Saltar al contenido principal
PrivacidadWeb
Guía práctica10 min de lectura·

Phishing en Chile: 12 Tipos de Engaños que tu Equipo Debe Reconocer

Catálogo práctico de las 12 variantes de phishing más comunes en Chile, con ejemplos reales de campañas alertadas por el CSIRT que suplantan BancoEstado, SII, Tesorería y Sernac. Más las 5 señales universales de alerta y qué hacer si alguien cae.

P

PrivacidadWeb

PrivacidadWeb.cl

El phishing es el vector inicial más insidioso de la ciberseguridad: un solo correo bien diseñado, un solo empleado distraído, y el atacante ya está dentro. Las cifras varían según el estudio —Verizon DBIR 2025 lo ubica en 16% como vector inicial de brecha confirmada, Microsoft Digital Defense Report 2025 lo eleva al 28% combinando phishing e ingeniería social, Mandiant M-Trends 2025 lo posiciona en 16% en la región Américas— pero todas coinciden en algo: phishing es siempre uno de los tres vectores más comunes a nivel global. (La cifra del "80% de los ciberataques empiezan con phishing" que circula en blogs no se sostiene con fuentes primarias; conviene matizarla cuando la veas).

En Chile el panorama es coherente con el global. El APWG (Anti-Phishing Working Group) documentó 1.130.393 ataques de phishing en el segundo trimestre de 2025, un récord histórico desde Q4 2023. El monto promedio solicitado en transferencias BEC (suplantación del CEO) fue de USD 83.099. El CSIRT chileno publica regularmente alertas sobre campañas que suplantan a organismos públicos —BancoEstado, SII, Tesorería General— y son las que más afectan a pymes locales.

Esta guía es un catálogo práctico de las 12 variantes de phishing más comunes en Chile, con ejemplos extraídos de alertas oficiales del CSIRT. La idea es que tu equipo aprenda a reconocer el patrón antes de hacer clic.

Para qué sirve esta guía: entrenamiento básico de equipo. Si formas un equipo de ventas o atención al cliente que no maneja temas técnicos, este es el primer documento que les debes mandar. Si quieres profundizar después, el pillar de Ciberseguridad para Pymes cubre los siete controles mínimos que toda empresa chilena debería implementar.

Los 12 tipos de phishing más comunes en Chile

1. Suplantación de BancoEstado

El blanco más recurrente. El CSIRT publicó en 2025 la alerta FPH25-01044 sobre una campaña activa que suplanta al banco vía email y la 8FPH23-00748-01 documentó el patrón ya en 2023. El gancho típico:

"Detectamos actividad sospechosa en tu cuenta. Tu acceso será bloqueado en 24 horas. Confirma tus datos aquí: [enlace falso]"

Variantes incluyen "actualiza tu clave" o "verifica tu cuenta para cumplir nueva normativa". El destino del enlace es siempre una página clonada que captura RUT, clave de acceso y a veces el código del token. Indicador clave: la URL real de BancoEstado es bancoestado.cl. Cualquier dominio similar (bancoestado-cl.com, banco-estado.cl, bancoestado.online) es phishing.

2. Suplantación del SII (Servicio de Impuestos Internos)

El CSIRT documentó al menos dos campañas: 8FPH23-00702-01 con malware adjunto vía correo y la CMV24-00453 en 2024. Los ganchos preferidos:

"Tienes una devolución de impuestos pendiente por $XXX.000. Descarga el formulario adjunto."

"Multa pendiente por declaración fuera de plazo. Adjuntamos detalle de la sanción."

El archivo adjunto suele ser un Word o PDF con macros que descargan malware una vez abierto, o un enlace a una página clonada del portal del SII para capturar credenciales. Indicador: el SII NO envía adjuntos ejecutables ni Word con macros en sus comunicaciones legítimas. Toda comunicación oficial está disponible en tu portal logueado en sii.cl.

