REDEC y Ciberseguridad: Un “High Value Target” para el cibercrimen.

En tres meses, entra en operación el Registro de Deuda Consolidada de la CMF (REDEC). Y mientras la mayoría de las instituciones obligadas se encuentran enfocadas en gestionar los nuevos reportes, los consentimientos exigidos y los plazos, emerge un desafío aún mayor que casi nadie está discutiendo: los nuevos riesgos en materia de ciberseguridad que esta ley trae aparejados.

El REDEC es una plataforma confidencial administrada por la CMF que consolida la información de deudas de personas y empresas, pero para las entidades reportantes, no es solo un sistema de consulta, sino una nueva superficie de ataque de alto valor: un solo acceso comprometido puede exponer datos financieros extremadamente valiosos, elevando de forma crítica la probabilidad de brechas que, si se vinculan a fallas de control o diligencia, activan altas sanciones.

El Nuevo Escenario: El REDEC como “High Value Target”.

El REDEC convierte a cada entidad reportante en un punto de acceso a una de las bases de datos más críticas del sistema financiero chileno. Esto implica que, al consultar y tratar esta información, dichas instituciones pasan a configurar, muchas veces sin siquiera advertirlo, lo que en ciberinteligencia se denomina un High Value Target (HVT).

Un HVT se define como un activo cuya captura otorga al atacante una ventaja estratégica desproporcionada y causa un daño sistémico a la organización.

Al tratar esta información a la que da acceso esta Ley, se configuran objetivos críticos, ya que se concentra la identidad, endeudamiento y comportamiento de pago de los deudores, es decir, inteligencia financiera lista para fraude y extorsión de las personas afectadas.

La NCG N°540 de la CMF, la cual establece las normas de funcionamiento operativo del REDEC, operacionaliza este riesgo al establecer que el acceso a la información se realiza a través del Servicio de Consulta de la Comisión, el cual proporciona una API, la que requiere la identificación y autenticación del reportante. Asimismo, la norma establece, en su numeral 5, que sus accesos deben quedar anotados en registros electrónicos, los que serán trazables y disponibles para la revisión de la función de auditoría y de la Comisión en caso de que ésta así lo disponga.

Un atacante no buscará vulnerar a la CMF, sino que buscará comprometer las credenciales y registros de un reportante, especialmente de aquellos con infraestructuras menos robustas, para actuar como un "usuario legítimo".

Las Exigencias de la NCG 540: Un rigor técnico sin precedentes

Con el fin de mitigar los riesgos que supone el acceso al Registro y la concentración de datos de esta naturaleza, la CMF ha dictado un estándar de cumplimiento técnico que desplaza la responsabilidad desde el regulador hacia el Directorio. Bajo la NCG 540, la ciberseguridad pasa a convertirse en un parámetro de cumplimiento ineludible: la entidad debe implementar medidas de seguridad proporcionales al riesgo para garantizar la confidencialidad y el borrado de los datos, cumpliendo con el estándar de debida diligencia técnica que exige expresamente la CMF.

Este nuevo estándar de Debida Diligencia Técnica se articula en tres pilares fundamentales:

1. Identificación y Trazabilidad de Personal Específico: La norma termina con el anonimato interno. Ya no basta con registrar que "la institución" realizó una consulta. Se exige que el personal que haga uso de la información sea plenamente identificado y que sus accesos queden anotados en registros electrónicos trazables y disponibles para auditoría. Esto obliga a implementar sistemas de identidad digital robustos que garanticen que quien accede a la API es la persona realmente autorizada.
2. Destrucción de los Datos Consultados: Una vez cumplida la finalidad de la consulta, la información debe ser eliminada de los sistemas de la entidad y de sus mandatarios. Mantener bases de datos paralelas o de los datos consultados no solo es una mala práctica, es ahora una infracción explícita, la que además aumenta innecesariamente la superficie de ataque de la empresa.
3. Responsabilidad sobre Mandatarios: La norma establece que los incumplimientos de ciberseguridad de los mandatarios (por ejemplo, una fintech de scoring crediticio que, mediante API, consulta el REDEC en nombre de un banco), son directamente imputables al reportante. Los incumplimientos de mandatarios son imputables a la entidad si esta falló en sus deberes de selección, supervisión y control técnico.

En todo caso, el estándar no es uniforme, sino que introduce un criterio de proporcionalidad operativa. Tanto la Ley como su normativa distinguen explícitamente entre instituciones según su volumen de transacciones, complejidad y perfil de riesgo, exigiendo controles de ciberseguridad más robustos y auditorías más frecuentes a aquellas entidades con mayor capacidad técnica y financiera.

