Saltar al contenido principal
tisec.cl
Ciberseguridad

Los 5 ciberataques más comunes en Chile y cómo evitarlos

Phishing, ransomware, credential stuffing, supply chain y BEC: los ataques que más afectan a empresas chilenas según datos del CSIRT de Gobierno.

Básico Equipo Tisec

Chile es el tercer país de América Latina más afectado por ciberataques, según estimaciones de firmas de seguridad que operan en la región. El CSIRT de Gobierno chileno —el equipo de respuesta a incidentes de ciberseguridad del Estado— recibe cientos de reportes al año de empresas privadas y organismos públicos. Los patrones se repiten.

Conocer cuáles son los ataques más frecuentes y cómo funcionan en la práctica no es un ejercicio académico: es la primera línea de defensa. Un equipo que sabe reconocer un intento de phishing tiene muchas más probabilidades de detenerlo que uno que nunca ha oído el término.

Aquí están los cinco ataques más comunes que afectan a empresas en Chile y, lo más importante, cómo prevenirlos.

1. Phishing: el rey de los ataques

Qué es

El phishing es el envío de correos electrónicos, mensajes o la creación de sitios web falsos que imitan a organizaciones legítimas para engañar a las víctimas. El objetivo casi siempre es lo mismo: que la víctima entregue sus credenciales, datos bancarios o instale un programa malicioso.

Es el vector de entrada más usado en los ciberataques a empresas chilenas. Según el CSIRT de Gobierno, el phishing es el método de inicio de intrusión más frecuente en los incidentes reportados.

Cómo funciona en la práctica

Recibes un correo que parece ser del Servicio de Impuestos Internos (SII). Te dice que tienes una “deuda tributaria pendiente” y que debes acceder al sistema con urgencia para evitar sanciones. El correo tiene el logo del SII, los colores correctos, y el botón lleva a un sitio que se ve exactamente igual al real. Pero la URL es algo como sii-chile.info o servicioimpuestos.cl — no el dominio oficial sii.cl.

Ingresas tu RUT y clave tributaria. Ya se las entregaste a los atacantes.

Señales de alerta

  • La URL del sitio no termina en .gob.cl cuando debería ser un organismo del Estado
  • El correo crea urgencia artificial: “responde en 24 horas o tu cuenta será bloqueada”
  • El remitente tiene un dominio ligeramente diferente al oficial (sii-chile.cl vs sii.cl)
  • El correo tiene errores ortográficos o de formato inusuales
  • Te piden credenciales que el organismo ya debería tener

Cómo prevenirlo

  • Autenticación multifactor (MFA): incluso si te roban la contraseña, sin el segundo factor no pueden entrar
  • Capacitación del equipo: simular ataques de phishing internamente y entrenar a reconocerlos
  • Verificar siempre la URL antes de ingresar credenciales, especialmente en correos no esperados
  • Filtros de correo avanzados: soluciones como Microsoft Defender for Office 365 o Google Workspace tienen detección de phishing incorporada
  • Reportar siempre: si recibes un phishing que suplanta a una institución chilena, repórtalo al CSIRT en csirt@interior.gov.cl

2. Ransomware: el secuestro digital

Qué es

El ransomware es un tipo de malware que cifra los archivos de tu empresa y exige un rescate —generalmente en criptomonedas— para devolver el acceso. En los últimos años, los atacantes han agregado una segunda extorsión: amenazan con publicar los datos robados si no pagas.

En Chile, casos conocidos han afectado a retail, salud, logística y gobierno. No es un problema solo de grandes empresas.

Cómo funciona en la práctica

Un empleado abre un adjunto de correo que parece ser una factura de un proveedor. El archivo ejecuta un programa que empieza a cifrar silenciosamente todos los archivos a los que tiene acceso: el computador local, y si hay permisos, las carpetas compartidas de la red. Horas después —o días, en ataques más sofisticados que esperan el momento adecuado— aparece una pantalla con las instrucciones para pagar.