3. Suplantación de la Tesorería General de la República

Variante similar al SII pero con foco en pagos. El gancho:

"Tienes un crédito fiscal pendiente. Para gestionarlo, ingresa tu RUT y datos bancarios aquí."

A veces se combina con otros engaños: "Bono extraordinario aprobado por el gobierno", "Subsidio aprobado", "Aporte solidario disponible". Cualquier comunicación que pida tus datos bancarios fuera de un canal oficial es sospechosa por defecto.

4. Suplantación del SERNAC

Más reciente. El gancho:

"Reclamo aprobado a tu favor. Para procesar la indemnización ingresa tus datos bancarios aquí."

Aprovecha que el SERNAC sí maneja procedimientos voluntarios colectivos con compensaciones reales (caso Banco Santander Chile 2024-2026 es ejemplo público), entonces la comunicación tiene plausibilidad. Indicador: el SERNAC nunca pide datos bancarios fuera del Portal del Consumidor logueado con ClaveÚnica.

5. Falso correo del CEO (BEC — Business Email Compromise)

La variante más cara. El atacante compromete o suplanta el correo del director ejecutivo y solicita una transferencia urgente:

"Necesito que pagues con urgencia esta factura del proveedor nuevo. Es para cerrar el contrato hoy. No pases por el proceso normal, lo aprobé yo. [datos bancarios desconocidos]"

Según APWG Q2 2025, el monto promedio solicitado en BEC fue USD 83.099 —cerca de $80 millones de pesos—. En Chile, las pymes que han caído reportan pérdidas entre $5 y $40 millones en transferencias únicas. El blanco preferido: equipo de finanzas o tesorería, especialmente cuando el director real está fuera del país o en reuniones largas. Regla absoluta: ninguna transferencia de monto importante se ejecuta basada solo en email, aunque parezca venir del director. Verificación telefónica o videollamada obligatoria.

6. Phishing de credenciales corporativas (Office 365 / Google Workspace)

El correo simula una notificación de Microsoft o Google:

"Tu buzón está casi lleno. Verifica tu cuenta para no perder correos."

"Detectamos un intento de inicio de sesión inusual. Confirma que eres tú aquí."

El destino es una página de login clonada que captura la contraseña corporativa. Una vez dentro, el atacante puede leer correos, configurar reglas de reenvío automático, e iniciar BEC contra otros empleados de la misma empresa con un correo legítimo del CEO real. Indicador: las URLs reales son login.microsoftonline.com y accounts.google.com. Cualquier subdominio raro (microsoft-secure.com, o365-update.com) es phishing.

7. Phishing de redes sociales (Meta, X, LinkedIn)

"Notamos contenido en tu cuenta que infringe nuestras políticas. Tienes 24 horas para apelar antes de que sea suspendida."

Apela al miedo de perder la cuenta empresarial. El destino captura credenciales de Facebook Business, Instagram corporativo o LinkedIn. Una vez dentro, el atacante puede ejecutar campañas de desinformación, contactar a tus clientes haciéndose pasar por tu empresa, o vender el acceso a otros criminales. Indicador: las plataformas grandes nunca te avisan de suspensión inminente con plazo de 24 horas; el proceso real toma días o semanas.

8. Smishing (phishing por SMS)

Versión móvil del phishing. Los más comunes en Chile:

"BancoEstado: bloqueamos un cargo sospechoso de $159.000. Confirma aquí: [url corta]"

"Tu paquete de Correos de Chile/Chilexpress requiere pago de aduana. Paga aquí: [url corta]"

El SMS tiene credibilidad porque parece venir de un número corto similar al oficial. Indicador: nunca hagas clic en URLs cortas (bit.ly, t.co, goo.gl) en SMS de empresas. Si tienes duda, abre la app oficial del banco o servicio directamente desde tu teléfono.

9. Vishing (phishing por llamada telefónica)

"Hola, le habla [nombre] del Departamento de Fraudes de [su banco]. Detectamos una transferencia sospechosa por $XXX. Para anularla necesito que confirme su clave dinámica."

