Las cuentas de WhatsApp Empresarial o WhatsApp Business son cada vez más utilizadas en empresas chilenas. Sin embargo, este canal de comunicación directa y confiable se ha convertido en un terreno fértil para ataques de ingeniería social y fraudes digitales sofisticados.

Los ciberdelincuentes han perfeccionado sus tácticas, utilizando inteligencia artificial, suplantación de identidad y técnicas automatizadas. Si tu empresa no protege correctamente este canal, podría estar facilitando su propio sabotaje sin darse cuenta.

Cifras de fraude en aumento

Según un informe reciente de Kaspersky, WhatsApp eliminó casi 7 millones de cuentas falsas en el primer semestre de 2025, muchas de ellas asociadas a estafas con promesas de empleos, cobros falsos de paquetería, criptomonedas o beneficios gubernamentales. Estas estafas se construyen con mensajes personalizados, vinculados a datos filtrados, que los hacen peligrosamente convincentes para víctimas empresariales o clientes empresariales.

Tácticas más utilizadas en fraudes vía WhatsApp Business

1. Suplantación de identidad de empresas
   Para enviar mensajes que parecen oficiales, vinculados a entrega pendiente o pagos urgentes. Esta práctica mina la confianza cliente-empresa, impactando directamente en la reputación y la credibilidad de tu negocio.

2. Mensajes personalizados con IA
   Aprovechan nombres, historial de compras o cargos para engañar. Esta personalización dificulta la detección de fraudes incluso a usuarios entrenados.

3. Ataques de ingeniería social con QR falsos o aplicaciones externas
   Pueden conducir a instalar apps maliciosas desde fuera de tiendas oficiales, que filtran datos o toman control remoto del dispositivo móvil.

4. Robos de códigos de verificación (SIM swapping o suplantación por soporte falso)
   El Incibe ha alertado sobre fraudes donde se engaña a los usuarios haciéndose pasar por soporte técnico, solicitando códigos de verificación que permiten secuestrar la cuenta.

Consecuencias para las empresas

• Impacto directo en operaciones y atención al cliente: Fraudes desde una cuenta legítima pueden cerrar un canal de confianza.

• Riesgo legal: Si se manejan datos personales sin protección, puedes enfrentar sanciones bajo la Ley de Protección de Datos.

• Costos altos de recuperación: Desde pérdida de clientes hasta necesidad de contratación de ciberseguridad externa para restablecer cuentas comprometidas.

Recomendaciones esenciales para blindar tu WhatsApp Business

1. Activar verificación de dos pasos (2FA)

Una de las defensas más efectivas. Sin este PIN, un atacante no puede completar el acceso, incluso si obtiene tu número o SMS de verificación.

2. Vigilar sesiones activas

Revocar accesos sospechosos desde «WhatsApp Web» es una acción rápida para cortar un posible secuestro en curso.

3. No escanear códigos QR de procedencia desconocida

Evita caer en engaños que permiten robo de cuenta o instalación de apps sospechosas.

4. Desactivar descargas automáticas

Esto ayuda a evitar la entrada accidental de malware vía archivos multimedia.

5. Educar al equipo en seguridad digital

Crea protocolos para validación de mensajes raros (por ejemplo, pagos o cambios de operación urgentes) y establece vías de verificación externa.

6. Establecer respuesta ante fraude

Incluye mecanismos como reporte interno, bloqueo de la cuenta, aviso a clientes y recuperación del acceso mediante soporte oficial.

También te podría interesar: Ciberseguridad: Experto Advierte Los Errores Millonarios

Conclusión: WhatsApp Business es útil, pero también vulnerable

Este canal no es solo una herramienta de comunicación; puede ser una puerta silenciosa para atacantes habilidosos. Cuanto más grande y activa tu empresa, más atractiva se convierte para ciberdelincuentes.

La seguridad no nace del uso, sino del cuidado en la gestión. En Cut Security diseñamos políticas seguras para WhatsApp Business, capacitamos equipos y configuramos protocolos que blindan este canal clave.

En Cut Security te ayudamos a proteger tus cuentas empresariales, diseñar protocolos seguros y capacitar a tu equipo para evitar fraudes que nacen en lo cotidiano.

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Fuente: ADN – Poder Judicial

Una nueva campaña de estafa digital que suplanta a BancoEstado fue alertada esta semana por el Poder Judicial de Chile, a través de su Oficina de Seguridad y el Área de Ciberriesgos de la Corporación Administrativa.

