Phishing en Chile: Cómo Identificarlo y Prevenirlo

El phishing es el vector de ataque más utilizado contra empresas chilenas. Según el CSIRT de Gobierno, más del 70% de los incidentes de ciberseguridad reportados en Chile comienzan con un correo electrónico de phishing. Los atacantes se hacen pasar por bancos, servicios públicos (SII, Tesorería), proveedores o incluso compañeros de trabajo para engañar a las víctimas y obtener credenciales, datos financieros o instalar malware.

Este artículo te enseñará a identificar los diferentes tipos de phishing, las técnicas más comunes en Chile y las medidas de prevención que toda empresa debe implementar. Para un marco más amplio de ciberseguridad, revisa nuestro artículo sobre análisis de riesgos de ciberseguridad.

Tipos de phishing

Tipo	Descripción	Ejemplo en Chile
Phishing masivo	Correos genéricos enviados a miles de personas	Correo falso del SII pidiendo actualizar datos tributarios
Spear phishing	Correos dirigidos a personas específicas con información personalizada	Correo al gerente de finanzas citando un proveedor real de la empresa
Whaling	Phishing dirigido a ejecutivos de alto nivel	Correo al CEO simulando ser un abogado con documentos legales urgentes
Smishing	Phishing por SMS	SMS falso de banco chileno pidiendo verificar una transacción
Vishing	Phishing por llamada telefónica	Llamada simulando ser del banco alertando sobre fraude en la cuenta
Business Email Compromise (BEC)	Suplantación del correo de un ejecutivo para autorizar transferencias	Correo falso del gerente general ordenando pago urgente a nuevo proveedor

Señales de alerta de phishing

Enseña a tu equipo a identificar estas señales:

Urgencia artificial: "Su cuenta será bloqueada en 24 horas", "Pago urgente requerido".
Errores de ortografía y gramática: Muchos phishing contienen errores sutiles o traducciones deficientes.
Remitente sospechoso: El dominio no coincide exactamente con la organización legítima (ej: sii-cl.com en lugar de sii.cl).
Enlaces engañosos: Al pasar el cursor sobre el enlace, la URL real difiere de la mostrada.
Solicitud de información sensible: Ninguna institución legítima pide contraseñas o datos de tarjeta por correo.
Adjuntos inesperados: Archivos .exe, .zip o documentos con macros de remitentes no esperados.
Saludo genérico: "Estimado cliente" en lugar de tu nombre.

Campañas de phishing comunes en Chile

Suplantación del SII

Correos que simulan ser del Servicio de Impuestos Internos pidiendo actualizar datos o descargar un formulario. Suelen enviarse durante períodos de declaración de renta.

Falsos avisos bancarios

SMS o correos de BancoEstado, Banco de Chile u otros bancos alertando sobre bloqueo de cuenta o transferencia sospechosa, con enlace a sitio falso.

Facturas falsas de proveedores

Correos con facturas adjuntas que contienen malware, aparentando ser de proveedores reales de la empresa.

Ofertas de empleo falsas

Correos o mensajes de LinkedIn con ofertas de trabajo atractivas que llevan a sitios de recolección de datos personales.

Alerta: Los ataques de Business Email Compromise (BEC) causan las mayores pérdidas financieras. Un solo correo bien elaborado que suplante al gerente puede resultar en transferencias fraudulentas significativas. La defensa principal es la verificación por un segundo canal.

Medidas de prevención técnicas

Filtros de correo avanzados: Implementar soluciones anti-spam y anti-phishing que analicen contenido, enlaces y adjuntos.
Autenticación de correo (SPF, DKIM, DMARC): Configurar estos protocolos para prevenir la suplantación del dominio de la empresa.
Autenticación multifactor (MFA): Aunque un atacante obtenga la contraseña, no podrá acceder sin el segundo factor.
Navegación segura: Bloquear sitios de phishing conocidos mediante filtros DNS y proxies web.
Actualizaciones: Mantener software actualizado para cerrar vulnerabilidades explotables por malware de phishing.

Medidas de prevención organizacionales

Programa de concientización: Capacitación periódica a todos los colaboradores sobre identificación de phishing.
Simulaciones de phishing: Enviar correos de phishing simulados para medir la susceptibilidad y reforzar el aprendizaje.
Protocolo de verificación de pagos: Toda solicitud de pago o cambio de datos bancarios debe verificarse por teléfono o en persona.
Canal de reporte: Botón o dirección de correo para reportar correos sospechosos fácilmente.
Procedimiento de respuesta: Qué hacer si alguien hace clic en un enlace de phishing o ingresa credenciales.

Dato: Las simulaciones de phishing reducen la tasa de clics en correos maliciosos entre un 50% y 70% durante el primer año. La clave es realizar simulaciones regulares (mensuales o trimestrales) con retroalimentación inmediata y formativa.

Qué hacer si caíste en phishing

No entres en pánico: Actúa rápido pero con calma.
Cambia contraseñas inmediatamente: Empezando por la cuenta comprometida y cualquier otra donde uses la misma contraseña.
Notifica al equipo de TI: Para que evalúen el alcance y tomen medidas de contención.
Reporta el incidente: Seguir el procedimiento de respuesta ante incidentes de la empresa. Ver plan de respuesta ante incidentes.
Monitorea cuentas: Revisar movimientos bancarios y accesos no autorizados.

Protege tu empresa contra phishing

GRC360 te permite gestionar la concientización en ciberseguridad, evaluar riesgos y documentar controles anti-phishing como parte de tu sistema de gestión de seguridad.

Crear Cuenta Gratis

Complementa con ransomware en Chile, ingeniería social y la guía sobre ISO 27001 para un marco completo de seguridad.

Inversión inteligente: Un programa de concientización en phishing es una de las inversiones en ciberseguridad con mayor retorno. La mayoría de los ataques exitosos comienzan engañando a una persona, y la educación es la mejor defensa.