiles, puertos innecesarios o accesos remotos inseguros. El patch management reduce vulnerabilidades conocidas, pero debe complementarse con políticas de configuración segura, control de aplicaciones, cifrado, protección endpoint, gestión de identidades y monitoreo.

Aun así, su papel es fundamental. Un endpoint actualizado es más difícil de comprometer que uno abandonado o desactualizado. Un parque tecnológico con parches aplicados de forma consistente reduce la exposición de la organización y facilita la respuesta ante auditorías, revisiones internas o investigaciones posteriores a un incidente.

En el contexto de la Ley 21.663, esto permite fortalecer la prevención, la contención y la resiliencia. Si la organización sabe qué activos tiene, qué versiones ejecutan y qué parches se han aplicado, puede tomar mejores decisiones de riesgo. Si además conserva evidencia de ese proceso, puede demostrar una gestión más sólida y alineada con el cumplimiento.

Cómo implementar una estrategia de patch management orientada al cumplimiento

El primer paso es construir un inventario confiable. La empresa debe saber qué dispositivos, sistemas operativos y aplicaciones tiene bajo administración. Esto incluye servidores, notebooks, estaciones de trabajo, dispositivos móviles, equipos remotos, máquinas virtuales y dispositivos utilizados por terceros o contratistas cuando acceden a recursos corporativos.

El segundo paso es clasificar los activos por criticidad. No todos los equipos tienen el mismo impacto en la operación. Un servidor que soporta un servicio esencial, un endpoint de un usuario privilegiado o un dispositivo que accede a información sensible deben tener un nivel de prioridad superior. Esta clasificación permite enfocar esfuerzos donde el riesgo es mayor.

El tercer paso es definir políticas de actualización. La organización debe establecer qué tipos de parches se aplican automáticamente, cuáles requieren aprobación, en qué ventanas de tiempo se despliegan, qué pruebas se realizan antes de instalarlos y cómo se manejan excepciones. Las excepciones son importantes, pero deben estar justificadas y documentadas.

El cuarto paso es automatizar el despliegue. La gestión manual puede funcionar en entornos muy pequeños, pero no escala cuando existen múltiples sedes, usuarios remotos, equipos móviles o diferentes sistemas operativos. La automatización permite reducir errores, acelerar la corrección de vulnerabilidades y mantener una línea base más consistente.

El quinto paso es monitorear y reportar. Un programa de patch management no termina cuando se despliega una actualización. Es necesario saber si el parche se instaló correctamente, qué dispositivos siguen pendientes, qué errores ocurrieron y qué riesgos continúan abiertos. Esta información debe convertirse en reportes claros para TI, seguridad, cumplimiento y dirección.

El valor de la evidencia en la gestión de parches

Uno de los elementos más importantes del patch management orientado a cumplimiento es la evidencia. En un entorno regulado, decir que los dispositivos están actualizados no es suficiente. La organización debe poder demostrarlo con reportes, registros y datos verificables.

La evidencia puede incluir inventarios de dispositivos, estado de parches por equipo, historial de actualizaciones, fechas de despliegue, errores de instalación, dispositivos no conformes, excepciones aprobadas y acciones correctivas. Esta información ayuda a responder preguntas clave: qué tan expuesta está la organización, qué vulnerabilidades se redujeron, qué activos siguen en riesgo y qué decisiones se tomaron.

La ANCI también publicó instrucciones relacionadas con medidas necesarias para reducir el impacto y la propagación de incidentes de ciberseguridad, conforme al artículo 8 literal e) de la Ley 21.663. Aunque cada organización debe evaluar su propio contexto, mantener sistemas actualizados es una práctica directamente relacionada con la reducción del impacto y la propagación de incidentes, porque disminuye la cantidad de vulnerabilidades explotables dentro del entorno tecnológico.

Patch management en endpoints y aplicaciones de terceros

Un punto que muchas empresas subestiman es la actualización de aplicaciones de terceros. No basta con mantener actualizado el sistema operativo. Navegadores, herramientas de colaboración, lectores PDF, aplicaciones de compresión, clientes de videoconferencia, software de acceso remoto y otras aplicaciones comunes también pueden contener vulnerabilidades críticas.

Scalefusion destaca capacidades de patch management para aplicaciones de terceros en Windows, permitiendo desplegar parches de manera remota, configurar la frecuencia con la que el agente revisa actualizaciones disponibles y mantener dispositivos protegidos frente a vulnerabilidades. Además, su propuesta de automated patch management contempla la automatización de parches para aplicaciones de terceros en endpoints Windows y Linux, junto con actualizaciones de sistema operativo desde un panel centralizado.

Esto es relevante porque muchas organizaciones tienen entornos mixtos y distribuidos. Los usuarios no siempre están en la oficina, los equipos pueden estar en diferentes ubicaciones y las aplicaciones cambian constantemente. Sin una plataforma centralizada, mantener todo actualizado se vuelve complejo y lento. Con una gestión automatizada, TI puede reducir brechas y mantener mayor control sobre el estado real de los endpoints.