La Cascada Legal: Un solo hecho, múltiples sanciones

En el ecosistema regulatorio chileno actual, una brecha de seguridad en el acceso al REDEC no queda como un desafortunado evento aislado. Pues un suceso de esta naturaleza puede dejarnos enfrentados ante una verdadera cascada regulatoria, donde un solo evento de filtración o acceso no autorizado puede activar simultáneamente cuatro frentes sancionatorios con bienes jurídicos protegidos distintos:

1. Sanción Administrativa CMF (Ley 21.680): Por vulnerar la operatividad, reserva y estándares de seguridad del REDEC.
2. Sanción Agencia Nacional de Ciberseguridad (Ley 21.663): Al ser catalogadas como Prestadores de Servicios Esenciales, y en algunos casos, como Operadores de Importancia Vital, las instituciones reportantes pueden enfrentar multas de la ANCI por no cumplir con los estándares técnicos mínimos de resiliencia y Seguridad de la Información.
3. Responsabilidad Penal de la Persona Jurídica (Ley 20.393): El extenso catálogo de delitos de la Ley 20.393 incluye hoy los delitos informáticos tipificados en la Ley 21.459. Si el acceso/interceptación ilícita o falsificación ocurrida es consecuencia de la ausencia de los deberes de dirección y supervisión y se hace en beneficio de la empresa, esta enfrentaría altas penas de multa, publicación de sentencia e incluso la prohibición perpetua de celebrar actos y contratos con el Estado.
4. Sanción Agencia Nacional de Protección de Datos (Ley 21.719): Si bien la Ley entra en vigencia en diciembre de 2026, el diseño de los sistemas debe ser actual (Privacy by Design), ya que cualquier arquitectura construida hoy que no prevea la privacidad de los datos será obsoleta y sancionable al momento de la fiscalización.

Identidad Digital como medida de Ciberseguridad

¿Cómo garantiza su institución que el acceso a la API de la CMF no ha sido comprometido por un ataque de phishing al colaborador encargado de las consultas? ¿Cómo podría probar ante un auditor que la información consultada fue efectivamente eliminada de sus servidores?

Ya no es suficiente con un registro de logs pasivo, se requiere un sistema que actúe como una capa de autenticación fuerte que vincule cada acceso a la API con un evento de identidad verificable e inmutable.

Hacia una Infraestructura de Resiliencia

Para cumplir con el estándar de la NCG N°540, se recomiendan tres medidas de mitigación del riesgo transversales y concretas que puedes implementar desde hoy:

1. Autenticación Biométrica y Passkeys: Asegurar que el funcionario que accede a la API es quien dice ser mediante factores biométricos o passkeys imposibles de interceptar por medio de phishing, cumpliendo con la trazabilidad individual exigida por la norma.
2. Gestión Inmutable de Evidencia Técnica: En un escenario de auditoría, los registros de auditoría tradicionales (logs) son insuficientes si pueden ser alterados o borrados. Se requiere una infraestructura que asegure la inmutabilidad de la evidencia mediante mecanismos de sellado de tiempo (time-stamping) y encadenamiento criptográfico (hashing). Esto permite reconstruir con fidelidad forense quién, cuándo y por qué accedió a un dato, constituyendo la prueba de integridad necesaria para acreditar el cumplimiento y la debida diligencia ante la CMF, la ANCI o el Ministerio Público.
3. Control de Exposición de Datos: Se deben implementar mecanismos de borrado físico y lógico automatizado que se activen inmediatamente tras cumplir la finalidad de la consulta. Al garantizar que la información financiera sea transitoria y no se almacene en repositorios locales, se elimina en gran parte la posibilidad de configurar un HVT.

Conclusión:

La entrada en vigencia plena del REDEC redefine el estándar de responsabilidad para el sector financiero. Ante este nuevo panorama de riesgo, la ciberseguridad deja de ser un gasto operativo para convertirse en la primera línea de defensa ante un nuevo panorama de amenazas y un régimen de sanciones que, distribuido en distintas leyes, no deja espacio para errores.

La nueva frontera del cumplimiento no está solo en el reporte, gestión del consentimiento y plazos, sino en el blindaje técnico del acceso al REDEC y los datos a los que da acceso. Allí es donde se juega hoy la responsabilidad regulatoria y reputacional.