Por Equipo de Análisis y Datos de Contingencia Chile
Las denuncias por delitos cibernéticos y fraudes bancarios revelan una preocupante evolución. Las bandas criminales ya no dependen de correos electrónicos masivos con faltas de ortografía, enlaces burdos o palabras forzadamente rebuscadas. En la actualidad, el crimen organizado utiliza una minuciosa ingeniería social, bases de datos filtradas e incluso herramientas de Inteligencia Artificial para vulnerar la seguridad de los usuarios, transformando el celular en el principal blanco para atacar.
A través de llamadas directas que simulan situaciones de extrema urgencia, los delincuentes consiguen que las propias víctimas entreguen el control de su patrimonio. El fenómeno mantiene en alerta a las instituciones financieras y a los organismos de seguridad digital.
El guion de la falsa urgencia bancaria
El vishing, o phishing por voz, se posiciona como uno de los métodos más efectivos. El engaño comienza con una llamada telefónica donde el atacante se presenta como un ejecutivo del área de fraudes o seguridad de alguna entidad bancaria.
Para ganar la confianza inmediata de la víctima, el delincuente suele dictar datos reales como el RUT, la dirección particular o los primeros dígitos de una tarjeta física que posea, antecedentes que provienen de filtraciones masivas de datos en la red. El argumento siempre es crítico: una supuesta compra de alto monto en proceso o un inicio de sesión sospechoso desde otra región del país.
Bajo un estado de presión psicológica y urgencia inducida, el falso ejecutivo asegura que la única forma de revertir el cobro es validar la identidad del usuario. Es aquí donde se ejecuta la trampa: se solicita a la víctima dictar el código verificador recibido por SMS o autorizar una notificación que llega a su aplicación bancaria móvil, como Santander Pass, Mi Pass o BePass. Al seguir la instrucción, el usuario no está cancelando un fraude, sino autorizando una transferencia real hacia las cuentas de los estafadores. Reportes recientes de ciberseguridad advierten sobre el uso de herramientas de Inteligencia Artificial para clonar tonos de voz institucionales y hacer el engaño aún más indetectable.
El truco del *21 y el «secuestro» de tu línea telefónica
Una de las modalidades técnicas más complejas detectadas por las áreas de seguridad de entidades como Banco de Chile y Coopeuch es el desvío de llamadas mediante comandos telefónicos de red. En este escenario, el delincuente convence a la víctima de que su línea telefónica o su aplicación bancaria están siendo hackeadas en tiempo real.
Con el pretexto de instalar un supuesto parche de seguridad o un escudo digital, el atacante instruye al usuario a marcar en su propio teléfono el código *21 seguido de un número telefónico desconocido.
Este comando activa el desvío incondicional de llamadas. A partir de ese segundo, cualquier llamada destinada a la víctima se redirige al teléfono del estafador. Con el control de la línea, el delincuente solicita la recuperación de contraseñas bancarias y recibe las llamadas automáticas que los bancos utilizan como factor de autenticación para validar nuevas cuentas o autorizar transferencias de fondos, dejando a la víctima completamente incomunicada del proceso.
El peligro con las encomiendas
El auge del comercio electrónico en el país ha dado paso al quishing, una modalidad que combina el engaño físico con el digital. Los usuarios reciben en sus domicilios notificaciones impresas, cartas certificadas falsas o paquetes de supuestas encomiendas no solicitadas.
El documento adjunto incluye un código QR bajo el argumento de revisar el estado de un envío retenido o pagar una tasa mínima de despacho. Al escanear el código con el teléfono, la víctima es dirigida a un sitio web clonado que imita a la perfección la web de una empresa de correspondencia o de una institución bancaria. Una vez que el usuario ingresa su RUT y contraseña, las credenciales quedan en manos de la organización criminal.
La educación digital es clave
La Asociación de Bancos e Instituciones Financieras (ABIF) y la Comisión para el Mercado Financiero (CMF) son enfáticas en señalar que la educación digital del usuario es la primera barrera de contención. Existen procedimientos y solicitudes que una institución financiera formal jamás realizará bajo ninguna circunstancia.
Esto es lo importante: un Banco nunca solicitará contraseñas de acceso, claves dinámicas ni coordenadas de tarjetas de manera telefónica, presencial o vía correo electrónico. Tampoco exigirá marcar códigos de configuración en el celular como el *21, ni pedirá mantener una llamada activa mientras el usuario valida transacciones en su aplicación móvil. Asimismo, los funcionarios de la CMF no tienen la facultad de contactar a particulares para gestionar créditos, anular fraudes o solicitar movimientos de dinero. Ante cualquier presión para actuar con rapidez, la recomendación de los expertos es cortar la comunicación de inmediato y verificar la información de forma manual en los canales oficiales de la entidad.
Activación del protocolo de emergencia
Cuando el fraude ya se ha consumado, el factor tiempo determina la capacidad de mitigar el daño patrimonial. El protocolo inmediato exige contactar los canales de emergencia 24/7 del banco para bloquear tarjetas, cuentas y accesos web.
Posteriormente, el afectado debe ingresar un reclamo formal ante la institución financiera detallando los cargos no autorizados. Finalmente, es fundamental realizar la denuncia penal ante la Policía de Investigaciones (PDI), Carabineros o la Fiscalía, aportando el número telefónico desde donde se recibió el ataque.