Scalefusion como aliado para el cumplimiento de la Ley Marco de Ciberseguridad

Scalefusion puede apoyar a las organizaciones que buscan fortalecer su gestión de parches y avanzar hacia una postura más alineada con la Ley Marco de Ciberseguridad en Chile. La plataforma combina gestión unificada de endpoints, acceso Zero Trust, cumplimiento y seguridad en una única solución. Además, permite gestionar dispositivos Android, iOS/iPadOS, macOS, Windows y Linux desde un único panel, enrolar políticas, aplicaciones y restricciones para proteger endpoints a escala.

Desde el enfoque de patch management, Scalefusion ayuda a centralizar la administración de actualizaciones, automatizar parches en aplicaciones de terceros y sistemas operativos compatibles, monitorear el estado de los dispositivos y generar reportes de cumplimiento. Su datasheet de Windows Patch Management indica que la función basada en agente permite mantener dispositivos Windows administrados actualizados con parches del sistema operativo y aplicaciones de terceros, incluyendo escaneo, evaluación, despliegue, monitoreo y reporte de parches disponibles.

Esto conecta de manera directa con las necesidades de las empresas chilenas frente a la Ley 21.663. La solución no reemplaza los procesos legales, organizacionales ni de gobierno que exige la normativa, pero sí aporta una capa tecnológica clave para ejecutar controles, reducir vulnerabilidades, mantener endpoints actualizados y generar evidencia operativa. Para una organización que debe prevenir incidentes, contener riesgos y demostrar gestión, contar con información centralizada sobre el estado de parches puede marcar una diferencia importante.

Scalefusion también ayuda a evitar que la gestión de parches dependa únicamente de acciones manuales. Al permitir una administración centralizada de dispositivos y políticas, facilita que los equipos de TI tengan mayor visibilidad sobre el cumplimiento de endpoints, identifiquen dispositivos no conformes y actúen con mayor rapidez. En un entorno donde la exposición cambia todos los días, esa capacidad de respuesta es fundamental.

Grupo Micronet como distribuidor mayorista de Scalefusion

Para las organizaciones y canales que buscan implementar Scalefusion en Chile y América Latina, Grupo Micronet actúa como distribuidor mayorista de soluciones de ciberseguridad y protección de datos. En su sitio oficial, Micronet se presenta como un mayorista con presencia en América Latina y alcance internacional, especializado en representar fabricantes globales del sector.

Dentro de su portafolio, Grupo Micronet incluye Scalefusion como una solución que combina gestión unificada de endpoints, acceso Zero Trust, cumplimiento y seguridad en una única plataforma. Micronet destaca que Scalefusion permite gestionar dispositivos Android, iOS/iPadOS, macOS, Windows y Linux desde un único panel, además de enrolar políticas, aplicaciones y restricciones para proteger endpoints a escala.

Esto permite que partners, canales y organizaciones cuenten con acompañamiento mayorista para estructurar proyectos de patch management, UEM, MDM y seguridad de endpoints orientados a cumplimiento. En el contexto chileno, donde la Ley Marco de Ciberseguridad exige mayor madurez, trazabilidad y capacidad de respuesta, Grupo Micronet puede apoyar el acceso a una solución como Scalefusion para fortalecer la administración de dispositivos, reducir vulnerabilidades y avanzar hacia una operación más segura.

Conclusión

El patch management es una práctica esencial para cumplir la Ley Marco de Ciberseguridad en Chile porque permite reducir vulnerabilidades conocidas, fortalecer la protección de endpoints, mejorar la continuidad operacional y demostrar una gestión activa del riesgo. En un entorno donde los incidentes pueden afectar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, mantener dispositivos y aplicaciones actualizados ya no puede verse como una tarea secundaria.

La Ley 21.663 exige una ciberseguridad más estructurada, permanente y demostrable. Por eso, las organizaciones deben pasar de una gestión reactiva de actualizaciones a un modelo continuo de identificación, priorización, despliegue, monitoreo y reporte de parches. Este enfoque permite reducir la superficie de ataque y generar evidencia útil para auditorías, investigaciones internas y procesos de cumplimiento.

Scalefusion ayuda a llevar este proceso a la operación diaria mediante la gestión unificada de endpoints, la automatización de parches, el monitoreo de cumplimiento y la administración centralizada de dispositivos. Con Grupo Micronet como distribuidor mayorista de la solución, las empresas y canales de la región pueden avanzar en proyectos de seguridad de endpoints y cumplimiento con una tecnología orientada a reducir riesgos, fortalecer la trazabilidad y proteger la operación frente al nuevo escenario regulatorio de ciberseguridad en Chile.