Se trata de un correo electrónico malicioso que utiliza la imagen del banco estatal y busca engañar a los usuarios para que entreguen sus credenciales bancarias, lo que ha derivado en robo directo de dinero desde las cuentas afectadas.

¿Cómo funciona la estafa?

El mensaje se envía de manera masiva y aparenta ser una comunicación oficial de BancoEstado, en la que se solicita a los destinatarios actualizar datos personales mediante un enlace. El texto, además, amenaza con una supuesta multa o bloqueo de cuenta si no se realiza la acción indicada.

Al hacer clic, los usuarios son dirigidos a una página web falsa que simula ser el sitio oficial del banco. En esa página se solicitan datos sensibles como:

• Número de RUT

• Clave bancaria

• Número de tarjeta

• Número de teléfono

Una vez ingresada la información, los delincuentes redirigen automáticamente al sitio real de BancoEstado, con el objetivo de no levantar sospechas inmediatas. Sin embargo, con los datos ya en su poder, acceden a la cuenta real de la víctima y realizan movimientos bancarios no autorizados.

Advertencias y recomendaciones oficiales

Las autoridades recomendaron que, en caso de recibir este tipo de correos:

• No se haga clic en los enlaces ni se descargue ningún archivo adjunto.

• Se elimine inmediatamente el mensaje.

En caso de haber ingresado los datos por error, se aconseja:

1. Contactar de inmediato al banco y solicitar bloqueo de la tarjeta de coordenadas o claves.

2. Cambiar las contraseñas del correo electrónico y de otros servicios donde se utilicen las mismas claves.

3. Revisar los movimientos recientes en la cuenta bancaria y activar notificaciones por posibles transacciones no reconocidas.

Contexto: campañas masivas y suplantación institucional

Este tipo de correos con identidad falsa de instituciones públicas o financieras no es nuevo. Lo que preocupa en este caso es el nivel de detalle y sofisticación de la página falsa, así como la aparente verosimilitud del mensaje, que usa lenguaje formal y logos oficiales.

Las campañas de phishing bancario en Chile se han vuelto más frecuentes en 2025, afectando tanto a personas naturales como a cuentas de empresas, especialmente en contextos donde se simulan multas, actualizaciones de seguridad o problemas con pagos pendientes.

También te podría interesar: Ciberseguridad: Experto Advierte Los Errores Millonarios

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

La ciberseguridad en Chile ya no es solo un tema técnico: es un asunto de continuidad operativa, cumplimiento legal y reputación empresarial. Así lo afirma Alexis Campos, especialista en seguridad ofensiva de Cut Security by Grupotech, quien conversó en su entrevista para varios medios sobre ransomware, leyes clave y los errores que están costando millones a empresas de todos los tamaños.

Ransomware en Chile: ataques menos masivos, pero más inteligentes

En el último año, se han registrado cerca de 29.000 ataques de ransomware en Chile. Aunque el volumen total de intentos de ciberataque bajó respecto a años anteriores (6.000 millones en 2023), los ataques actuales son más dirigidos y sofisticados. Y el costo promedio de una infección exitosa supera los 300 mil dólares por incidente.

Según Campos, estos ataques afectan a hospitales, bancos, retail y pymes por igual, y muchas veces tienen consecuencias legales, económicas y operativas devastadoras.

Los errores empresariales que abren la puerta al cibercrimen

Cut Security ha detectado patrones comunes en empresas chilenas:

• Sistemas sin actualizar ni parches de seguridad aplicados

• Falta de autenticación multifactor (MFA) en accesos críticos

• Personal sin capacitación ante técnicas de phishing

• Ausencia de un plan de respuesta a incidentes actualizado

• No contar con ciberseguros ni respaldo de datos offline

Más del 60 % de las empresas en Chile no cuenta con un plan formal frente a ciberataques. En la práctica, esto significa que la improvisación es la respuesta más común cuando ocurre un incidente.

Nueva Ley de Ciberseguridad: cumplimiento obligatorio

Con la entrada en vigor de la Ley Marco de Ciberseguridad (21.663), las empresas chilenas enfrentan nuevas exigencias:

• Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)

• Designar un delegado de ciberseguridad

• Reportar incidentes al CSIRT en un máximo de 3 horas

• Multas de hasta 10.000 UTM por incumplimiento

Además, la Ley de Protección de Datos (21.719), que entra en plena vigencia en 2026, eleva aún más las sanciones por mal uso de información personal.

“La ciberseguridad y el compliance ya no son opcionales. Son parte del ADN empresarial”, afirma Campos.

