El phishing encabeza, año tras año, los reportes de incidentes en Chile y el mundo. Según el Verizon DBIR 2024, el 68% de las brechas involucran un elemento humano, y la mayoría parte por un correo malicioso o una llamada convincente. A diferencia de exploits técnicos que pueden parcharse, la ingeniería social ataca al eslabón que no se parcha con un update.
En esta guía verás qué es exactamente el phishing, cómo opera la ingeniería social moderna (incluyendo IA generativa), los controles técnicos y de proceso que realmente funcionan, y cómo alinear tu empresa con la Ley 21.663 y la Ley 19.628 en Chile.
Tabla de contenidos
Panorama del phishing en 2024-2025
El phishing evolucionó de correos con faltas ortográficas a campañas indistinguibles de comunicaciones legítimas. La IA generativa permite producir textos en español neutro y chileno perfectos, clonar la voz de un gerente para un vishing (phishing por voz) o generar deepfakes de video para fraudes tipo CEO.
Un punto de inflexión reciente son los ataques AiTM (Adversary-in-the-Middle): kits como Evilginx2 o EvilProxy interceptan en tiempo real la sesión con Microsoft 365 o Google Workspace, robando la cookie de sesión tras el login y bypasseando MFA por SMS o TOTP.
Tipos de phishing e ingeniería social
No todos los ataques llegan por email genérico. Conocer las variantes ayuda a diseñar defensas específicas:
| Tipo | Canal | Objetivo típico |
|---|---|---|
| Phishing masivo | Credenciales genéricas, malware | |
| Spear phishing | Email personalizado | Empleados con acceso |
| Whaling / Fraude CEO | Email o WhatsApp | Ejecutivos, transferencias |
| Smishing | SMS | Banca, credenciales, MFA |
| Vishing | Llamada telefónica | Mesa de ayuda, reset de MFA |
| Quishing | Códigos QR | Cartas físicas, facturas falsas |
| BEC (Business Email Compromise) | Buzón comprometido | Desvío de pagos a proveedores |
El caso BEC en Chile
El Business Email Compromise es el ataque más costoso por incidente. Los atacantes comprometen el buzón de un proveedor, observan el ciclo de facturación y envían, desde el correo real, una instrucción de cambio de cuenta bancaria. Montos superiores a 50 millones CLP han sido desviados en casos reportados al CSIRT chileno.
Señales de alerta en correos y mensajes
Enseña a tu equipo a pausar y verificar cuando aparezcan estos indicadores:
- Urgencia artificial: "responde en 15 minutos o se bloquea la cuenta".
- Apelación a la autoridad: mensajes del "gerente" fuera del canal habitual.
- Dominio sutilmente distinto:
empresa-cl.comvsempresa.cl, o uso de caracteres Unicode similares. - Link con texto distinto al destino: siempre revisa el URL real al pasar el cursor.
- Adjuntos inesperados:
.zip,.html,.iso,.lnko documentos Office que piden habilitar macros. - Solicitudes atípicas: cambios de cuenta bancaria, compras de tarjetas de regalo, envíos de datos personales.
Controles técnicos que funcionan
La capacitación es necesaria pero insuficiente. Estos controles reducen drásticamente la tasa de éxito de un phishing:
1. Autenticación resistente a phishing
Implementa autenticación multifactor preferentemente con llaves FIDO2/WebAuthn (YubiKey, Titan Security Key) o passkeys. Estas tecnologías atan criptográficamente la autenticación al dominio real, por lo que un proxy AiTM no puede robarla. Para usuarios estándar, una app como Microsoft Authenticator con number matching ya eleva significativamente la barra.
2. Autenticación de correo: SPF, DKIM y DMARC
Si tu dominio no publica registros DMARC en modo p=reject, cualquiera puede spoofearlo. Siguiendo la guía de NIST SP 800-177, configura:
- SPF: lista los servidores autorizados a enviar por tu dominio.
- DKIM: firma digital por cada mensaje saliente.
- DMARC: política (
none→quarantine→reject) y reportes a un buzón de análisis.
3. Gateways de correo y sandbox
Soluciones como Microsoft Defender for Office 365, Proofpoint, Mimecast o Cisco Secure Email analizan URLs en tiempo real (time-of-click protection) y detonan adjuntos en sandbox antes de entregarlos. Complementa con reescritura de URL y banner de "correo externo".
4. Navegación segura y DNS filtrado
Cloudflare Gateway, Cisco Umbrella o Quad9 bloquean dominios maliciosos al nivel DNS. Combinado con SWG/CASB en laptops, detienen la carga incluso si el usuario hace clic.
