Skip to content
All posts

Ciberseguridad para contadores: cómo proteger los datos de tus clientes

Picture of Erika Moreno By  Erika Moreno  ·  7 minute read

Resumen:

Los estudios contables manejan información financiera, tributaria y laboral de cientos de personas y empresas, lo que los convierte en uno de los blancos más atractivos para ciberataques en Chile. En 2026 confluyen tres realidades que vuelven la ciberseguridad un tema urgente: el aumento de ataques de phishing y ransomware impulsados por IA, la Ley Marco de Ciberseguridad 21.663 ya vigente y la Ley 21.719 de Protección de Datos Personales que entra en plena vigencia el 1 de diciembre de 2026 con multas de hasta 20.000 UTM. En esta guía repasamos las amenazas más comunes, lo que exige la nueva normativa, ocho prácticas concretas para proteger tu estudio y qué hacer si ya sufriste una brecha.

¿No tienes tiempo para leer? Escucha el contenido del artículo

Ciberseguridad en contabilidad
13:08

Si llevas un estudio contable, tienes en tu computador o en la nube exactamente lo que un ciberdelincuente quiere como RUTs, claves del SII, datos bancarios, contratos, contraseñas de PreviRed e información tributaria. Y a diferencia de un banco o de una gran institución, probablemente no tienes un equipo dedicado a seguridad informática las 24 horas. Ese contraste te convierte, sin que sea culpa tuya, en uno de los blancos más rentables del cibercrimen en Chile.

La buena noticia es que la mayoría de los ataques exitosos contra estudios contables no son ataques sofisticados, son correos engañosos, claves débiles, equipos sin actualizar y respaldos que nadie revisa. Eso significa que con un set acotado de prácticas y un par de decisiones operativas, el nivel de protección sube muchísimo.

En esta guía te contamos cuáles son esas prácticas y qué exige la nueva normativa que entra plenamente en vigor a fines de este año.

<strong>Blog: Chile hacia un sistema financiero digital</strong>

Contenido

Infografia 1 Ciberseguridad Uwigo

Por qué los contadores son blanco preferido

Durante 2026, en nuestro país se registraron miles de intentos de ciberataques sobre empresas y servicios profesionales, con un aumento sostenido año a año impulsado por el uso de inteligencia artificial ofensiva (Panorama de Amenazas, El Ciudadano).

Un estudio contable concentra lo que en jerga de seguridad se llama "datos de alto valor" que es información que sirve para suplantar identidades, ejecutar fraudes financieros, presentar declaraciones falsas o pedir préstamos a nombre de terceros. Y, además, suele tener equipos pequeños, presupuestos acotados para tecnología y una rutina de trabajo donde abrir correos rápido es parte del día.

Esa combinación de datos valiosos y defensas modestas es exactamente lo que buscan los atacantes. Por eso los contadores aparecen una y otra vez en los reportes de víctimas de phishing, ransomware y suplantación de identidad.

<strong>Blog: Todo lo que debes saber sobre las Fintech y Open Finance</strong>

Las amenazas más comunes

El phishing sigue siendo el vector inicial más común de ataques exitosos, especialmente en torno a fechas tributarias como la Operación Renta, donde los atacantes suplantan al SII, bancos o al propio contador (CSIRT Gobierno de Chile).

Las tres amenazas que vemos más seguido contra estudios contables en Chile son:

  • Phishing al estilo SII: Correos que parecen del Servicio de Impuestos Internos pidiendo "validar" una declaración o "actualizar" credenciales. Llevan a una página falsa que captura el RUT y la clave tributaria.
  • Ransomware: Un archivo adjunto o un link infectado cifra todos los archivos del computador (o la red completa del estudio) y exige rescate en criptomonedas. Si no hay respaldo, todo se pierde.
  • Suplantación al contador: Un atacante se hace pasar por el estudio y le pide al cliente que transfiera el pago de impuestos a una cuenta distinta. Cuando el cliente se da cuenta, la plata ya viajó.

A esto se suma el uso creciente de IA por parte de los atacantes, que les permite redactar correos sin errores de ortografía y replicar el estilo del SII o del propio contador con un nivel de detalle que antes no era posible.

