Uncategorized - Cut Security

Agencia Nacional de Ciberseguridad: ¿Te puede fiscalizar?

septiembre 3, 2025
Prevención y Normativas

La Agencia Nacional de Ciberseguridad (ANCI) es una de las piezas centrales de la nueva Ley Marco de Ciberseguridad (Ley 21.663), vigente desde julio de 2025 en Chile. No se trata de una oficina meramente técnica, sino de una entidad con atribuciones normativas, fiscalizadoras y sancionatorias. Y sí: muchas empresas pueden quedar bajo la supervisión directa de la ANCI.

¿Qué es la ANCI y cuál es su rol?

La ANCI es una entidad pública autónoma creada por ley, cuya misión es proteger la infraestructura digital del país, impulsar la coordinación sectorial y garantizar que las organizaciones cumplan con los estándares de ciberseguridad exigidos por la legislación chilena.

Las funciones principales de la ANCI incluyen:

Proponer y actualizar normas técnicas de ciberseguridad.
Exigir informes y diagnósticos de riesgo a las organizaciones reguladas.
Fiscalizar directamente a entidades definidas como OIV o Prestadoras de Servicios Esenciales.
Aplicar sanciones por incumplimientos o negligencias.
Coordinar acciones frente a incidentes de alto impacto.

La ANCI no actúa sola: trabajará en conjunto con otros organismos del Estado para asegurar un ecosistema digital más robusto, seguro y preparado ante amenazas constantes.

¿A qué tipo de empresas puede fiscalizar la ANCI?

La Agencia Nacional de Ciberseguridad no tiene una lista cerrada de instituciones fiscalizadas, pero prioriza sectores considerados críticos y de interés nacional, como:

Salud (clínicas, hospitales, prestadores privados)
Energía (distribuidoras, generadoras, transmisoras)
Transporte (ferrocarriles, aeropuertos, logística clave)
Telecomunicaciones y tecnologías
Instituciones financieras y fintech
Educación superior y centros de investigación

Cualquier organización que califique como Operador de Importancia Vital (OIV) o Prestador de Servicio Esencial (PSE) podrá estar bajo el escrutinio de la ANCI. Estos criterios serán definidos en detalle en los reglamentos que debe emitir la propia agencia, pero muchas empresas ya cumplen esas características sin saberlo.

Además, proveedores tecnológicos, empresas que manejan datos críticos o prestadores de infraestructura digital podrían ser objeto de fiscalización indirecta si están en la cadena de suministro de un OIV o PSE.

¿Qué atribuciones tiene la ANCI en la práctica?

La Agencia Nacional de Ciberseguridad tiene un mandato amplio y herramientas concretas para fiscalizar, entre ellas:

Solicitar reportes técnicos, protocolos y evidencia de cumplimiento.
Exigir la notificación obligatoria de incidentes en plazos que van desde 3 a 72 horas.
Realizar auditorías y visitas de inspección, con o sin previo aviso.
Imponer multas que pueden alcanzar las 20.000 UTM.
Instruir medidas correctivas obligatorias ante vulnerabilidades detectadas.

Esto convierte a la ANCI en un actor real y activo en el ecosistema digital, con consecuencias prácticas para las empresas que no tomen en serio la ciberseguridad.

Fiscalización directa vs. obligaciones generales

Incluso si tu empresa no es fiscalizada directamente por la ANCI, igual puede tener responsabilidades bajo la ley. Por ejemplo:

Debe notificar incidentes si afectan a usuarios o integridad de servicios.
Debe contar con medidas razonables de prevención.
Puede ser exigida por clientes o terceros a cumplir estándares mínimos si trabaja con datos críticos.

Además, la ANCI podrá emitir alertas y directrices técnicas que tendrán aplicación transversal en todos los sectores, como parte de su rol normativo.

¿Cómo prepararse desde ya para la ANCI?

