El 41% de los consumidores chilenos fue blanco de intentos de estafa digital en 2025 —el porcentaje más alto de Latinoamérica— y entre el 60% y el 70% reutiliza la misma contraseña en múltiples plataformas. Con el CyberDay a días de comenzar, expertos en gestión de riesgo digital recomiendan revisar credenciales y activar protecciones básicas.
El Informe sobre Principales Tendencias de Fraude 2025 de TransUnion reveló que Chile tiene el porcentaje más alto de consumidores de Latinoamérica que declararon haber sido blanco de intentos de estafa digital: el 41% afirmó haber recibido intentos de fraude por correo electrónico, teléfono, Internet o mensajes de texto durante 2025, muy por sobre el promedio regional de 34%. A esto se suma el patrón documentado por plataformas como Google y NordPass: entre el 60% y el 70% de los usuarios reutiliza la misma contraseña en
múltiples servicios. Cuando una plataforma sufre una filtración, esas credenciales se prueban automáticamente en cientos de otros sitios mediante una técnica conocida como credential stuffing.
El contexto agrega presión. Según el Reporte Global sobre el Panorama de Amenazas 2026 de FortiGuard Labs (Fortinet), Chile registró 8,8 billones de intentos de ciberataque durante 2025, y la mayoría no apunta a infraestructura corporativa sino a credenciales de usuarios. Sernac, por su parte, ha reportado que durante CyberDay y CyberMonday los reclamos por estafas digitales aumentan más de 200% respecto al promedio mensual del año.
La primera semana de mayo dejó dos casos que ilustran el patrón. La Agencia Nacional de Ciberseguridad (ANCI) confirmó una filtración activa originada en el robo de credenciales a un funcionario público —no en un ataque a la
infraestructura— y, días después, Enex (licenciataria de Shell en Chile) reconoció que cerca de 150 usuarios de su nueva aplicación móvil sufrieron cargos no autorizados, también atribuidos al uso de credenciales filtradas con anterioridad. Dos sectores distintos, una misma raíz.
La filtración silenciosa: cuando el dato ya estaba afuera
Lo que tienen en común los incidentes recientes no es el ataque, sino lo que vino antes. Las bases con datos personales de usuarios chilenos —que pueden incluir RUT, fecha de nacimiento, correo, teléfono y, en muchos casos, contraseñas— circulan desde hace años en foros y mercados de cibercrimen. Cada nueva filtración suma material a un acervo que los atacantes utilizan después de manera automatizada.
Lucas Behncke, Placement de Viento Sur Corredores de Seguros y especialista en gestión de riesgo digital, observa el fenómeno desde la perspectiva de las empresas que reciben las consecuencias del ataque: «El usuario que sufre un cargo no autorizado en su tarjeta, una compra hecha a su nombre o un acceso indebido a su correo casi nunca está sufriendo un ataque dirigido a él. Está siendo afectado por una filtración que ocurrió meses o años antes en un servicio
que ya ni recordaba. Por eso, la pregunta correcta no es solo cómo proteger al usuario en el CyberDay; es qué tienen que hacer las empresas para no convertirse en el siguiente eslabón de esa cadena».
El CyberDay como peak de exposición para el consumidor
Durante los tres días del CyberDay 2026 —programado entre el 1 y el 3 de junio con la participación esperada de más de 700 marcas, según la Cámara de Comercio de Santiago—, un consumidor promedio puede crear varias cuentas nuevas en sitios que visita por primera vez, ingresar datos de tarjeta en pasarelas de pago que no había usado antes y recibir decenas de correos y mensajes promocionales. La velocidad del evento, la presión de las ofertas que duran horas y la cantidad de comunicaciones hacen que distinguir un correo legítimo de uno fraudulento sea cada vez más difícil.
El Sernac, que cada año monitorea el evento, ha alertado sobre los principales fraudes que se multiplican en estos días: phishing por correo, smishing por SMS
y WhatsApp simulando ser bancos o tiendas, quishing con códigos QR fraudulentos, aplicaciones falsas con malware y pasarelas de pago clonadas.
