Phishing en Chile: cómo reconocer un mensaje falso y qué hacer

por
Información verificada · Actualizado
Autor Equipo HackingChile Fraude digital · Ciberseguridad · Chile
Revisión editorial Verificado con fuentes técnicas y normativa chilena vigente
Última actualización Actualizado

El phishing es el ciberataque más frecuente en Chile. Correos, SMS y mensajes de WhatsApp que simulan ser de tu banco, del SII o de una empresa de delivery engañan a miles de personas cada año. Esta guía explica cómo reconocerlos, qué señales buscar y qué hacer si ya caíste en uno.

🎣 Phishing y smishing 🇨🇱 Contexto Chile 🔐 Enfoque defensivo 📋 Contenido actualizado
📋 Qué es ⚡ Tipos 🔍 Señales 📧 Ejemplos Chile 💬 WhatsApp ⚠️ Si caíste ❓ FAQ

El phishing en Chile ha crecido de forma sostenida en los últimos años. Los atacantes suplantan principalmente a bancos (Banco Estado, Banco de Chile, Santander), organismos públicos (SII, Tesorería), empresas de delivery (Correos de Chile, DHL) y plataformas de retail (Falabella, Ripley, MercadoLibre). El objetivo siempre es el mismo: que entregues tus credenciales, datos bancarios o que hagas clic en un enlace malicioso.

¿Qué es el phishing?

El phishing es una técnica de fraude digital en la que el atacante se hace pasar por una entidad de confianza — un banco, una empresa, un organismo público o un contacto conocido — para engañar a la víctima y que entregue información confidencial o realice una acción que comprometa su seguridad.

El nombre viene del inglés «fishing» (pescar): el atacante lanza el anzuelo esperando que alguna víctima pique. A diferencia de los ataques técnicos, el phishing no explota vulnerabilidades de software sino vulnerabilidades humanas: la confianza, la urgencia y el miedo.

Qué busca el atacante

  • Credenciales de banca online
  • Número de tarjeta y CVV
  • Contraseñas de correo y redes sociales
  • Datos personales (RUT, fecha de nacimiento)
  • Que instales malware en tu dispositivo
  • Que autorices una transferencia bancaria

Cómo llega el mensaje

  • Correo electrónico (phishing clásico)
  • SMS (smishing)
  • WhatsApp y otras apps de mensajería
  • Llamada telefónica (vishing)
  • Redes sociales
  • Anuncios pagados en buscadores

Tipos de phishing más comunes en Chile

📧

Phishing por correo

El más clásico. Un correo que simula ser de tu banco, del SII o de una empresa conocida te pide que hagas clic en un enlace y entres tus datos en una web falsa.

📱

Smishing (SMS)

Mensaje de texto que simula ser de tu banco o Correos de Chile con un enlace urgente. Muy efectivo porque los SMS generan más confianza que los correos.

📞

Vishing (llamada)

Llamada de alguien que dice ser del banco, del SII o de Carabineros. Usa urgencia y autoridad para que entregues datos o autorices una transacción.

🎯

Spear phishing

Ataque personalizado dirigido a una persona específica usando información real sobre ella. Más difícil de detectar porque incluye datos verídicos del objetivo.

👔

Whaling

Spear phishing dirigido a ejecutivos o directivos de empresas. Simula ser de un socio, proveedor o del directorio para obtener transferencias o información confidencial.

🔎

Phishing en buscadores

Anuncios pagados en Google que aparecen sobre los resultados reales al buscar «banco estado login» o «SII claveúnica». Llevan a webs falsas casi idénticas al original.

Señales para reconocer un mensaje de phishing

Ninguna señal por sí sola confirma que es phishing, pero la combinación de varias es suficiente para sospechar. Estas son las más frecuentes:

🚩 Señales de alerta en el mensaje

  • Urgencia artificial («Tu cuenta será bloqueada en 24h»)
  • Amenaza o premio inesperado
  • Remitente con dominio extraño (bansco-chile.com)
  • Errores ortográficos o de redacción
  • Saludo genérico («Estimado cliente»)
  • Te piden la clave o datos bancarios
  • Enlace que no coincide con el dominio oficial

🚩 Señales de alerta en el enlace

  • URL con guiones o números (banco-chile-login.com)
  • Dominio diferente al oficial al final de la URL
  • Sin HTTPS o con certificado inválido
  • URL acortada que oculta el destino real
  • Subdominio engañoso (bancochile.fraude.com)
  • La URL tiene el nombre del banco pero no es su dominio

⚠️ Lo que los atacantes saben hacer bien

Los mensajes de phishing modernos pueden tener el logo exacto de tu banco, un diseño impecable y sin errores ortográficos. El diseño visual ya no es una señal confiable. La señal más importante siempre es la URL — el dominio real adonde te lleva el enlace.