Para evitar sanciones y adelantarse a los requerimientos de la Agencia Nacional de Ciberseguridad, se recomienda:

Levantar un diagnóstico de cumplimiento respecto a la Ley 21.663.
Definir responsables formales de ciberseguridad dentro de la empresa.
Revisar si tu organización podría ser considerada OIV o PSE.
Establecer procedimientos documentados para notificar incidentes.
Capacitar a la alta dirección y equipos técnicos sobre las exigencias de la ANCI.
Mantenerse informado sobre reglamentos y resoluciones que publique el organismo.

Muchas de estas acciones no requieren grandes inversiones, pero sí voluntad y estructura. Ignorar la figura de la ANCI es un error estratégico que puede costar caro.

También te podría interesar: Estafas de Trabajo por Telegram:Likes, Comentarios y Engaños

🔗 Conoce todas nuestras marcas

Cut Security forma parte del ecosistema digital de Grupotech.

Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Estafas de Trabajo por Telegram: Likes, Comentarios y Pagos Falsos

septiembre 1, 2025
Riesgos Digitales

Las estafas laborales digitales han evolucionado rápidamente, y una de las formas más comunes en 2025 son los fraudes por «tareas fáciles» en plataformas como Telegram o WhatsApp. Prometen ingresos por realizar acciones simples como dar «like», seguir cuentas o comentar publicaciones. Pero en realidad, se trata de esquemas para engatusar a las víctimas y luego robarles dinero.

Este tipo de fraude ha sido ampliamente reportado en América Latina, y también en Asia y Europa, debido a su bajo costo de ejecución para los estafadores y su alta tasa de éxito entre usuarios desprevenidos.

¿Cómo funcionan estas estafas?

Estos fraudes se conocen como task scams. Todo inicia con un mensaje inesperado, generalmente por WhatsApp o Telegram, invitando a una «oferta laboral remota» para ganar dinero rápido. La propuesta parece inocente: dar likes, seguir cuentas de redes sociales, comentar videos, etc.

Inicialmente, el estafador simula pagos reales (por ejemplo, te pagan $2.000 por comentar un video), y te invita a un grupo en Telegram donde se te asignan más tareas. Una vez ganado tu interés, te dicen que puedes ganar más si «inviertes» en tareas premium, como subir de nivel o completar pedidos prepagados.

Ahí empieza la trampa real: las supuestas inversiones se hacen por transferencias o criptomonedas, pero nunca se devuelven. La víctima sigue viendo falsas ganancias reflejadas en una web controlada por los estafadores, pero cuando intenta retirar el dinero, le exigen más pagos. Finalmente, lo bloquean.

También existen variantes en las que los estafadores dicen pertenecer a grandes marcas como Amazon, TikTok o Booking, y ofrecen «puestos temporales de promoción» en los que debes aumentar el engagement de ciertos productos o servicios.

Casos reales y escalada del problema

El grupo Malwarebytes alertó que estos fraudes se han globalizado en 2025, usando la imagen de empresas reales o incluso figuras conocidas. Según WeLiveSecurity, hay casos donde se utilizó TikTok como anzuelo para captar víctimas que terminaban ingresando a grupos en Telegram con tareas manipuladas.

En India y Latinoamérica, se han reportado personas que perdieron el equivalente a varios millones de pesos chilenos creyendo que recibirían pagos por realizar tareas digitales. Incluso algunas versiones avanzadas suplantan a empresas tecnológicas conocidas, como OpenAI o Amazon.

En Chile, el alza de estafas digitales laborales ha sido destacada por diversos medios especializados, y expertos en ciberseguridad advierten que muchas de estas operan en franjas grises donde no es fácil rastrear a los responsables, debido al uso de criptomonedas y canales cifrados.

¿Por qué muchas personas caen en estas estafas?

Hay varios factores que explican la eficacia de estos fraudes:

Ingresos rápidos: la promesa de ganar dinero fácil desde casa resulta tentadora.
Pruebas iniciales de pago: los estafadores simulan transferencias pequeñas para generar confianza.
Ambiente de comunidad: los grupos en Telegram muestran mensajes de supuestos usuarios celebrando ganancias.
Urgencia y presión psicológica: te dicen que la oferta es limitada o que debes actuar rápido.
Apariencia profesional: usan logos, tipografías y nombres similares a marcas reconocidas para legitimar la estafa.