Qué exige la nueva normativa chilena

La Ley 21.663, Ley Marco de Ciberseguridad, está vigente desde marzo de 2025 y crea la Agencia Nacional de Ciberseguridad (ANCI) con potestad para fiscalizar incidentes y exigir reportes (Biblioteca del Congreso Nacional, Ley 21.663).

Dos cuerpos legales marcan la cancha para los estudios contables en 2026:

Ley 21.663: Ley Marco de Ciberseguridad

Vigente desde marzo 2025, define obligaciones de prevención y reporte ante la ANCI. Aunque el foco principal son operadores de servicios esenciales, los estudios contables que manejan datos críticos quedan dentro del ecosistema de actores que deben cumplir buenas prácticas y reportar incidentes graves.

Ley 21.719: Protección de Datos Personales

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026, con multas de hasta 20.000 UTM y la obligación de notificar brechas en 72 horas (Biblioteca del Congreso Nacional, Ley 21.719).

Este es el cambio más importante. La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026 y aplica a toda organización que trate datos personales, sin importar tamaño. Para un estudio contable, eso significa:

  • Implementar medidas técnicas y organizativas proporcionales al riesgo (cifrado, accesos, respaldos).
  • Documentar cómo se tratan los datos personales de clientes y trabajadores.
  • Notificar a la nueva Agencia de Protección de Datos en un plazo de 72 horas si ocurre una brecha.
  • Cumplir con los derechos ARCO ampliados (acceso, rectificación, cancelación, oposición, portabilidad y otros).
  • Riesgo de multas de hasta 20.000 UTM o el 4% de los ingresos en caso de reincidencia.

Sí, es exigente. Y sí, los estudios pequeños también están obligados. La preparación es ahora, no en diciembre.

<strong>Blog: Automatización, Nube, reportes y ciberseguridad</strong>

Infografía 2 Ciberseguridad Uwigo

8 prácticas para proteger tu estudio contable

Sin entrar en jerga técnica, estas son las prácticas que más protección entregan por unidad de esfuerzo:

  1. Activa la autenticación en dos pasos (MFA) en absolutamente todo, como correo, SII, PreviRed, banco, software contable, almacenamiento en la nube.
  2. Usa un gestor de contraseñas para no repetir claves. Que cada plataforma tenga una clave única y larga.
  3. Mantén respaldos al día, automáticos, fuera del computador principal. Idealmente con la regla 3-2-1: tres copias, en dos medios distintos, una de ellas fuera de sitio.
  4. Actualiza los equipos y el software cada semana. La mayoría de los ransomware aprovecha vulnerabilidades que ya tienen parche disponible.
  5. Cifra los discos de los computadores del equipo. En Mac es FileVault, en Windows es BitLocker. Cinco minutos de configuración, mucha protección si se pierde el equipo.
  6. Define permisos por persona y por carpeta: que cada colaborador solo vea lo que necesita. Cuando alguien se va, su acceso se cierra inmediatamente.
  7. Capacita al equipo en reconocer phishing. Una sesión corta al mes, con ejemplos reales, baja drásticamente la tasa de clics en correos sospechosos.
  8. Trabaja con plataformas que cumplan estándares de seguridad (cifrado en tránsito y en reposo, certificaciones, soporte serio). Un software contable barato pero inseguro puede salir muy caro.

Ninguna de estas prácticas requiere ser experto en TI. Sí requieren disciplina y revisión periódica.

Qué hacer si tienes una brecha de seguridad

Si descubres que un correo del estudio fue comprometido, que un equipo está infectado con ransomware o que se filtraron datos de clientes, actúa rápido:

  • Aísla el equipo o el sistema afectado: Desconéctalo de la red para evitar propagación.
  • Cambia credenciales críticas: Correo del estudio, accesos SII, PreviRed, banco, software contable.
  • Documenta lo ocurrido: Qué pasó, cuándo, qué datos pueden haberse expuesto, qué medidas tomaste.
  • Notifica a la Agencia de Protección de Datos en un plazo máximo de 72 horas: Si la brecha afecta datos personales (obligación bajo la Ley 21.719 a partir del 1 de diciembre de 2026).
  • Informa al cliente afectado con claridad y honestidad: La transparencia temprana cuida la relación; el silencio la destruye.
  • Reporta al CSIRT o a la ANCI si el incidente es significativo: Además, considera apoyo de un especialista en respuesta a incidentes.