Los criminales saben tu nombre, RUT, banco y a veces número de cuenta —datos que pueden haber comprado en bases filtradas de incidentes anteriores—. Esto le da credibilidad inicial. Indicador absoluto: ningún banco serio te pide la clave dinámica, código del token, ni la clave de acceso por teléfono. Tampoco te pide ejecutar transferencias "para validar". Cuelga e inicia tú la llamada al número oficial del banco.

10. QR codes maliciosos (quishing)

Variante creciente desde 2024. El atacante coloca QR codes adulterados en lugares públicos:

  • En estacionamientos de centros comerciales: "Escanee para pagar el parking"
  • En menús de restaurantes: el QR original se cubre con un sticker con uno falso
  • En afiches de servicios públicos: "Escanee para conocer beneficios"

El QR redirige a una página clonada que captura credenciales o datos bancarios. Indicador: si vas a escanear un QR para pagar o ingresar datos, prefiere los QR generados directamente por la app oficial del comercio (que muestra el monto y receptor antes de cobrar). Los QR estáticos pegados son más fáciles de adulterar.

11. Suplantación de servicios de delivery

Especialmente activos durante temporadas de compras (CyberDay, Black Friday, Navidad). Los más comunes en Chile:

"Su pedido está retenido en aduana. Pague $XX.000 para liberarlo: [enlace]"

"El conductor no encuentra su domicilio. Confirme su dirección: [enlace]"

Aprovecha la ansiedad de esperar un paquete real. Combinado con datos comprados en bases filtradas (nombre, dirección), tiene alta tasa de éxito. Indicador: los servicios de delivery serios (Uber, Rappi, Cornershop, Chilexpress, DHL) gestionan todo dentro de su app. Nunca piden pago adicional por SMS o email externo.

12. Suplantación de proveedores (factura falsa)

Variante BEC orientada a empresas con proveedores recurrentes. El atacante intercepta o suplanta correos del proveedor real:

"Hola, te enviamos la factura del mes. Por favor transfiere a la cuenta nueva: [datos bancarios distintos a los habituales]"

A veces el correo viene del proveedor verdadero pero la cuenta del proveedor está comprometida. A veces es un dominio similar (proveedormx.cl cuando el real es proveedor.cl). Indicador: cualquier cambio de cuenta bancaria de un proveedor habitual debe verificarse telefónicamente con el contacto humano de siempre, no respondiendo al email.

Las 5 señales universales de alerta

Independiente de la variante, estos son los cinco indicadores que aparecen en casi todo phishing. Si tu equipo memoriza solo estos, ya está mucho mejor preparado:

  1. Urgencia artificial. "Tienes 24 horas". "Confirma ahora o perderás tu cuenta". El phishing usa urgencia para evitar que pienses dos veces. Las comunicaciones legítimas de bancos, servicios públicos y plataformas grandes rara vez tienen plazos tan cortos para acciones críticas.

  2. Solicitud de credenciales o datos sensibles fuera de canal. Los bancos no piden tu clave por email. El SII no pide tu RUT por SMS. Microsoft no pide tu contraseña por teléfono. Si te lo piden, es phishing.

  3. Errores de ortografía, gramática o redacción extraña. Aunque la calidad del phishing ha mejorado mucho con IA generativa (Microsoft MDDR 2024 ya reportaba "AI-enabled spear phishing" como técnica emergente), todavía abundan los errores: nombres con tildes mal puestas, plurales incorrectos, frases traducidas literalmente.

  4. Dominio del remitente sospechoso. Pasa el cursor sobre el nombre del remitente sin hacer clic. ¿La dirección termina en el dominio correcto? BancoEstado <notificacion@bancoestado.cl> es legítimo. BancoEstado <notificacion@bancoestado-cl.security.com> es phishing aunque el nombre visible diga BancoEstado.

  5. Enlace que no coincide con el destino. Pasa el cursor sobre el enlace del correo (sin hacer clic). En la esquina inferior izquierda del navegador aparece la URL real. Si el texto dice "bancoestado.cl" pero la URL real es otra cosa, es phishing automático.