Ejemplos reales de phishing en Chile

Estos son los tipos de mensajes de phishing más frecuentes que circulan en Chile:

Ejemplo 1 — SMS que suplanta al Banco Estado
De: BancoEstado
Su cuenta ha sido bloqueada por actividad inusual. Para restaurar el acceso ingrese a: bancoestado-seguridad.cl/verificar
Responda STOP para cancelar notificaciones.
Ejemplo 2 — Correo que suplanta al SII
De: notificaciones@sii-chile-online.com
Asunto: URGENTE: Deuda tributaria pendiente — Acción requerida

Estimado contribuyente,
Hemos detectado una deuda tributaria de $487.320 a su nombre. Para evitar cargos adicionales debe regularizar su situación antes del [fecha]. Acceda aquí: sii-online-pago.cl
Ejemplo 3 — SMS que suplanta a Correos de Chile
Correos de Chile: Su paquete #CL7823941 está retenido en aduana. Pague $2.890 de arancel para liberarlo: correos-chile-pago.com/arancel

En todos los casos el patrón es el mismo: urgencia, una acción requerida y un enlace a una web falsa. Los dominios usados nunca son los oficiales — siempre hay algo diferente si miras con atención.

Phishing por WhatsApp: cómo funciona

El phishing por WhatsApp tiene una característica que lo hace especialmente peligroso: el mensaje suele venir de un contacto conocido cuya cuenta ya fue comprometida. Cuando tu amigo te manda un mensaje, confías en él automáticamente.

Los patrones más frecuentes son el reenvío de códigos de verificación («¿Puedes reenviarme este código que me llegó por error?»), la solicitud de dinero urgente haciéndose pasar por un familiar, y enlaces a sorteos o premios que llevan a páginas que piden tus datos.

Para entender cómo el phishing se relaciona con el compromiso de cuentas de mensajería y qué medidas concretas protegen tu cuenta, consulta nuestra guía de seguridad en WhatsApp.

Qué hacer si caíste en un phishing

Si introdujiste tus datos en una web falsa o hiciste clic en un enlace sospechoso, actúa de inmediato. El tiempo es crítico:

🚨 Pasos inmediatos si entregaste datos bancarios

  • 1. Llama a tu banco ahora — solicita bloqueo preventivo de tu cuenta y tarjetas
  • 2. Cambia tu contraseña de banca online desde otro dispositivo
  • 3. Revisa los movimientos recientes y reporta cualquier transacción no reconocida
  • 4. Denuncia ante la PDI Brigada del Cibercrimen
  • 5. Conserva capturas de pantalla del mensaje y la web falsa como evidencia

✅ Si solo hiciste clic en el enlace pero no entregaste datos

  • Cierra el navegador inmediatamente
  • Ejecuta un análisis de malware en tu dispositivo
  • Cambia las contraseñas de tus cuentas principales por precaución
  • Activa la verificación en dos pasos en cuentas críticas
  • Monitorea tus cuentas bancarias durante los próximos días

Preguntas frecuentes sobre phishing en Chile

Respuestas directas sobre mensajes falsos y fraude digital en Chile.

Correcto. Ningún banco legítimo en Chile te pedirá tu clave, número de tarjeta, CVV ni código de verificación por correo, SMS, WhatsApp o llamada telefónica. Si recibes ese tipo de solicitud, es phishing independientemente de lo convincente que parezca el mensaje.
En el móvil, mantén presionado el enlace para ver la URL completa antes de abrirlo. En el computador, pasa el cursor por encima del enlace y mira la barra de estado. Verifica que el dominio sea exactamente el oficial — no basta con que contenga el nombre del banco. Por ejemplo, «bancochile.com» es el real; «banco-chile-login.com» es falso.
No. El candado solo garantiza que la conexión está cifrada, no que el sitio es legítimo. Los atacantes pueden obtener certificados HTTPS gratuitos para sus webs falsas sin problema. El candado es necesario pero no suficiente — lo importante siempre es el dominio.
Sí. Puedes denunciar ante la PDI Brigada del Cibercrimen y reportar el dominio fraudulento al CSIRT Nacional (csirt.gob.cl). Si el phishing suplanta a un banco, también puedes reportarlo directamente al banco afectado — tienen equipos de fraude que pueden tomar acciones para dar de baja el dominio falso.
No. El SII no envía correos con enlaces para pagar deudas tributarias. Sus comunicaciones oficiales dirigen siempre al sitio sii.cl y nunca incluyen enlaces directos a formularios de pago. Si recibes un correo de este tipo, es phishing. Entra directamente a sii.cl desde el navegador para verificar tu situación tributaria real.
No hagas clic. Contacta a tu amigo por otro canal (llamada telefónica) para confirmar si realmente lo envió él. Si no lo envió, su cuenta probablemente está comprometida — avísale para que actúe de inmediato. Este patrón es muy frecuente: los atacantes usan cuentas comprometidas para enviar phishing a los contactos de la víctima.

¿Recibiste un mensaje sospechoso o caíste en un phishing?

Cuéntanos qué ocurrió y te orientamos sobre los pasos a seguir. Sin costo y sin compromiso.

Consultar por WhatsApp ✉ Consultar por email
✓ Sin costo ✓ Orientación informativa ✓ Tu información es confidencial
Aviso legal: HackingChile es un sitio de información sobre ciberseguridad. El contenido de este artículo tiene fines educativos e informativos y no sustituye asesoría técnica o legal especializada. Si eres víctima de fraude bancario, contacta a tu banco y a la PDI Brigada del Cibercrimen de inmediato.