Askesis
Ciberseguridad

Phishing en empresas: la principal vía de ataque en 2026

El phishing sigue siendo el vector de ataque más común en empresas chilenas. Aprende cómo funciona, qué tipos existen y cómo proteger a tu organización con simulaciones controladas.

Equipo Askesis20 de abril de 20268 min de lectura

El 91% de los ciberataques exitosos comienza con un correo electrónico de phishing. No es un problema de tecnología: es un problema de comportamiento humano. Y en 2026, con campañas de phishing generadas por IA que imitan a la perfección el estilo de comunicación de tu banco, tu jefe o el SII, la amenaza nunca ha sido mayor.

Para las empresas chilenas, el phishing es además el principal vector de entrada a incidentes que pueden violar la Ley 21.719, activando la obligación de notificación de brecha en 72 horas.

¿Qué es el phishing y por qué funciona?

El phishing es una técnica de ingeniería social donde el atacante suplanta una identidad legítima —tu banco, el SII, Microsoft 365, tu gerente— para engañar a la víctima y conseguir que:

  • Entregue credenciales (usuario y contraseña)
  • Descargue malware o un archivo adjunto malicioso
  • Autorice una transferencia bancaria fraudulenta
  • Acceda a un sitio web falso donde ingresa datos sensibles

Funciona porque explota sesgos cognitivos universales: urgencia, miedo y autoridad. Un correo que dice "Tu cuenta será bloqueada en 24 horas si no verificas tus datos" activa el sistema de respuesta de emergencia del cerebro, que prioriza la acción rápida sobre el análisis crítico.

Los tipos de phishing más comunes en Chile

Phishing masivo (spray-and-pray)

Correos genéricos enviados a millones de destinatarios. Ejemplo: "Tienes un reembolso del SII pendiente".

Aunque la tasa de éxito individual es baja (1–3%), el volumen compensa. Fácil de detectar con entrenamiento básico.

Spear phishing (ataque dirigido)

El atacante investiga a la víctima previamente (LinkedIn, web corporativa, redes sociales) y personaliza el ataque.

Ejemplo chileno: "Hola [nombre real], te habla [nombre real del contador]. Te reenvío la factura de [proveedor real] que necesita aprobación urgente antes del cierre." El adjunto contiene malware.

La tasa de éxito supera el 30% incluso en organizaciones con entrenamiento previo.

Whaling (caza de ballenas)

Spear phishing dirigido específicamente a ejecutivos de alto nivel. El objetivo suele ser autorizar transferencias (fraude BEC - Business Email Compromise) o acceder a información estratégica.

Costo promedio de un ataque BEC exitoso: USD 120.000 según el FBI Internet Crime Report 2024.

Vishing y smishing

El phishing por llamada de voz (vishing) y por SMS (smishing) aumentaron 340% en 2024. "Te llamamos del Banco Estado para verificar una transacción sospechosa" es un ejemplo típico.

Phishing por QR (quishing)

Nuevo y especialmente efectivo: un código QR malicioso en un documento aparentemente legítimo. La mayoría de las soluciones de seguridad de correo no analiza el contenido de las imágenes QR.

Por qué las empresas chilenas son especialmente vulnerables

Varios factores hacen que las PYMEs chilenas sean objetivos atractivos:

  1. Bajo nivel de cultura de seguridad: La mayoría de los empleados nunca ha recibido entrenamiento formal en ciberseguridad.

  2. Uso masivo de herramientas internacionales con poca configuración de seguridad: Microsoft 365, Google Workspace y WhatsApp Business usados sin políticas de seguridad adecuadas.

  3. Contexto regulatorio nuevo: La Ley 21.719 genera urgencia entre las empresas, y los atacantes la aprovechan. "Notificación oficial de la Agencia de Datos: debe completar su registro antes del 30 de abril" es un gancho perfecto.

  4. Confianza en relaciones conocidas: Las PYMEs trabajan con proveedores y clientes con los que tienen relaciones personales. Un email que simula esa familiaridad es difícil de cuestionar.

El ciclo de un ataque de phishing exitoso

Entender cómo funciona un ataque ayuda a diseñar mejores defensas:

  1. Reconocimiento: El atacante recopila información sobre la empresa, sus empleados y sus proveedores.
  2. Preparación: Crea el email o sitio falso, registra un dominio similar (askesis-cl.com en lugar de askesis.cl).
  3. Envío: Lanza la campaña, normalmente entre las 9 y 11 AM de un martes o miércoles (máxima tasa de apertura).
  4. Explotación: La víctima hace clic, ingresa credenciales o descarga el archivo.
  5. Persistencia: El atacante establece acceso permanente (backdoor) antes de ejecutar el objetivo principal.
  6. Exfiltración o daño: Roba datos, cifra archivos (ransomware), o realiza transferencias fraudulentas.