Inteligencia Artificial: doble filo para empresas

Según el experto de Cut Security, la IA ya está presente en casi el 50 % de los ataques de ransomware en Chile. Mientras las empresas la usan para detectar amenazas, los delincuentes la emplean para:

• Generar phishing altamente creíble

• Escanear redes y vulnerabilidades de forma automatizada

• Personalizar campañas de ataque a gerentes y ejecutivos

Recomendaciones prácticas para empresas chilenas

Alexis Campos recomienda cinco acciones inmediatas:

1. Capacitar al personal: 80 % de los ataques comienzan por error humano

2. Actualizar sistemas y aplicar parches frecuentemente

3. Implementar MFA en todos los accesos críticos

4. Respaldar datos offline y validar recuperabilidad

5. Monitorear redes 24/7 con herramientas o mediante un SOC externo

Además, adoptar marcos como Zero Trust o certificar procesos bajo ISO 27001 refuerza tanto la defensa como la confianza de clientes y aliados.

También te podría interesar: Vulnerabilidades criticas: 6 encontradas en Windows

Conclusión: la prevención no es opcional

“Pensar como un atacante permite defender mejor”, dice Alexis Campos, quien lidera operaciones de ciberseguridad ofensiva en Cut Security. Esa experiencia —sumada a tecnologías defensivas y estrategia— es lo que marca la diferencia entre una empresa resiliente y una que pierde millones por no estar preparada.

Con más regulaciones, amenazas más avanzadas y clientes más exigentes, la única estrategia efectiva es anticiparse.

🔐 En Cut Security ayudamos a empresas chilenas a blindarse frente a amenazas reales. Evaluamos vulnerabilidades, implementamos políticas SGSI y fortalecemos tu entorno digital antes de que un atacante lo haga.

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Los ataques cibernéticos ya no se centran solo en vulnerar firewalls o infectar con malware. Hoy, los errores de configuración y falta de control sobre quién accede a qué información son una puerta abierta para filtraciones, fraudes y demandas.

¿Tu empresa sabe exactamente quién puede entrar a los sistemas más críticos? ¿Y qué pueden hacer una vez dentro?

En este artículo te explicamos por qué revisar los controles de acceso es una medida urgente (y no opcional), qué errores son comunes y cómo puedes solucionarlos.

¿Qué son los controles de acceso?

Los controles de acceso son políticas y configuraciones que determinan quién puede ver, modificar o eliminar información dentro de tus sistemas: desde tu ERP hasta los respaldos en la nube.

Estos controles pueden ser:

• Físicos: ingreso a oficinas, salas de servidores o centros de datos.

• Lógicos: autenticación en software, permisos en bases de datos o plataformas colaborativas.

• Administrativos: reglas internas sobre quién debe tener acceso a ciertos datos o sistemas, y por cuánto tiempo.

Los errores más comunes en empresas chilenas

1. Accesos heredados que nadie revisa
   Personas que ya no están en la empresa o cambiaron de rol y aún tienen permisos críticos.

2. Usuarios con privilegios innecesarios
   Muchas veces, empleados tienen acceso a más información de la que realmente necesitan.

3. Falta de segmentación
   Todos los usuarios acceden a los mismos documentos o bases, sin distinción según área o nivel jerárquico.

4. No se revocan accesos externos
   Proveedores o freelancers mantienen credenciales activas meses después de finalizar un proyecto.

5. Auditorías inexistentes
   Las empresas no revisan regularmente los logs ni hacen pruebas para validar la eficacia de los controles.

¿Qué riesgos genera un mal control de accesos?

• Filtración de datos sensibles: desde clientes hasta finanzas internas.

• Sabotaje interno o exfiltración deliberada.

• Pérdida de confianza por parte de clientes y partners.

• Sanciones legales si se incumple la Ley de Ciberseguridad o la Ley de Datos Personales.

• Ataques internos o movimientos laterales tras una brecha inicial.

Buenas prácticas para mejorar hoy mismo

✅ Aplica el principio de menor privilegio:
Cada usuario debe tener solo los accesos necesarios para su trabajo, ni más ni menos.

✅ Revisa accesos cada trimestre:
Haz un inventario de permisos por usuario y ajusta lo que ya no corresponde.

✅ Implementa autenticación multifactor (MFA):
Especialmente para accesos remotos o administrativos.

✅ Configura alertas por accesos inusuales:
Si alguien intenta ingresar a las 2:00 AM o desde una IP desconocida, debes saberlo.

✅ Elimina cuentas inactivas o duplicadas:
No deben existir cuentas huérfanas dentro de tus sistemas.

