¿Qué es el phishing? Guía completa para empresas en Chile (2026)

Q: ¿Cuáles son los tipos de phishing más comunes en empresas chilenas?

Los más frecuentes son: (1) email phishing genérico imitando al SII, BCI, Banco Estado o Santander; (2) spear phishing dirigido a un colaborador específico con datos personalizados; (3) smishing por SMS imitando alertas bancarias; (4) vishing por llamadas con guiones de soporte técnico; y (5) BEC/CEO Fraud que suplanta a un ejecutivo para autorizar transferencias.

Q: ¿Cómo puedo prevenir el phishing en mi empresa?

Con tres capas: tecnología (filtros antispam, MFA, EDR), procesos (verificación de transferencias por canal alternativo, política de reporte) y personas (capacitación continua + simulacros de phishing realistas). El factor humano es el 90% del riesgo, así que el programa de Security Awareness con simulaciones es el más rentable.

Q: ¿Qué hago si un colaborador cayó en un phishing?

Inmediatamente: (1) cambiar la contraseña afectada y revocar sesiones activas; (2) revisar logs de actividad sospechosa en el correo y servicios accedidos; (3) si se ingresaron datos bancarios, bloquear con el banco; (4) reportar al CSIRT o a la ANCI si aplica Ley 21.663; (5) notificar a la dirección de privacidad si hay filtración de datos personales (Ley 21.719); (6) entrenar al colaborador con un micro-curso reactivo, sin estigmatizar.

El phishing sigue siendo la puerta de entrada del 90% de los ciberataques contra empresas en Chile. No es un problema técnico que se resuelva con más firewall — es un problema humano. Esta guía explica qué es, cómo se ve en el contexto chileno y qué hacer para protegerte.

¿Qué es el phishing exactamente?

El phishing es una técnica de ingeniería social en la que un atacante se hace pasar por una entidad legítima —un banco, el SII, un compañero, un proveedor— para engañar a la víctima y conseguir información sensible o que haga clic en un enlace malicioso. La palabra viene del inglés fishing ("pescar"), porque el atacante "lanza un anzuelo" (un email, un SMS) y espera a que alguien muerda.

A diferencia de un ataque técnico (explotar una vulnerabilidad de software), el phishing apunta directamente a las personas. Por eso ningún firewall, antivirus o sistema EDR puede detenerlo al 100%: la decisión final de hacer clic la toma un humano.

Los 5 tipos de phishing más comunes en Chile

1. Email phishing masivo

El más frecuente. Correos enviados a miles de personas imitando al SII ("declaración pendiente"), a Banco Estado o BCI ("alerta de seguridad"), a Correos de Chile ("paquete retenido"). Bajo costo para el atacante, alta efectividad por volumen.

2. Spear phishing

Phishing dirigido a una persona específica, usando información pública (LinkedIn, web corporativa). Por ejemplo: un correo a un contador de la empresa firmado por el "gerente general" pidiendo una transferencia urgente. Mucho más efectivo que el masivo porque incluye contexto real.

3. Smishing (SMS)

Phishing por mensaje de texto. Aprovecha que en el celular la gente baja la guardia. Ejemplos típicos en Chile: SMS de "BancoEstado" alertando bloqueo de cuenta con un link, o de "Correos de Chile" informando un envío con un link para "actualizar dirección".

4. Vishing (llamadas)

Phishing por voz. Un "ejecutivo del banco" o un "técnico de TI" llama y, con un guión de urgencia, consigue que la víctima entregue claves o ejecute acciones. Con IA generativa de voz, hoy es posible clonar la voz de un ejecutivo real para autorizar pagos.

5. BEC / CEO Fraud

Business Email Compromise: el atacante suplanta (o compromete) la cuenta de un alto ejecutivo y solicita transferencias o información a su equipo. Es el tipo de phishing con mayor pérdida monetaria por incidente según datos de la ANCI y el FBI.

Ejemplos reales de phishing en Chile

Casos vistos en empresas chilenas durante 2025-2026:

"SII — Declaración de renta vencida": correo desde un dominio similar (sii-cl.com en vez de sii.cl) con un PDF que descarga malware.
"Banco Estado — Tu CuentaRUT fue bloqueada": SMS con link a una página clonada que captura RUT y clave.
"RRHH — Liquidación de sueldo": correo aparentemente interno, con un Excel adjunto que pide habilitar macros.
"AFP — Actualiza tus datos antes del 31": link a un formulario falso que captura información personal.
BEC en una constructora: el "gerente general" pide al jefe de finanzas transferir 80M CLP a una cuenta nueva. Resultado: pérdida total.

Cómo prevenir el phishing en tu empresa

La defensa contra phishing tiene tres capas. Las tres son necesarias; ninguna basta sola.

Tecnología

Filtros antispam y antiphishing avanzados (Microsoft Defender, Google Workspace, Mimecast, Proofpoint). Autenticación multifactor (MFA) en todos los servicios críticos. EDR/XDR en endpoints. DMARC, SPF y DKIM bien configurados en tu dominio para que nadie pueda suplantarlo.

Procesos

Política de doble verificación para transferencias y cambios de cuenta bancaria (canal distinto al email). Procedimiento de reporte: un botón "Reportar phishing" visible en Outlook/Gmail. SLA del equipo de seguridad para responder reportes en menos de 1 hora. Plan de respuesta a incidentes con pasos claros.

Personas

Capacitación continua + simulacros de phishing realistas. No se trata de una charla anual, sino de un ciclo permanente: simular → medir → educar a los que cayeron → repetir. Esto es exactamente lo que hace una plataforma de simulación de phishing como Certisec.

Dato clave: Empresas que ejecutan simulacros de phishing trimestrales reducen su tasa de clic del 22% promedio inicial al 4-6% en 90 días, según data de la industria. Sin simulacros, la tasa se mantiene o sube.

Marco legal en Chile: Ley 21.663 e ISO 27001

La Ley 21.663 (Marco de Ciberseguridad) exige a las organizaciones que califiquen como Operadores de Importancia Vital (OIV) y servicios esenciales, mantener un programa de capacitación continua con evidencia auditable. La norma ISO 27001:2022 control A.6.3 exige lo mismo para certificación. Cumplir con ambos no es opcional: no hacerlo expone a sanciones y daño reputacional.

Preguntas frecuentes

¿Qué es el phishing en términos simples?+

El phishing es una técnica de engaño en la que un atacante se hace pasar por una entidad de confianza (banco, SII, RRHH, un compañero de trabajo) para que la víctima entregue información sensible o haga clic en un enlace malicioso. Se ejecuta por email, SMS (smishing) o llamadas (vishing).

¿Cuáles son los tipos de phishing más comunes en empresas chilenas?+

Email masivo (SII, bancos), spear phishing dirigido, smishing por SMS, vishing por llamadas y BEC/CEO Fraud que suplanta ejecutivos para autorizar transferencias.

¿Cómo puedo prevenir el phishing en mi empresa?+

Con tres capas: tecnología (filtros, MFA, EDR), procesos (doble verificación, política de reporte) y personas (capacitación continua + simulacros realistas).

¿Qué hago si un colaborador cayó en un phishing?+

Cambiar contraseñas y revocar sesiones, revisar logs, contactar al banco si hay datos financieros, reportar a CSIRT/ANCI según Ley 21.663, notificar privacidad si hay datos personales (Ley 21.719) y entrenar al colaborador sin estigmatizar.