En muchas ocasiones, la víctima no se da cuenta del fraude sino hasta el tercer o cuarto pago, momento en que los estafadores comienzan a demorar respuestas o bloquean el acceso a la plataforma.

Indicadores clave de estafa

Para identificar estos fraudes, presta atención a los siguientes signos:

Solicitan pagos para continuar trabajando o acceder a niveles superiores.
Usan cuentas sin verificar, muchas veces con nombres genéricos o logos editados.
Requieren unirse a grupos en Telegram para recibir tareas.
No existe contrato formal, ni información fiscal o legal de la «empresa».
Ofrecen tareas sin relación con habilidades reales, como seguir perfiles o comentar sin sentido.
Insisten en que debes transferir dinero para «liberar tus ganancias acumuladas».

También te podría interesar: WhatsApp Empresarial: La puerta invisible que debes proteger

🔗 Conoce todas nuestras marcas

Cut Security forma parte del ecosistema digital de Grupotech.

Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Hackeos vía WhatsApp Empresarial: la puerta invisible que muchas empresas subestiman

agosto 29, 2025
Uncategorized

Las cuentas de WhatsApp Empresarial o WhatsApp Business son cada vez más utilizadas en empresas chilenas. Sin embargo, este canal de comunicación directa y confiable se ha convertido en un terreno fértil para ataques de ingeniería social y fraudes digitales sofisticados.

Los ciberdelincuentes han perfeccionado sus tácticas, utilizando inteligencia artificial, suplantación de identidad y técnicas automatizadas. Si tu empresa no protege correctamente este canal, podría estar facilitando su propio sabotaje sin darse cuenta.

Cifras de fraude en aumento

Según un informe reciente de Kaspersky, WhatsApp eliminó casi 7 millones de cuentas falsas en el primer semestre de 2025, muchas de ellas asociadas a estafas con promesas de empleos, cobros falsos de paquetería, criptomonedas o beneficios gubernamentales. Estas estafas se construyen con mensajes personalizados, vinculados a datos filtrados, que los hacen peligrosamente convincentes para víctimas empresariales o clientes empresariales.

Tácticas más utilizadas en fraudes vía WhatsApp Business

Suplantación de identidad de empresas
Para enviar mensajes que parecen oficiales, vinculados a entrega pendiente o pagos urgentes. Esta práctica mina la confianza cliente-empresa, impactando directamente en la reputación y la credibilidad de tu negocio.
Mensajes personalizados con IA
Aprovechan nombres, historial de compras o cargos para engañar. Esta personalización dificulta la detección de fraudes incluso a usuarios entrenados.
Ataques de ingeniería social con QR falsos o aplicaciones externas
Pueden conducir a instalar apps maliciosas desde fuera de tiendas oficiales, que filtran datos o toman control remoto del dispositivo móvil.
Robos de códigos de verificación (SIM swapping o suplantación por soporte falso)
El Incibe ha alertado sobre fraudes donde se engaña a los usuarios haciéndose pasar por soporte técnico, solicitando códigos de verificación que permiten secuestrar la cuenta.

Consecuencias para las empresas

Impacto directo en operaciones y atención al cliente: Fraudes desde una cuenta legítima pueden cerrar un canal de confianza.
Riesgo legal: Si se manejan datos personales sin protección, puedes enfrentar sanciones bajo la Ley de Protección de Datos.
Costos altos de recuperación: Desde pérdida de clientes hasta necesidad de contratación de ciberseguridad externa para restablecer cuentas comprometidas.

Recomendaciones esenciales para blindar tu WhatsApp Business

1. Activar verificación de dos pasos (2FA)

Una de las defensas más efectivas. Sin este PIN, un atacante no puede completar el acceso, incluso si obtiene tu número o SMS de verificación.

2. Vigilar sesiones activas

Revocar accesos sospechosos desde «WhatsApp Web» es una acción rápida para cortar un posible secuestro en curso.