También te podría interesar: Intentos de Infiltración: 94 % de Empresas corren el riesgo

Conclusión: no puedes proteger lo que no controlas

Muchas filtraciones comienzan con una pregunta simple:

“¿Quién tenía acceso a eso?”

Y la respuesta es: más personas de las necesarias.

Si no revisas tus controles de acceso, estás asumiendo un riesgo innecesario. Los atacantes no siempre fuerzan la entrada; a veces solo caminan por una puerta mal cerrada.

En Cut Security te ayudamos a diagnosticar y cerrar esas brechas con auditorías de permisos, segmentación de privilegios y protocolos de acceso según tu tipo de negocio.

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Las cifras son claras:
El 94 % de las empresas en Chile ha enfrentado intentos de infiltración digital.
Y muchas ni siquiera se han enterado.

Los ciberataques actuales no siempre se manifiestan como un “hackeo” visible. La mayoría son sutiles, persistentes y automatizados, diseñados para observar, recolectar información y detectar puntos débiles antes de atacar.
¿Está tu empresa realmente protegida o solo parece estarlo?

¿Qué son los intentos de infiltración y por qué son tan frecuentes?

Los intentos de infiltración son acciones deliberadas para acceder a sistemas internos sin autorización, sin necesidad de generar una alarma evidente. No buscan siempre robar datos de inmediato, sino identificar brechas para luego explotarlas o vender el acceso.

Hoy, herramientas como IA ofensiva, bots automatizados y malware sin firma permiten que los atacantes simulen comportamiento humano o actúen desde dentro sin ser detectados.

Entre los vectores más comunes están:

• Phishing dirigido (spear phishing)

• Acceso vía contraseñas filtradas

• Aplicaciones mal configuradas (API, formularios, plugins)

• Dispositivos olvidados o mal protegidos (routers, cámaras, endpoints)

¿Por qué tu empresa puede ser vulnerable sin saberlo?

A diferencia de los ataques visibles, los intentos de infiltración operan en la sombra. Muchas empresas creen estar protegidas porque no han “sufrido un ataque”, cuando en realidad sí han sido exploradas.

Esto puede deberse a:

• Firewalls mal configurados

• Políticas de contraseñas débiles

• Falta de monitoreo 24/7

• Segmentación de red inexistente

• Permisos excesivos a usuarios comunes

La superficie de ataque se amplía cada vez más: teletrabajo, apps móviles, conexiones externas, y proveedores que acceden a tus sistemas.

Cómo detectar si te están intentando infiltrar

No basta con tener antivirus.

Las señales sutiles que podrían revelar intentos de infiltración incluyen:

• Aumentos anómalos de tráfico en horarios fuera de oficina

• Intentos de login fallidos desde IP extranjeras

• Usuarios inactivos con actividad reciente

• Cambios no autorizados en configuraciones de red

• Dispositivos conectados sin control

¿Qué proteger primero? Las prioridades clave

Toda empresa, grande o pequeña, debe empezar por:

1. Accesos privilegiados

Son la puerta de entrada a toda tu infraestructura. Define políticas de mínimo privilegio y autenticación robusta.

2. Aplicaciones críticas (ERP, CRM, Contabilidad)

Asegura que estén actualizadas, auditadas y monitoreadas.

3. Identidades digitales

Cada usuario es un potencial vector. Aplica MFA obligatorio y revocación inmediata ante rotación de personal.

4. Servicios expuestos

Revisa qué tienes publicado en internet: formularios, APIs, paneles de gestión, dashboards.

Cómo testear tu resistencia (y descubrir lo que no ves)

Una práctica imprescindible es la ejecución periódica de:

• Pruebas de penetración (Pentesting)
  Simulan ataques reales para detectar debilidades.

• Simulaciones de phishing
  Evalúan el comportamiento humano ante engaños.

• Auditorías de red y permisos
  Revisan configuraciones y accesos innecesarios.

• Inventario de activos TI
  Saber qué tienes es el primer paso para protegerlo.

Estas acciones no buscan solo detectar fallos, sino crear una cultura proactiva que evoluciona junto con las amenazas.

También te podría interesar: Datos Sin Valor:El Mito que Puede Costarle a tu Empresa

Conclusión: no se trata de si vas a ser atacado, sino de cuándo y cómo responderás

El 94 % de las organizaciones en Chile ya han vivido intentos de infiltración. Algunas los ignoraron, otras los detectaron.
La diferencia está en la preparación.

En Cut Security, te ayudamos a prevenir, detectar y actuar ante amenazas invisibles. Desde monitoreo continuo hasta simulaciones reales, te damos herramientas reales para proteger lo que no ves.

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.