1. Phishing (suplantación de identidad por correo electrónico)

Técnica de engaño consistente en el envío de correos electrónicos fraudulentos en los que un ciberdelincuente se hace pasar por una entidad legítima (banco, servicio conocido, etc.) con el fin de obtener información confidencial del usuario (contraseñas, números de tarjetas, etc.). Estos mensajes suelen imitar muy bien el formato de comunicaciones oficiales e instan al receptor a hacer clic en un enlace hacia un sitio falso o a responder con datos personales. El phishing aprovecha la confianza de la víctima en la marca suplantada (p. ej., un correo que aparenta ser de su banco) para robar credenciales o inducir acciones perjudiciales. Es uno de los métodos más utilizados en Chile y el mundo para el robo de cuentas y datos financieros.

2. Smishing (phishing por SMS)

Variante de phishing que utiliza mensajes de texto (SMS) en lugar de emails. El atacante envía un SMS que aparenta provenir de una fuente confiable (banco, compañía telefónica, ente gubernamental) e incluye generalmente un enlace malicioso. Al hacer clic, la víctima es llevada a un sitio falso o descarga malware. En Latinoamérica ha proliferado este método; por ejemplo, mensajes bancarios alertando de “actividad inusual” con un link para “verificar”, que en realidad roba credenciales. El smishing busca engañar a las personas para que revelen información personal o financiera mediante SMS fraudulentos con enlaces maliciosos.

3. Vishing (phishing telefónico)

Consiste en intentos de engaño a través de llamadas de voz (teléfono tradicional o VoIP). Los atacantes se hacen pasar por personal de confianza –como soporte técnico, banco, policía, etc.– y mediante ingeniería social persuaden a la víctima para que entregue datos sensibles o realice alguna acción (como instalar software). El vishing es una técnica de ingeniería social donde el ciberdelincuente llama por teléfono a la víctima y, con pretextos convincentes, trata de obtener información privada (contraseñas, códigos) o incluso transferencias de dinero. Un ejemplo común es la llamada que aparenta ser del banco indicando movimientos sospechosos y pidiendo confirmar claves o códigos de autenticación. En Chile se han reportado numerosas estafas de este tipo, aprovechando la confianza o el pánico de la víctima.

4. Spoofing (suplantación de identidad técnica)

En ciberseguridad, spoofing se refiere al uso de técnicas para falsificar la identidad de origen en una comunicación o transacción. Implica que un atacante se hace pasar por una entidad o usuario legítimo mediante la falsificación de datos (como direcciones IP, encabezados de email, nombres de dominio, número de teléfono, etc.). El objetivo es engañar a sistemas o personas haciéndoles creer que interactúan con una fuente confiable. Ejemplos: IP spoofing (envío de paquetes con una dirección IP de origen falsa, útil en ciertos ataques DDoS), email spoofing (forjar la dirección del remitente en un correo para que parezca provenir de otra persona) o caller-ID spoofing (falsificar el número que aparece en una llamada telefónica). El spoofing, en resumen, es suplantación técnica de identidad para pasar controles de autenticidad y ganarse la confianza de la víctima.

5. Malware (software malicioso)

Término genérico para cualquier programa o código informático creado con intenciones maliciosas. Incluye virus, gusanos, troyanos, spyware, ransomware, adware malicioso, rootkits, entre otros. Un malware ejecuta acciones dañinas en el sistema de la víctima sin su conocimiento: robar información, espiar la actividad, tomar control del equipo, cifrar archivos, degradar el funcionamiento, etc. es.wikipedia.org. Por ejemplo, un troyano es un malware que se presenta como un programa legítimo pero, al ejecutarlo, otorga acceso al atacante o roba datos (tal como el spyware), mientras que un gusano es un malware capaz de propagarse automáticamente a otros equipos en la red. El malware puede entrar vía archivos adjuntos infectados, descargas fraudulentas, memorias USB, vulnerabilidades sin parchar, etc. En Chile, la instalación de malware ha estado detrás de incidentes de robo masivo de información corporativa y de ataques disruptivos (como el ransomware, que es un tipo de malware de extorsión). En resumen, cualquier código maligno diseñado para infiltrarse o dañar un sistema es considerado malware malwarebytes.com.