3. No escanear códigos QR de procedencia desconocida

Evita caer en engaños que permiten robo de cuenta o instalación de apps sospechosas.

4. Desactivar descargas automáticas

Esto ayuda a evitar la entrada accidental de malware vía archivos multimedia.

5. Educar al equipo en seguridad digital

Crea protocolos para validación de mensajes raros (por ejemplo, pagos o cambios de operación urgentes) y establece vías de verificación externa.

6. Establecer respuesta ante fraude

Incluye mecanismos como reporte interno, bloqueo de la cuenta, aviso a clientes y recuperación del acceso mediante soporte oficial.

También te podría interesar: Ciberseguridad: Experto Advierte Los Errores Millonarios

Conclusión: WhatsApp Business es útil, pero también vulnerable

Este canal no es solo una herramienta de comunicación; puede ser una puerta silenciosa para atacantes habilidosos. Cuanto más grande y activa tu empresa, más atractiva se convierte para ciberdelincuentes.

La seguridad no nace del uso, sino del cuidado en la gestión. En Cut Security diseñamos políticas seguras para WhatsApp Business, capacitamos equipos y configuramos protocolos que blindan este canal clave.

En Cut Security te ayudamos a proteger tus cuentas empresariales, diseñar protocolos seguros y capacitar a tu equipo para evitar fraudes que nacen en lo cotidiano.

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Nueva estafa suplantando a BancoEstado circula por correo electrónico

agosto 27, 2025
Uncategorized

Fuente: ADN – Poder Judicial

Una nueva campaña de estafa digital que suplanta a BancoEstado fue alertada esta semana por el Poder Judicial de Chile, a través de su Oficina de Seguridad y el Área de Ciberriesgos de la Corporación Administrativa.

Se trata de un correo electrónico malicioso que utiliza la imagen del banco estatal y busca engañar a los usuarios para que entreguen sus credenciales bancarias, lo que ha derivado en robo directo de dinero desde las cuentas afectadas.

¿Cómo funciona la estafa?

El mensaje se envía de manera masiva y aparenta ser una comunicación oficial de BancoEstado, en la que se solicita a los destinatarios actualizar datos personales mediante un enlace. El texto, además, amenaza con una supuesta multa o bloqueo de cuenta si no se realiza la acción indicada.

Al hacer clic, los usuarios son dirigidos a una página web falsa que simula ser el sitio oficial del banco. En esa página se solicitan datos sensibles como:

Número de RUT
Clave bancaria
Número de tarjeta
Número de teléfono

Una vez ingresada la información, los delincuentes redirigen automáticamente al sitio real de BancoEstado, con el objetivo de no levantar sospechas inmediatas. Sin embargo, con los datos ya en su poder, acceden a la cuenta real de la víctima y realizan movimientos bancarios no autorizados.

Advertencias y recomendaciones oficiales

Las autoridades recomendaron que, en caso de recibir este tipo de correos:

No se haga clic en los enlaces ni se descargue ningún archivo adjunto.
Se elimine inmediatamente el mensaje.

En caso de haber ingresado los datos por error, se aconseja:

Contactar de inmediato al banco y solicitar bloqueo de la tarjeta de coordenadas o claves.
Cambiar las contraseñas del correo electrónico y de otros servicios donde se utilicen las mismas claves.
Revisar los movimientos recientes en la cuenta bancaria y activar notificaciones por posibles transacciones no reconocidas.

Contexto: campañas masivas y suplantación institucional

Este tipo de correos con identidad falsa de instituciones públicas o financieras no es nuevo. Lo que preocupa en este caso es el nivel de detalle y sofisticación de la página falsa, así como la aparente verosimilitud del mensaje, que usa lenguaje formal y logos oficiales.

Las campañas de phishing bancario en Chile se han vuelto más frecuentes en 2025, afectando tanto a personas naturales como a cuentas de empresas, especialmente en contextos donde se simulan multas, actualizaciones de seguridad o problemas con pagos pendientes.