El tiempo promedio entre el clic inicial y el robo de datos: menos de 2 horas.

Cómo proteger tu empresa: la defensa en profundidad

No existe una solución única. La defensa efectiva combina múltiples capas:

Capa tecnológica

Email filtering: Soluciones como Microsoft Defender for Office 365 o Google Workspace Advanced Protection filtran el 95%+ del phishing masivo.

MFA obligatorio: La autenticación multifactor neutraliza el robo de contraseñas. Aunque el empleado entregue sus credenciales, el atacante no puede acceder sin el segundo factor.

DNS filtering: Bloquea el acceso a sitios maliciosos conocidos antes de que el usuario llegue a ellos.

DMARC, SPF y DKIM: Configurar estos registros DNS para tu dominio evita que otros envíen emails suplantando tu empresa.

Capa de procesos

Protocolo de verificación: Para transferencias sobre cierto monto, siempre verificar por teléfono al número conocido (nunca al que aparece en el email).

Clasificación de información: No todo empleado necesita acceso a todo. El principio de mínimo privilegio limita el daño si una cuenta es comprometida.

Gestión de incidentes: Un protocolo claro de qué hacer al detectar un posible phishing (reportar, no reenviar, no hacer más clics).

Capa humana: la más importante

La tecnología puede filtrar el 95% del phishing, pero ese 5% que llega a la bandeja de entrada depende del juicio del empleado. Por eso el entrenamiento continuo es la defensa más efectiva a largo plazo.

Los estudios muestran que:

  • Un empleado sin entrenamiento cae en el 30–35% de los simulacros de phishing
  • Después de un entrenamiento puntual, baja al 15–20%
  • Con entrenamiento continuo y simulacros regulares, baja al 2–5%

El rol de los simulacros de phishing controlados

Los simulacros de phishing —campañas de phishing ficticias enviadas por la propia empresa a sus empleados— son la forma más efectiva de entrenamiento. A diferencia de las charlas o videos, ponen al empleado en situación real y generan un aprendizaje experiencial difícil de olvidar.

Un buen programa de simulacros incluye:

  1. Campañas regulares (mensual o bimestral) con diferentes pretextos
  2. Feedback inmediato al empleado que hace clic
  3. Inscripción automática en un módulo formativo específico
  4. Reportes de evolución para el administrador

Askesis incluye un simulador de phishing con 5 plantillas adaptadas al contexto chileno (SII, bancos, plataformas Microsoft, RRHH corporativo). Los empleados que hacen clic se inscriben automáticamente en el curso de concienciación correspondiente. Puedes gestionar tus campañas desde Admin > Phishing.

Señales de alerta: cómo reconocer un phishing

Enseña a tu equipo a buscar estas señales:

  • Urgencia artificial: "Tienes 24 horas para...", "Acción requerida inmediatamente"
  • Dirección de remitente sospechosa: banco@seguridadbancochile.com en lugar de @bancodechile.cl
  • Saludo genérico: "Estimado cliente" en lugar de tu nombre real
  • Links que no coinciden: al pasar el mouse sobre el link aparece una URL diferente
  • Solicitud inusual: tu jefe nunca te pide hacer transferencias por email sin aprobación previa
  • Errores ortográficos y de formato: aunque con IA estos son cada vez menos frecuentes
  • Archivos adjuntos no solicitados: especialmente .exe, .zip, .docm, .xlsm

Conclusión

El phishing no es un problema tecnológico, es un problema humano. Y los problemas humanos se resuelven con educación, práctica y procesos bien diseñados.

La buena noticia es que una empresa cuyos empleados han sido entrenados y simulados regularmente puede reducir su tasa de compromiso por phishing hasta en un 90%. Eso no es solo ciberseguridad: en el contexto de la Ley 21.719, es también prevención de brechas que podrían desencadenar multas y notificaciones obligatorias.

¿Cuántos de tus empleados caerían en un phishing hoy? Configura tu primera campaña de simulación en Askesis y descúbrelo antes de que lo haga un atacante real.

Temas relacionados:

phishing simulado empresasphishing empresas chilecapacitación anti-phishingcómo protegerse phishing empresa

¿Quieres saber qué tan preparada está tu empresa?

Realiza el análisis de brecha Ley 21.719 gratuito de Askesis y obtén un diagnóstico en menos de 10 minutos.

Hacer el análisis gratis
Volver al blog