La rectora Rosa Devés interpuso un recurso de ilegalidad contra la Agencia Nacional de Ciberseguridad, cuestionando la racionalidad de incluir a la Universidad de Chile como un Operador de Importancia Vital (OIV). Según el recurso, cumplir las medidas exigidas costaría más de $ 3.700 millones anuales y a ese costo hay que sumarle el riesgo de sanciones de hasta 40.000 UTM.

El argumento apunta contra una regulación que parece confundir infraestructura crítica con institución completa. La universidad propuso un enfoque alternativo: que las exigencias intensas recaigan sobre funciones verdaderamente críticas, como los ámbitos clínicos y la resolución de nombres de dominio .cl, excluyendo el resto.

El regulador se equivoca al etiquetar a una universidad completa como OIV y asume que todos sus procesos, desde la biblioteca hasta el hospital clínico, tienen el mismo valor.

El régimen chileno de ciberseguridad presenta al menos dos deficiencias. Primero, que la designación opera sobre la institución como un todo, sin distinguir niveles de criticidad. Segundo, una universidad estatal enfrenta las mismas obligaciones que una telco o multinacional.

La ciberseguridad no es un estado que se alcance; es una condición de cumplimiento variable. Los sistemas digitales son vulnerables por diseño y complejidad, y los ataques pueden provenir de delincuentes comunes a actores estatales en contextos de guerra híbrida, no ocurren necesariamente por negligencia

El cumplimiento debería ser gradual. No toda institución puede alcanzar el mismo nivel de madurez en el mismo plazo con el mismo presupuesto. Un régimen progresivo, con plazos diferenciados, metas intermedias y acompañamiento técnico, parece más adecuado.

Este caso no es sobre si la ANCI se equivocó o si la universidad quiere eludir sus obligaciones. Debemos preguntarnos cómo regulamos para reducir riesgos sistémicos sin erosionar las funciones públicas esenciales.

La ciberseguridad es indispensable. Pero también lo son las universidades, los hospitales, la investigación, la formación de capital humano. La ciberseguridad es un medio para proteger otros bienes. Cuando el medio amenaza al fin, la regulación pierde legitimidad.

Por Matías Aranguiz, director Programa Derecho, Ciencia y Tecnología UC. Profesor Derecho UC.