También te podría interesar: Ciberseguridad: Experto Advierte Los Errores Millonarios

🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.

Chile Bajo Ataque Digital: Cómo los Errores Empresariales Están Generando Pérdidas Millonarias

agosto 25, 2025
Uncategorized

La ciberseguridad en Chile ya no es solo un tema técnico: es un asunto de continuidad operativa, cumplimiento legal y reputación empresarial. Así lo afirma Alexis Campos, especialista en seguridad ofensiva de Cut Security by Grupotech, quien conversó en su entrevista para varios medios sobre ransomware, leyes clave y los errores que están costando millones a empresas de todos los tamaños.

Ransomware en Chile: ataques menos masivos, pero más inteligentes

En el último año, se han registrado cerca de 29.000 ataques de ransomware en Chile. Aunque el volumen total de intentos de ciberataque bajó respecto a años anteriores (6.000 millones en 2023), los ataques actuales son más dirigidos y sofisticados. Y el costo promedio de una infección exitosa supera los 300 mil dólares por incidente.

Según Campos, estos ataques afectan a hospitales, bancos, retail y pymes por igual, y muchas veces tienen consecuencias legales, económicas y operativas devastadoras.

Los errores empresariales que abren la puerta al cibercrimen

Cut Security ha detectado patrones comunes en empresas chilenas:

Sistemas sin actualizar ni parches de seguridad aplicados
Falta de autenticación multifactor (MFA) en accesos críticos
Personal sin capacitación ante técnicas de phishing
Ausencia de un plan de respuesta a incidentes actualizado
No contar con ciberseguros ni respaldo de datos offline

Más del 60 % de las empresas en Chile no cuenta con un plan formal frente a ciberataques. En la práctica, esto significa que la improvisación es la respuesta más común cuando ocurre un incidente.

Nueva Ley de Ciberseguridad: cumplimiento obligatorio

Con la entrada en vigor de la Ley Marco de Ciberseguridad (21.663), las empresas chilenas enfrentan nuevas exigencias:

Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
Designar un delegado de ciberseguridad
Reportar incidentes al CSIRT en un máximo de 3 horas
Multas de hasta 10.000 UTM por incumplimiento

Además, la Ley de Protección de Datos (21.719), que entra en plena vigencia en 2026, eleva aún más las sanciones por mal uso de información personal.

“La ciberseguridad y el compliance ya no son opcionales. Son parte del ADN empresarial”, afirma Campos.

Inteligencia Artificial: doble filo para empresas

Según el experto de Cut Security, la IA ya está presente en casi el 50 % de los ataques de ransomware en Chile. Mientras las empresas la usan para detectar amenazas, los delincuentes la emplean para:

Generar phishing altamente creíble
Escanear redes y vulnerabilidades de forma automatizada
Personalizar campañas de ataque a gerentes y ejecutivos

Recomendaciones prácticas para empresas chilenas

Alexis Campos recomienda cinco acciones inmediatas:

Capacitar al personal: 80 % de los ataques comienzan por error humano
Actualizar sistemas y aplicar parches frecuentemente
Implementar MFA en todos los accesos críticos
Respaldar datos offline y validar recuperabilidad
Monitorear redes 24/7 con herramientas o mediante un SOC externo

Además, adoptar marcos como Zero Trust o certificar procesos bajo ISO 27001 refuerza tanto la defensa como la confianza de clientes y aliados.

También te podría interesar: Vulnerabilidades criticas: 6 encontradas en Windows

Conclusión: la prevención no es opcional

“Pensar como un atacante permite defender mejor”, dice Alexis Campos, quien lidera operaciones de ciberseguridad ofensiva en Cut Security. Esa experiencia —sumada a tecnologías defensivas y estrategia— es lo que marca la diferencia entre una empresa resiliente y una que pierde millones por no estar preparada.

Con más regulaciones, amenazas más avanzadas y clientes más exigentes, la única estrategia efectiva es anticiparse.

🔐 En Cut Security ayudamos a empresas chilenas a blindarse frente a amenazas reales. Evaluamos vulnerabilidades, implementamos políticas SGSI y fortalecemos tu entorno digital antes de que un atacante lo haga.