6. Ransomware (secuestro de datos)

Tipo de malware particularmente dañino que restringe el acceso a archivos o sistemas, pidiendo un rescate (generalmente en criptomonedas) a cambio de restaurar el acceso. El ransomware suele cifrar los archivos del equipo o bloquear la pantalla del sistema infectado, mostrando luego un mensaje de extorsión. En español se le denomina a veces “secuestro de datos”, pues retiene la información o dispositivos como rehenes hasta que la víctima pague. Hoy en día, la mayoría de grupos de ransomware también roban datos antes de cifrarlos, amenazando con filtrarlos si no se paga (doble extorsión). Ejemplos famosos globales: WannaCry, Ryuk, Conti, LockBit, etc. En Chile ha habido múltiples ataques de ransomware en los últimos años (BancoEstado 2020, SernamEG 2021, Sernac 2022, U. Chile 2022, Gobierno Regional 2024, ISP 2025, etc.), afectando tanto a entes públicos como privados. La recomendación ante un ransomware es no pagar (para no financiar a los delincuentes) y contar con backups y planes de contingencia, aunque como se mencionó, si hay riesgo de filtración de datos la disyuntiva se vuelve compleja. Técnicamente, el ransomware se propaga comúnmente mediante phishing (adjuntos o enlaces maliciosos) o explotación de servicios expuestos, y una vez ejecutado cifra archivos con algoritmos fuertes (RSA, AES) cuyos claves solo poseen los atacantes.

7. DDoS (Ataque de Denegación de Servicio Distribuido)

Es un ataque dirigido a interrumpir la disponibilidad de un servicio o servidor saturándolo con un enorme volumen de tráfico o peticiones simultáneas. DDoS por sus siglas en inglés significa Distributed Denial of Service, o Denegación de Servicio Distribuida. En estos ataques, el agresor suele controlar una red de equipos infectados (botnet) para que, todos a la vez, envíen solicitudes masivas contra el objetivo (por ejemplo, un sitio web, un servidor DNS, una API), sobrecargando su ancho de banda o recursos hasta que colapse y quede fuera de línea. Es comparable a que millones de personas intenten entrar por una puerta a la vez: el sistema no puede atender tantas y deja de responder a usuarios legítimos. Los DDoS no buscan robar datos sino tumbar servicios, ya sea para extorsionar (a veces se exige un pago para cesar el ataque), como acto hacktivista de protesta, o para crear distracciones mientras ocurren intrusiones por otro lado. En Chile se han registrado ataques DDoS contra sitios gubernamentales (por ejemplo, portales del poder judicial en ciertos juicios mediáticos), contra medios de comunicación y plataformas financieras, usualmente de corta duración. Mitigar DDoS requiere infraestructura elástica, redes de distribución de contenido (CDN) y filtrado del tráfico malicioso antes de que llegue al servidor objetivo.

8. BEC (Business Email Compromise)

Modalidad de estafa altamente dirigida en la cual los atacantes suplantan cuentas de correo corporativo de alto nivel (gerentes, CEO, proveedores) o consiguen acceder a ellas, para engañar a empleados de una empresa y provocar transferencias de fondos o filtración de datos confidenciales. En un ataque de BEC típico, el ciberdelincuente compromete una cuenta de email legítima (o crea una muy similar) y la utiliza para, por ejemplo, ordenar al departamento financiero que realice una transferencia urgente a una cuenta controlada por los atacantes, o para pedir a un subordinado el envío de informes con datos sensibles. En Chile, varias empresas han sido víctimas de fraudes de esta naturaleza, especialmente durante la pandemia con el trabajo remoto. Según Kaspersky, un 28 % de las pymes que reportaron incidentes sufrió BEC. Este tipo de ataque se basa más en engaño y confianza que en malware: los atacantes estudian la organización, usan lenguaje adecuado y momentos oportunos (fines de semana, vacaciones del jefe) para que las víctimas no sospechen. Prevención: políticas de verificación adicional para solicitudes de movimientos financieros (ej. doble confirmación por teléfono), capacitación para detectar ligeras diferencias en direcciones de correo (john.doe@empresa.com vs john.doe@empresaa.com), y protección robusta de las cuentas de correo ejecutivas (MFA y monitoreo).

