diseño web sitios web páginas web agencias de marketing

Phishing en Chile: Las 3 estafas más comunes que están afectando a empresas este año 2026

Phishing en Chile Las 3 estafas más comunes que están afectando a empresas nacionales este año 2026

En el dinámico ecosistema digital de Chile en 2026, la ciberseguridad ha dejado de ser una preocupación del departamento de TI para convertirse en una prioridad en toda empresa. Con la plena implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la supervisión activa de la Agencia Nacional de Ciberseguridad (ANCI), las empresas nacionales enfrentan un panorama de amenazas más sofisticado que nunca.

El phishing, esa técnica de ingeniería social que busca engañar a los empleados para obtener credenciales o dinero, ha evolucionado de simples correos con errores ortográficos a ataques hiper-personalizados potenciados por Inteligencia Artificial (IA).

En este artículo, desglosamos las tres estafas de phishing más predominantes en el país y el mundo este año, el impacto del nuevo marco regulatorio y cómo blindar su organización.

1. El Nuevo Rostro del Phishing: ¿Por qué 2026 es un año crítico?

Para entender por qué las empresas chilenas están bajo fuego, debemos observar la madurez digital del país. Chile lidera la región en conectividad 5G y adopción de la nube, pero esta superficie de ataque extendida ha sido aprovechada por el cibercrimen organizado.

La IA Generativa como arma

A diferencia de 2023 o 2024, los ataques de phishing en 2026 ya no son masivos y genéricos. Los atacantes utilizan herramientas de IA para analizar la huella digital de los ejecutivos chilenos en redes sociales y plataformas corporativas, redactando mensajes que imitan a la perfección el tono, la jerga local y las urgencias reales de cada empresa.

2. Las 3 estafas más comunes en empresas chilenas (2026)

A. BEC 3.0: Business Email Compromise con Deepfake de Voz

El fraude del CEO o compromiso de correo corporativo (BEC) ha alcanzado su versión 3.0. Ya no basta con recibir un correo del «Gerente General» pidiendo una transferencia urgente; ahora, el correo viene acompañado de una llamada o un mensaje de voz de WhatsApp que utiliza biometría sintética.

  • El Modus Operandi: El atacante compromete la cuenta de un alto ejecutivo o un proveedor. Envía un correo solicitando un cambio en la cuenta de destino para un pago importante. Ante la duda del empleado de finanzas, el atacante genera un audio con IA que imita exactamente la voz del ejecutivo, confirmando la instrucción.
  • Contexto Chileno: Se ha visto un aumento del 45% en este tipo de ataques dirigidos a empresas de los sectores minero y agroindustrial, donde las transferencias a proveedores internacionales son moneda corriente.

B. Quishing (QR Code Phishing) en Entornos Híbridos

Con la normalización del trabajo híbrido y el uso de códigos QR para todo, desde menús de casino corporativo hasta acceso a edificios inteligentes en Santiago, el Quishing se ha consolidado como una amenaza silenciosa.

  • El Modus Operandi: Los delincuentes pegan etiquetas de códigos QR falsos sobre los legítimos en áreas comunes de empresas o envían «facturas digitales» que requieren escanear un QR para su visualización. Al escanearlo, el dispositivo del empleado es redirigido a una página de inicio de sesión falsa (Microsoft 365, Google Workspace u otra) que captura las credenciales de la red corporativa.
  • Peligro: Los filtros de seguridad de correo electrónico tradicionales a menudo no logran «leer» el contenido malicioso dentro de un código QR, permitiendo que el ataque llegue a la bandeja de entrada del usuario.

C. Phishing de Cadena de Suministro (Supply Chain Phishing)

Este ataque no apunta directamente a la gran corporación, sino a sus proveedores de servicios más pequeños (PyMEs) que suelen tener defensas menos robustas.

  • El Modus Operandi: Los atacantes vulneran a un proveedor de servicios (aseo, logística o mantenimiento). Desde la cuenta legítima del proveedor, envían correos a la empresa principal adjuntando «nuevas normativas de seguridad» o «actualizaciones de contrato» en archivos PDF que contienen malware de tipo infostealer.
  • Impacto en Chile: Dado que la nueva Ley de Protección de Datos Personales (Ley 21.719) hace responsable a la empresa principal por los datos que manejan sus proveedores, este tipo de phishing representa un riesgo legal masivo además del financiero.