Tener este protocolo escrito antes de que pase algo te ahorra horas críticas el día en que tengas que aplicarlo.

Cómo Uwigo te ayuda a operar de forma segura

Según la Política de Privacidad oficial de Uwigo SpA, la empresa "aplica medidas técnicas y organizativas adecuadas (cifrado en tránsito y reposo donde aplique, controles de acceso, registros y monitoreo, backups, prácticas de desarrollo seguro, pruebas y auditorías razonables).

Trabajar con un software contable que tiene su política de seguridad publicada y al día le quita al estudio una parte importante de la carga técnica. Según el documento oficial de Uwigo, las medidas que se aplican incluyen:

  • Cifrado en tránsito y en reposo donde aplique.

  • Controles de acceso para gestionar quién puede ver o modificar información.

  • Registros y monitoreo del uso de la plataforma.

  • Backups como parte de la operación regular.

  • Prácticas de desarrollo seguro, pruebas y auditorías razonables.

Compromiso de notificación a la autoridad competente y a los titulares afectados ante una vulneración de seguridad que suponga riesgo para los derechos de las personas.

Adicionalmente, la política distingue dos roles: cuando el cliente utiliza Uwigo para tratar datos de sus propios usuarios o empleados, el cliente es responsable frente a sus titulares y Uwigo actúa como encargado según contrato. Eso significa que el estudio contable mantiene su responsabilidad sobre buenas prácticas internas (claves, equipos, capacitación del equipo), mientras que la infraestructura técnica está cubierta por las medidas de Uwigo.

Preguntas Frecuentes Ciberseguridad

¿Tengo que cumplir la Ley 21.719 si soy un estudio chico?

Sí. La ley aplica a toda organización pública o privada que trate datos personales, sin importar tamaño. Los estudios pequeños tienen las mismas obligaciones, aunque las medidas exigidas son proporcionales al riesgo y al volumen de datos que manejan.

¿Cuál es la diferencia entre la Ley 21.663 y la Ley 21.719?

La Ley 21.663 (Ley Marco de Ciberseguridad) se centra en la prevención y reporte de incidentes a la ANCI. La Ley 21.719 (Protección de Datos Personales) regula cómo se tratan los datos de personas naturales y crea la Agencia de Protección de Datos. Ambas conviven y pueden aplicar al mismo incidente.

¿Qué pasa si no notifico una brecha en 72 horas?

Bajo la Ley 21.719 puede haber sanciones por incumplimiento del deber de notificación, además de las multas asociadas a la brecha misma si afecta datos personales. El monto puede llegar a 20.000 UTM o al 4% de los ingresos en caso de reincidencia.

¿Sirve guardar todo en el correo o en pen drive?

No. El correo y los pen drive son los lugares menos seguros para datos sensibles: se pierden, se filtran, no tienen cifrado por defecto y los permisos son limitados. Lo recomendable es una nube con cifrado y control de accesos, o el almacenamiento integrado del software contable.

¿Cómo capacito a mi equipo sin invertir en cursos caros?

Hay recursos gratuitos de calidad: el CSIRT del Gobierno de Chile publica alertas y guías, y existen videos cortos de campañas de concientización que se pueden usar en reuniones internas. Una sesión mensual de 30 minutos hace una diferencia enorme.

La ciberseguridad de un estudio contable no se trata de tener tecnología cara, sino de tener hábitos. Si activas doble factor en todo, mantienes respaldos al día, capacitas al equipo y trabajas en plataformas que cumplen estándares, el 90% del riesgo cotidiano queda cubierto. El 10% restante son escenarios excepcionales para los que conviene tener un protocolo escrito y una buena red de apoyo.

Y con la Ley 21.719, que entra en plena vigencia el 1 de diciembre de 2026, el costo de no prepararse trae aparejado un costo legal y económico. La mejor opción es ordenarse ahora, con calma, que cuando ya tengas la primera notificación encima.

Recuerda estar siempre al pendiente de nuestro blog y nuestro canal de YouTube porque estamos subiendo bastante contenido de interés para estudios contables y empresas. Además, síguenos en las redes sociales de Uwigo y, si quieres conocer más sobre Uwigo, entra al sitio web o agenda una demo y un ejecutivo se contactará contigo.