Qué hacer si tu equipo cae en phishing

Pasa. Pasa más de lo que se reporta. Lo crítico es la respuesta en las primeras horas. Si un empleado clica en un enlace sospechoso o entrega credenciales:

Primeros 30 minutos

  1. No regañar al empleado. Lo más común es que la persona sienta vergüenza y oculte el incidente, lo que retrasa la respuesta y agrava el daño. Cultura de reporte sin penalización.
  2. Cambiar la contraseña del empleado afectado desde un equipo limpio (no el suyo). Habilitar MFA si todavía no estaba activo.
  3. Revocar sesiones activas del empleado en todos los sistemas críticos (Office 365, Google Workspace, sistema contable, banca empresa, CRM).
  4. Aislar el equipo afectado si hay sospecha de malware. Desconectar de la red, dejar el equipo encendido para preservar evidencia.

Primeras 24 horas

  1. Escanear actividad reciente en correo (reglas de reenvío automático añadidas, mensajes enviados a destinatarios desconocidos, descargas anómalas).
  2. Notificar a clientes si el atacante puede haber suplantado al empleado para enviar correos a externos.
  3. Documentar todo en una bitácora: hora del clic, qué información se entregó, qué hizo el atacante, qué cambios hicieron.
  4. Evaluar si hay datos personales comprometidos. Si sí, activar el Protocolo de Vulneraciones y considerar la notificación a la APDP.

Primeras 72 horas

  1. Forensia técnica si el incidente fue grave (compromiso de credenciales con acceso a datos personales o financieros).
  2. Reporte regulatorio si hay vulneración de datos personales (Art. 14 sexies Ley 21.719). Recordar: la ley chilena exige notificación "sin dilaciones indebidas", no establece el plazo de 72 horas que circula en blogs comparativos con el RGPD europeo.
  3. Capacitación correctiva para el equipo, idealmente liderada por el empleado afectado contando lo que pasó (con su permiso). Es la lección más efectiva.

El post sobre el costo real de un ciberataque descompone los seis costos típicos: operacional, recuperación, rescate, reputacional, ciberseguro y regulatorio. Es útil para presentar al equipo directivo el impacto financiero real cuando ocurre un incidente.

Capacitación recomendada para pymes

Si tu pyme tiene presupuesto cero, esto es lo mínimo:

  1. Esta guía como lectura obligatoria en la inducción de cada nuevo empleado. 30 minutos para leerla y comentarla en grupo.
  2. Simulacro mensual de phishing controlado. Servicios pagados como KnowBe4, Hoxhunt o Cofense ofrecen plataformas con campañas pre-construidas; cuestan entre USD 2 y USD 8 por usuario al mes. Alternativa gratuita: enviar tú mismo un correo falso bien diseñado (desde un alias externo) y ver quién hace clic. Métrica útil: mantener la tasa de clic bajo el 5% del equipo.
  3. Política de "verifica antes de pagar": ninguna transferencia importante se ejecuta basada solo en email, aunque parezca venir del director. Verificación telefónica o videollamada obligatoria.
  4. Canal interno de reporte sin culpabilización. Un correo seguridad@empresa.cl o un canal de Slack donde cualquiera puede reportar un correo sospechoso sin sentirse juzgado. Los falsos positivos son siempre mejor que los falsos negativos.
  5. Refuerzos puntuales en fechas de riesgo. CyberDay, fin de mes contable, devolución de impuestos del SII (abril-mayo), Black Friday/Navidad. Manda un recordatorio breve la semana anterior.

Las empresas chilenas que invierten en capacitación regular reducen su tasa de incidentes por phishing en un orden de magnitud, según consultoras de incident response. La conclusión: el control más caro de implementar (técnico) suele ser menos efectivo que el más barato (capacitación), porque el ser humano es siempre el eslabón débil.

Próximos pasos

Preguntas frecuentes

¿Es cierto que el 80% de los ciberataques empieza con phishing?