9. Secuestro de cuentas (Account Takeover)

Ataque en el que el adversario logra tomar control no autorizado de la cuenta en línea de una víctima, ya sea de correo electrónico, banca, redes sociales u otros servicios fortinet.com. Es una forma de robo de identidad digital: el atacante obtiene las credenciales (usuario/contraseña) o aprovecha alguna vulnerabilidad para acceder, y una vez dentro puede cambiar contraseñas, bloquear al legítimo dueño y usar la cuenta para sus fines (enviar phishing a contactos, hacer compras fraudulentas, robar información almacenada, etc.). Los métodos para secuestrar cuentas incluyen: el phishing (obteniendo credenciales directamente del usuario), la reutilización de contraseñas expuestas en brechas previas (credential stuffing), ataques de fuerza bruta o adivinación de contraseñas débiles, o técnicas como SIM swapping (duplicar la SIM del teléfono de la víctima para burlar el 2FA vía SMS y tomar cuentas asociadas al número). Un ejemplo muy común es el secuestro de cuentas de WhatsApp mediante engaños con códigos de verificación: el atacante se hace pasar por un contacto o soporte técnico y convence al usuario de enviarle el código SMS que llegó a su teléfono, con lo cual registra el WhatsApp de la víctima en otro dispositivo. Otra variante es la toma de cuentas de correo para luego resetear contraseñas de otros servicios vinculados. El secuestro de cuentas constituye una grave amenaza porque muchas personas reutilizan contraseñas; si una credencial de un servicio menor se filtra, los atacantes prueban esas combinaciones en servicios críticos (email, banca, comercio electrónico). Por eso se insiste en usar contraseñas únicas y segundos factores de autenticación, para mitigar el riesgo de Account Takeover.

10. Defacement (desfiguración de sitios web)

Ataque que consiste en modificar ilícitamente la apariencia visual o contenido de un sitio web, generalmente la página de inicio, para difundir un mensaje no autorizado o simplemente vandalizar la página. Es equivalente a un “grafiti digital” sobre la web víctima. Suele ser realizado explotando vulnerabilidades en el servidor web, CMS o credenciales de administrador obtenidas. El defacement (también llamado desfiguración o web vandalism) típicamente reemplaza la portada del sitio por otra con mensajes del atacante – a veces propaganda política, consignas hacktivistas, amenazas o su firma en línea. Aunque por lo general no compromete datos internos, sí afecta la imagen de la entidad atacada y puede ser una distracción para otras intrusiones. En Chile ha habido casos de defacement a sitios municipales, pequeñas empresas e incluso sitios estatales de bajo perfil, usualmente por hackers aficionados o activistas. Un caso regional reciente ocurrió en Uruguay (2025), donde el sitio de un canal público de Montevideo fue defaceado con imágenes generadas por IA de candidatos políticos en situaciones embarazosas. La motivación suele ser demostrar una vulnerabilidad o hacer pasar un mensaje; su impacto es principalmente reputacional. La restauración implica reinstaurar los archivos originales y parchear la brecha usada para el acceso.

(Nota: Existen muchas otras técnicas; estas son las más relevantes en el contexto chileno actual. A menudo se combinan: un ransomware puede entrar vía phishing, un BEC puede iniciarse tras un secuestro de cuenta, etc.)

🔚 Conclusión

Este glosario no es teoría: es el catálogo real de las armas usadas contra empresas chilenas. Si tu equipo no está ensayando estas técnicas bajo condiciones controladas, la práctica la hará un atacante — en producción.

En Hackanary te sometemos a estas mismas tácticas antes de que sea tarde. Resultados claros, plan de mitigación inmediato y acompañamiento hasta cerrar cada brecha.