Para el usuario común, los riesgos durante el CyberDay tienen al menos cuatro frentes concretos: cargos no autorizados con tarjetas cuyas credenciales ya estaban filtradas, suplantación de identidad para abrir cuentas o tomar créditos,secuestro de cuentas de correo o redes sociales que se usan luego para estafar al círculo cercano, y compras hechas en sitios falsos que imitan a marcas conocidas y que jamás entregan el producto.
La nueva ley que cambia el balance para el usuario
Hasta hace dos años, el consumidor chileno cuyos datos eran filtrados no contaba con herramientas concretas para reclamar. Esa situación cambió con la Ley 21.719 de Protección de Datos Personales, publicada en diciembre de 2024 y con vigencia plena desde el 1 de diciembre de 2026.
La ley introduce por primera vez en Chile derechos exigibles para los usuarios: el derecho a saber qué empresas tienen sus datos, el derecho a solicitar su corrección o eliminación, y el derecho a recibir notificación cuando una empresa sufre una brecha que comprometa su información. Las empresas que no cumplan enfrentan multas de hasta 20.000 UTM —cerca de USD 1,55 millones — y la inscripción de la sanción en un Registro Nacional público accesible durante cinco años.
Para Behncke, ese cambio normativo redefine la conversación: «Hasta ahora, el usuario podía intuir que sus datos estaban siendo manejados sin cuidado, pero no tenía cómo exigir transparencia. A partir de diciembre, una empresa que sufra una brecha tiene que avisarle al cliente, y el cliente puede pedir que sus datos sean eliminados. Eso obliga a las empresas a tener procesos reales, no solo políticas en el sitio web. Y para el usuario, significa por primera vez que tiene una palanca para defenderse».
Qué puede hacer el usuario antes del 1 de junio
Las recomendaciones técnicas para proteger los datos personales no son nuevas, pero la ventana previa al CyberDay es un buen momento para ejecutarlas con prioridad.
→ Cambiar las contraseñas de los servicios más críticos —correo principal, banco, billeteras digitales y plataformas de e-commerce más usadas— por contraseñas únicas. La reutilización es la principal causa de los incidentes recientes.
→ Activar la autenticación de dos factores (2FA) en todas las cuentas que lo permitan.
Una contraseña filtrada deja de ser suficiente si el segundo factor está activo.
→ Revisar los movimientos bancarios de los últimos 60 días. Los cargos pequeños y repetidos son una señal de que las credenciales pueden estar comprometidas.
→ Verificar el remitente real de cada correo promocional antes de hacer clic. Los dominios falsos suelen tener variaciones mínimas (una letra cambiada, un guión añadido) frente al dominio oficial.
→ Evitar comprar desde redes Wi-Fi públicas durante el CyberDay. Una conexión móvil propia o una VPN reducen significativamente la exposición.
→ Si se sospecha que los datos fueron filtrados, denunciar en Sernac y reportar a la entidad bancaria y a la ANCI según corresponda.
Lo que los usuarios pueden esperar de las marcas
La protección al consumidor no termina en lo que el usuario hace. Las empresas que operan durante CyberDay tienen una responsabilidad creciente, y la nueva regulación lo confirma. Implementar autenticación reforzada, comunicar claramente las políticas de privacidad, contar con planes de notificación de brechas y mantener actualizados los protocolos de respuesta ante incidentes son acciones que el usuario rara vez ve, pero que determinan si sus datos quedarán protegidos o expuestos.
Behncke lo resume así: «Cada vez que un usuario decide comprar en una marca, le está entregando su información a esa marca. Las empresas que entiendan que ese acto es un voto de confianza —y que la confianza se gana con prácticas, no con discursos— van a salir bien paradas del CyberDay. Las que no lo entiendan van a aprenderlo a la mala”.