No con esa exactitud. Es una cifra que circula en blogs y notas comerciales pero no se sostiene con fuentes primarias. Los estudios verificables muestran rangos distintos: Verizon DBIR 2025 ubica el phishing en 16% como vector inicial de brecha; Microsoft Digital Defense Report 2025 lo eleva al 28% combinando phishing más ingeniería social; Mandiant M-Trends 2025 lo posiciona en 16% en la región Américas; IBM 2025 reporta 16% de incidentes por phishing. La cifra correcta para usar es "entre 16% y 28% según el estudio". Phishing es siempre uno de los tres vectores más comunes pero no representa el 80% de los ataques.

¿Cómo puedo verificar si un correo es realmente del SII o BancoEstado?

Tres pasos rápidos: (1) Pasa el cursor sobre el nombre del remitente sin hacer clic — la dirección de email completa aparecerá. El SII oficial es @sii.cl y BancoEstado oficial es @bancoestado.cl. (2) Pasa el cursor sobre cualquier enlace antes de hacer clic — la URL real aparecerá en la esquina del navegador. Si no coincide con el dominio oficial, es phishing. (3) Si tienes duda razonable, abre el portal oficial directamente desde tu navegador (no desde el correo) y verifica si el aviso aparece también dentro del portal logueado. El SII y BancoEstado siempre publican notificaciones críticas dentro de tu portal personal.

¿El antivirus protege contra phishing?

Solo parcialmente. Los antivirus modernos detectan algunos enlaces conocidos de phishing y bloquean dominios maliciosos reconocidos, pero los criminales generan dominios nuevos cada día y los antivirus tardan horas o días en agregarlos a sus listas. La defensa más efectiva contra phishing no es técnica sino humana: capacitación regular del equipo y la regla absoluta de verificar antes de pagar o entregar credenciales. EDR moderno (no antivirus tradicional) ayuda más porque detecta comportamiento anómalo post-clic, pero la mejor protección sigue siendo no hacer clic en primer lugar.

¿Qué hago si ya entregué mis credenciales en una página de phishing?

Actúa rápido. (1) Cambia inmediatamente la contraseña en el sitio real desde un equipo limpio (no el que usaste para el clic). (2) Si tenías la misma contraseña en otros servicios, cámbiala en todos. (3) Habilita MFA en todos los servicios afectados. (4) Si entregaste credenciales bancarias, llama al banco al número oficial (no al que aparece en el correo de phishing) y pide bloqueo preventivo. (5) Reporta el incidente al CSIRT chileno en csirt.gob.cl/reportar para ayudar a que la URL maliciosa sea bloqueada. (6) Si ocurrió en un equipo corporativo, sigue los pasos descritos arriba en "Qué hacer si tu equipo cae en phishing" y documenta todo para el reporte interno.

¿Cuál es el costo de implementar capacitación anti-phishing en una pyme?

Depende del tamaño y nivel. Para una pyme de 10-30 personas: un programa básico de simulacros mensuales con plataformas como KnowBe4 cuesta entre USD 2 y USD 8 por usuario al mes (es decir, USD 20 a USD 240 al mes total). Alternativa con costo cero pero más esfuerzo: enviar tú mismo correos de phishing controlado desde un alias externo y revisar la tasa de clic. La inversión más rentable de toda la ciberseguridad para una pyme es la capacitación: por cada $1 millón de pesos invertidos en capacitación y simulacros se reducen costos potenciales por incidentes en al menos un orden de magnitud, según reportes consolidados de incident response.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en la Ley N° 21.719. Las cifras estadísticas citadas provienen de fuentes primarias (Verizon DBIR, Microsoft Digital Defense Report, Mandiant M-Trends, IBM, APWG) y alertas publicadas por el CSIRT chileno. Esta guía no constituye asesoría legal ni de seguridad. Para situaciones complejas o de alto riesgo recomendamos consultar con un profesional especializado en ciberseguridad.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.