3. Impacto de la Ley Marco de Ciberseguridad y la ANCI

En 2026, ser víctima de phishing ya no es solo un «problema de mala suerte». Bajo la Ley 21.663, las empresas calificadas como «Operadores de Importancia Vital» (OIV) y los servicios esenciales tienen obligaciones estrictas:

Notificación Obligatoria

Toda vulneración de seguridad que afecte la continuidad operativa o datos sensibles debe ser reportada a la Agencia Nacional de Ciberseguridad (ANCI) en un plazo máximo de 3 horas para el reporte inicial. El incumplimiento de esta notificación puede acarrear multas que superan los 20.000 UTM.

Responsabilidad de los Directorios

La ley ahora exige que los directores y gerentes generales tengan un rol activo en la gestión de riesgos. El phishing, al ser la puerta de entrada para el 80% de los ataques de Ransomware de Doble Extorsión en Chile, debe estar en el mapa de riesgos corporativo con medidas de mitigación auditables.

En Multicore podemos ayudarte a mejorar la protección de tu entorno digital. Más info en nuestro servicio de Seguridad Informática.

4. Comparativa de Amenazas: 2024 vs. 2026

CaracterísticaPhishing 2024Phishing 2026
Tecnología PrincipalPlantillas manualesIA Generativa y Deepfakes
Canal PreferidoEmail y SMSOmnicanal (Email, QR, WhatsApp, Voz)
ObjetivoRobo masivo de credencialesEspionaje industrial y BEC dirigido
DetecciónBasada en firmas y reglasRequiere análisis de comportamiento (UEBA)
Consecuencia LegalBaja/ModeradaAltas multas (ANCI) y demandas civiles

5. Guía de Prevención: Blindando la Empresa Chilena

Para combatir estas estafas, el enfoque de «solo tecnología» es insuficiente. Se requiere una estrategia de Defensa en Profundidad que combine lo técnico con lo humano.

Medidas Técnicas Imprescindibles

  1. MFA Resistente al Phishing: Migrar del SMS o aplicaciones de autenticación hacia llaves físicas (FIDO2) o biometría local. El phishing de 2026 puede interceptar códigos temporales (OTP) en tiempo real mediante ataques de Adversary-in-the-Middle (AiTM).
  2. Sistemas de Seguridad de Email basados en IA: Implementar soluciones que utilicen Procesamiento de Lenguaje Natural (NLP) para detectar anomalías en el tono y estilo de redacción de los correos recibidos.
  3. Filtrado de DNS y QR: Utilizar herramientas que inspeccionen el destino final de un código QR antes de que el navegador del dispositivo lo cargue.

El Fortalecimiento del Factor Humano

La capacitación de «una vez al año» ha muerto. En 2026, la resiliencia se construye mediante:

  • Simulacros de Phishing Hiper-realistas: Realizar pruebas sorpresa que imiten las estafas actuales (como el cambio de cuenta bancaria de un proveedor real).
  • Cultura de «Pausa y Verifica»: Instituir protocolos donde cualquier cambio en datos de pago requiera una confirmación por un canal secundario pre-establecido (no el que viene en el mensaje sospechoso).

6. ¿Qué hacer si su empresa ha sido afectada? (Protocolo de Crisis)

Si sospecha que un empleado ha caído en una de las «3 grandes estafas» de este año, actúe de inmediato bajo este protocolo alineado con la normativa chilena:

  1. Aislamiento: Desconecte los dispositivos afectados de la red corporativa para evitar el movimiento lateral de malware.
  2. Reset de Credenciales: Cambie todas las contraseñas de la cuenta comprometida y revoque todas las sesiones activas de aplicaciones SaaS.
  3. Reporte Interno y Externo: Inicie el registro del incidente. Si su empresa es un servicio esencial, contacte a la ANCI dentro del plazo legal.
  4. Análisis Forense: Determine qué datos fueron exfiltrados. Según la nueva ley de protección de datos, si se filtraron datos personales, debe notificar a los titulares afectados «sin dilación indebida».

Conclusión

El phishing en Chile durante 2026 es una amenaza sofisticada, impulsada por la IA y con graves consecuencias legales bajo la nueva Ley Marco de Ciberseguridad. Las empresas que prosperarán serán aquellas que entiendan que la seguridad no es un costo, sino una inversión en su continuidad operativa y reputación de marca.

La pregunta no es si intentarán engañar a sus empleados, sino cuándo y si su organización está lista para detectar el engaño antes de que se convierta en una crisis grave.

Etiquetas

Compartir

Publicaciones similares

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *