¿Qué es el Phishing y la Ingeniería Social?
El phishing es una técnica de ataque que utiliza comunicaciones falsas (correos electrónicos, mensajes de texto, llamadas telefónicas) para engañar a las personas y hacerles revelar información confidencial, descargar malware o transferir fondos a cuentas controladas por atacantes.
La ingeniería social es el término más amplio que engloba todas las técnicas de manipulación psicológica. El phishing es una de sus formas más comunes, pero incluye también vishing (por teléfono), smishing (por SMS), pretexting (crear escenarios falsos) y baiting (cebos físicos o digitales).
En Chile, los ataques de phishing aumentaron un 67% en 2025, con especial foco en el sector financiero, retail y salud. Los correos fraudulentos imitando al SII, bancos y proveedores de servicios son los más frecuentes.
Técnicas de Phishing Más Usadas en Chile en 2026
Spear Phishing
Ataques personalizados dirigidos a una persona específica. El atacante investiga previamente a la víctima en LinkedIn, redes sociales y la web corporativa para crear mensajes extremadamente creíbles. Un ejecutivo puede recibir un correo que menciona su nombre, su proyecto actual y su jefe directo.
Business Email Compromise (BEC)
El atacante compromete o imita una cuenta de correo corporativa legítima para solicitar transferencias bancarias urgentes, cambios de datos de proveedores o acceso a información confidencial. En Chile, el BEC generó pérdidas millonarias en empresas medianas en 2025.
Phishing por WhatsApp
Links maliciosos enviados por WhatsApp, a menudo desde cuentas de contactos comprometidos. La confianza implícita en el canal y el ambiente informal hacen que los usuarios hagan clic sin verificar la legitimidad del enlace.
Quishing (QR Phishing)
Códigos QR maliciosos en correos, documentos o incluso en físico que redirigen a páginas de robo de credenciales. Los filtros de email tradicionales no pueden escanear el contenido de un código QR.
Estrategias de Capacitación del Personal
Simulacros de phishing
La forma más efectiva de capacitar es enviar correos de phishing simulados a los empleados y medir quién hace clic. No para sancionar, sino para identificar quién necesita más entrenamiento. Las plataformas especializadas (KnowBe4, Proofpoint, Cofense) automatizan este proceso.
Capacitación basada en roles
El CEO, el CFO y el equipo de finanzas necesitan capacitación diferente al equipo de ventas. Los ataques BEC apuntan a personas con autoridad financiera. Personalice el entrenamiento según el perfil de riesgo de cada rol.
Protocolos de verificación
Establezca procedimientos claros: ante cualquier solicitud de transferencia bancaria, cambio de datos de proveedor o acceso urgente a sistemas, siempre verificar por un canal alternativo (llamada telefónica al número conocido, no al que viene en el correo sospechoso).
Medidas Técnicas Preventivas
La capacitación por sí sola no es suficiente. Combine el factor humano con controles técnicos: implementación de DMARC, DKIM y SPF en su dominio de correo para evitar spoofing, filtros antispam y antiphishing en el servidor de correo, autenticación multifactor en todos los accesos críticos (incluso si alguien roba una contraseña, no puede usarla sin el segundo factor), y DNS filtering que bloquee automáticamente dominios maliciosos conocidos antes de que el usuario pueda acceder a ellos.
El 95% de los ataques de phishing exitosos podrían haberse detenido con MFA activo. Es la medida preventiva con mejor relación costo-impacto frente al phishing.
Conclusión
El phishing seguirá siendo la puerta de entrada preferida de los atacantes porque funciona. La defensa efectiva combina capacitación continua del personal, simulacros regulares, controles técnicos (DMARC, MFA, DNS filtering) y un protocolo claro de verificación ante solicitudes sensibles. Ninguna de estas medidas es suficiente sola — la seguridad contra phishing es por capas.