6 Vulnerabilidades Críticas en Windows: Alerta Roja para la Ciberseguridad Empresarial

agosto 20, 2025
Ciberseguridad

La ciberseguridad está nuevamente en alerta. La división de inteligencia de amenazas de Check Point® Software Technologies Ltd. ha revelado seis nuevas vulnerabilidades críticas en sistemas Microsoft Windows, encendiendo las alarmas en empresas que dependen de estos sistemas para operar.

Uno de los hallazgos más relevantes es que estas fallas afectan desde la estabilidad general del sistema hasta la integridad de los datos más sensibles, comprometiendo incluso componentes desarrollados con tecnologías consideradas más seguras, como Rust.

¿Qué se descubrió?

Entre las seis vulnerabilidades, se encuentra la primera falla crítica públicamente conocida en un componente del kernel de Windows escrito en Rust. Esta puede provocar bloqueos forzosos del sistema y desconexión inmediata de los usuarios, exponiendo a las empresas a interrupciones operativas severas.

Otras dos vulnerabilidades (CVE-2025-30388 y CVE-2025-53766) permiten la ejecución remota de código malicioso a través de archivos manipulados. En palabras simples: podrían instalar malware sin que el usuario se dé cuenta, comprometiendo equipos completos con apenas un clic.

Las tres vulnerabilidades restantes están relacionadas con la corrupción de memoria y provocan fugas de datos. Una de ellas es particularmente grave, ya que permite la filtración de información sensible a través de la red sin necesidad de acceso físico al equipo.

¿Por qué esto debe importarle a tu empresa?

Estos descubrimientos son una señal clara de que incluso los sistemas más establecidos siguen siendo vulnerables. La adopción de Rust por parte de Microsoft buscaba precisamente reducir errores de memoria, pero este caso demuestra que ninguna tecnología es infalible.

Para las empresas chilenas —grandes o pequeñas— esto representa una amenaza directa a la continuidad operativa. La ejecución de código malicioso, el acceso remoto no autorizado o la fuga de datos pueden tener consecuencias legales, económicas y reputacionales graves, especialmente bajo normativas como la Ley Marco de Ciberseguridad (Ley 21.663).

Riesgos concretos para entornos corporativos

➤ Interrupción de servicios críticos y sistemas contables o administrativos
➤ Exposición de información financiera, legal o personal
➤ Instalación silenciosa de troyanos o herramientas de espionaje corporativo
➤ Riesgo de sanciones si no se aplican medidas correctivas a tiempo

Recomendaciones prácticas para prevenir consecuencias

Check Point y otros expertos recomiendan:

Actualizar inmediatamente los sistemas con los parches de seguridad publicados por Microsoft en agosto 2025.
Activar soluciones avanzadas de detección y prevención en tiempo real que puedan bloquear comportamientos anómalos.
Reforzar las políticas de control de acceso y segmentar redes internas.
Capacitar a los equipos TI y usuarios clave para reconocer señales de explotación.
Adoptar una estrategia de ciberseguridad proactiva, basada en monitoreo constante, auditorías técnicas y simulaciones de ataque.

También te podría interesar: Controles de Acceso: Errores que Exponen tus Datos en 2025

Conclusión: la ciberseguridad requiere acción, no reacción

Estas seis vulnerabilidades son un recordatorio poderoso de que los riesgos digitales evolucionan con rapidez. Esperar a que un ataque ocurra ya no es una opción.

En Cut Security ayudamos a empresas chilenas a blindarse frente a amenazas invisibles. Desde evaluaciones de riesgo hasta protección proactiva de sistemas Windows y servidores críticos, diseñamos estrategias alineadas con estándares internacionales y requisitos locales.

La prevención no es un lujo, es una necesidad operativa.

Ley Marco de Ciberseguridad

Ciberseguridad Ofensiva

Ciberseguridad Defensiva​

Auditoría ciberseguridad

Consultorías ciberseguridad