5. Segmentación y menor privilegio
Incluso si roban credenciales, un modelo Zero Trust limita el daño: accesos condicionales por IP/dispositivo, separación de cuentas admin y revisión periódica de permisos.
Capacitación y simulacros
La cultura se construye con repetición y métricas. Un programa serio incluye:
Enfoque efectivo
- Onboarding obligatorio con cápsula de 20 min
- Simulacros trimestrales segmentados por rol
- Micro-refuerzos mensuales (3-5 min)
- Métrica de reporte, no solo de clic
- Cultura "sin castigo" por reportar
Lo que no funciona
- Capacitación anual de 2 horas sin refuerzo
- Avergonzar públicamente a quien cayó
- Solo medir clics, no reportes
- Simulacros obvios o siempre iguales
- Comunicación solo en español neutro (usar chilenismos)
Plataformas como KnowBe4, Hoxhunt, Proofpoint Security Awareness o Microsoft Attack Simulator automatizan campañas, seguimiento y remediación personalizada.
Qué hacer si un empleado cayó
Los primeros 30 minutos son críticos. Ten un playbook disponible offline:
- Revocar sesiones del usuario afectado (
Revoke-AzureADUserAllRefreshTokeno equivalente en Google). - Forzar cambio de contraseña y re-enrolamiento de MFA.
- Auditar reglas de buzón: auto-forward, auto-reply, delegaciones, reglas de filtrado ocultas.
- Aislar el endpoint mediante EDR si hubo descarga o ejecución.
- Preservar evidencia: cabeceras del correo, logs de autenticación, URLs involucradas.
- Evaluar alcance: ¿se accedió a SharePoint, OneDrive, CRM, bancos?
- Notificar al CSIRT interno, y si aplica al CSIRT de Gobierno, ANCI, clientes y reguladores.
Obligaciones legales en Chile
La Ley 21.663 Marco de Ciberseguridad obliga a operadores esenciales a reportar incidentes significativos al CSIRT Nacional y a la ANCI en plazos que van de 3 a 72 horas según la severidad. Un incidente de phishing que derive en exfiltración de datos, fraude BEC o compromiso de sistemas críticos califica en la mayoría de los casos.
La Ley 19.628 sobre Protección de la Vida Privada, en camino a modernizarse, exige proteger datos personales y —en la versión actualizada— notificar brechas que los afecten. Documenta tus controles técnicos y organizativos para demostrar cumplimiento.
¿Necesitas reforzar tu defensa contra phishing?
UpTech implementa MFA resistente a phishing, DMARC, gateways de correo y programas de concientización para empresas chilenas.
Ver servicios gestionados TI →Preguntas frecuentes
¿Cuál es la diferencia entre phishing e ingeniería social?
La ingeniería social es la disciplina de manipular personas para obtener información o acceso. El phishing es una técnica específica de ingeniería social que utiliza correos, SMS o sitios falsos para engañar a la víctima. Todo phishing es ingeniería social, pero no toda ingeniería social es phishing.
¿Qué es el spear phishing y por qué es tan peligroso?
El spear phishing es un ataque dirigido y personalizado contra una persona o rol específico, generalmente con acceso privilegiado. Usa información pública (LinkedIn, sitio corporativo, filtraciones) para parecer legítimo, por lo que los filtros masivos y la intuición de los usuarios suelen fallar.
¿La MFA elimina el riesgo de phishing?
Lo reduce drásticamente, pero no al 100%. Existen ataques como AiTM (Adversary-in-the-Middle) con kits como Evilginx que roban cookies de sesión aún con MFA SMS o TOTP. La protección robusta requiere llaves FIDO2/WebAuthn resistentes a phishing.
¿Cada cuánto debo capacitar a mi personal contra phishing?
Las mejores prácticas (NIST, ENISA, SANS) recomiendan capacitación obligatoria anual y simulacros de phishing al menos trimestrales. Los micro-refuerzos mensuales de 3-5 minutos son más efectivos que sesiones largas esporádicas.
¿Qué debo hacer si un empleado cayó en un phishing?
Actúa en minutos: revoca sesiones y fuerza cambio de contraseña; revisa reglas de reenvío y delegaciones del buzón; aísla el endpoint si descargó archivos; notifica al CSIRT interno; si hubo exfiltración de datos personales, evalúa obligaciones bajo la Ley 19.628.
Desplegamos awareness training, simulaciones de phishing y filtros anti-spoofing.
Conversemos: evaluamos sin costo cómo aplicarlo en tu empresa.