El tiempo promedio de recuperación sin pago y sin backups previos es de semanas. El costo promedio para una PYME puede superar los USD 50.000 cuando se suman la recuperación, el tiempo parado y las consecuencias legales.

Señales de alerta

  • Computadores que se ponen lentos sin razón aparente (el cifrado consume recursos)
  • Archivos que cambian de extensión o que no se pueden abrir
  • Aparición repentina de archivos README_DECRYPT.txt o similares
  • Actividad inusual en la red a horas fuera de horario laboral

Cómo prevenirlo

  • Backups frecuentes y desconectados: la regla 3-2-1 (3 copias, en 2 medios distintos, 1 fuera de sitio). Los backups conectados permanentemente también se cifran
  • Principio de mínimo privilegio: los empleados solo deben tener acceso a los archivos que necesitan para su trabajo
  • Mantener sistemas actualizados: muchos ransomwares explotan vulnerabilidades en sistemas sin parches
  • Segmentación de red: si un equipo se infecta, que no pueda alcanzar todos los demás
  • Plan de respuesta a incidentes: saber qué hacer en las primeras horas marca la diferencia

3. Credential Stuffing: contraseñas recicladas como punto débil

Qué es

El credential stuffing consiste en tomar combinaciones de usuario/contraseña filtradas en brechas anteriores (de cualquier sitio web en el mundo) y probarlas automáticamente en otros servicios. Funciona porque muchas personas reutilizan contraseñas entre distintas plataformas.

A diferencia de un ataque de fuerza bruta, no adivina contraseñas: usa las reales, obtenidas de filtraciones previas. Hay bases de datos con miles de millones de credenciales disponibles en la dark web.

Cómo funciona en la práctica

Imagina que un empleado de tu empresa usó la misma contraseña en LinkedIn (que fue hackeado en 2012), en su correo corporativo y en el sistema de facturación. Los atacantes compran o descargan la base de datos filtrada de LinkedIn, identifican el correo corporativo del empleado, y prueban la misma contraseña en el webmail de tu empresa. Acceso obtenido.

Desde adentro, pueden leer correos, identificar proveedores, iniciar transferencias fraudulentas, instalar accesos persistentes o robar información de clientes.

Señales de alerta

  • Intentos de login desde ubicaciones geográficas inusuales (muchos sistemas lo muestran en el historial)
  • Alertas de inicio de sesión en horarios fuera del horario laboral
  • Múltiples intentos fallidos de login seguidos de uno exitoso

Cómo prevenirlo

  • Contraseñas únicas por servicio: use un gestor de contraseñas corporativo (1Password, Bitwarden) para que cada sistema tenga una contraseña diferente
  • Autenticación multifactor en todos los sistemas críticos: correo, banca en línea, ERP, CRM
  • Monitorear intentos de acceso: los sistemas modernos permiten alertas de acceso desde nuevas ubicaciones
  • Verificar si las contraseñas de tu empresa aparecen en filtraciones: herramientas como HaveIBeenPwned permiten verificar dominios completos

4. Ataques a proveedores (Supply Chain): el eslabón débil

Qué es

Los ataques de cadena de suministro comprometen a empresas atacando a sus proveedores de software, servicios o tecnología. En lugar de atacar directamente a la víctima —que puede tener buenas defensas— los atacantes comprometen a un proveedor de confianza que tiene acceso legítimo.

El caso SolarWinds (2020) es el más conocido a nivel mundial: los atacantes comprometieron una actualización de software que se distribuyó a miles de clientes, incluyendo agencias del gobierno de EE.UU. En Chile, el vector más común son las empresas de soporte TI externo con acceso remoto a sistemas de sus clientes.

Cómo funciona en la práctica

Tu empresa contrata a una pequeña empresa de soporte TI que administra remotamente tus servidores. Esa empresa es atacada —tiene menos recursos de seguridad que tú—, y los atacantes obtienen las credenciales que usan para conectarse a tus sistemas. Ahora tienen acceso legítimo a tu infraestructura, con las mismas herramientas que tu propio proveedor usa.

Pueden actuar con paciencia: observar, recopilar información, y ejecutar el ataque principal semanas o meses después.

Señales de alerta

  • Actividad inusual en herramientas de acceso remoto fuera de horario
  • Cambios en configuraciones o usuarios del sistema sin solicitud previa
  • Tu proveedor TI comunica que sufrió un incidente

Cómo prevenirlo

  • Evaluar la seguridad de tus proveedores TI antes de contratarlos (pedirles políticas de seguridad, certificaciones)
  • Principio de mínimo privilegio con proveedores: dar el acceso mínimo necesario para cada tarea
  • Acceso just-in-time: en lugar de acceso remoto permanente, activarlo solo cuando se necesita
  • Registrar toda actividad de proveedores: logs de qué hizo cada proveedor en tus sistemas
  • Cláusulas de seguridad en contratos: que el proveedor tenga obligación de notificarte si sufre un incidente

5. BEC (Business Email Compromise): el fraude del CEO

Qué es

El BEC o “fraude del CEO” es un ataque dirigido donde los delincuentes se hacen pasar por un ejecutivo de la empresa —o por un proveedor de confianza— para engañar a empleados y lograr que autoricen transferencias de dinero o compartan información confidencial.

Es el cibercrimen que más dinero mueve en el mundo. El FBI IC3 reportó pérdidas de más de USD 2.900 millones solo en EE.UU. en 2023. En Chile, el CSIRT ha documentado casos en empresas de todos los tamaños.

Cómo funciona en la práctica

El gerente de finanzas recibe un correo del “CEO” que dice estar en una reunión importante y necesita con urgencia transferir un monto a una nueva cuenta para cerrar un negocio. El correo puede venir de una dirección muy similar a la real (nombre@empresa-cl.com en lugar de nombre@empresa.cl) o, en casos más sofisticados, desde la cuenta real del CEO si fue comprometida previamente.

La presión de tiempo, la autoridad del remitente y la petición de confidencialidad (“no le cuentes a nadie todavía”) son los ingredientes del engaño. El empleado transfiere. El dinero desaparece.

Señales de alerta

  • Solicitudes urgentes de transferencia por correo, especialmente fuera del proceso normal
  • Pedidos de confidencialidad inusuales en transacciones
  • Cambios de cuenta bancaria de proveedores conocidos comunicados solo por correo
  • Correos que piden actuar fuera del proceso aprobado de pagos

Cómo prevenirlo

  • Verificación fuera de banda: ante cualquier transferencia solicitada por correo, confirmar por teléfono o en persona con quien la solicita
  • Proceso de doble aprobación para transferencias sobre cierto monto
  • Capacitar al equipo de finanzas específicamente sobre este tipo de fraude
  • Configurar alertas en el sistema bancario para transferencias sobre cierto umbral
  • Verificar siempre los datos bancarios de proveedores por canales alternativos antes de hacer el primer pago o ante cambios de cuenta

¿Por dónde empezar?

Si eres dueño de una PYME y sientes que la seguridad de tu empresa no está donde debería, no intentes resolver todo a la vez. Prioriza:

  1. Activa MFA en correo y sistemas críticos — es gratis o de bajo costo y bloquea la mayoría de los ataques de credenciales
  2. Haz un backup probado esta semana — verifica que puedas restaurar desde él
  3. Habla con tu equipo — muéstrales este artículo, muéstrales cómo se ve un correo de phishing
  4. Actualiza tus sistemas — activa las actualizaciones automáticas si no lo has hecho
  5. Define un contacto de emergencia — saber a quién llamar si algo pasa ahorra horas críticas

Para reportar incidentes o consultar alertas actuales, el CSIRT de Gobierno de Chile está en csirt.gob.cl.

phishing ransomware BEC supply chain CSIRT ciberataques Chile
← Ver todos los artículos