Inteligencia de amenazas en ciberseguridad

Tres filtraciones, decenas de empresas chilenas expuestas

Por qué esto es un asunto de directorio, no solo de TI.

Tres filtraciones, decenas de empresas chilenas expuestas · Análisis Twoko Sentinel Brand
En resumen

Tres filtraciones internacionales recientes dejaron los datos de contacto corporativo de ejecutivos chilenos en manos de ciberdelincuentes. No se filtraron contraseñas, pero sí lo suficiente para hacerse pasar por un gerente y defraudar a la empresa. Uno de cada cuatro registros chilenos expuestos pertenece a un gerente, director o cargo ejecutivo.

01 · Qué pasó

El grupo que robó los datos

Durante 2026, el grupo hacker internacional ShinyHunters (dedicado a robar bases de datos, extorsionar empresas y venderlas en la dark web) vulneró tres plataformas globales usadas por trabajadores y empresas chilenas: Udemy, SoundCloud y Crunchbase.

UdemyCapacitación SoundCloudStreaming CrunchbaseDatos de negocios

Entre la información filtrada figuraban la identidad, RUT, teléfonos y los correos corporativos de trabajadores y ejecutivos de empresas chilenas que las utilizaban: al filtrarse esos registros, quedó expuesta la información de contacto de decenas de empresas chilenas.

Sitio de filtraciones de ShinyHunters en la dark web, con víctimas publicadas y enlaces de descarga de las bases de datos robadas
Sitio de filtraciones de ShinyHunters en la dark web (captura: julio 2026).

Cruzamos los dominios de correo corporativo chilenos contra los registros de cada filtración. El resultado: una exposición que atraviesa casi todos los sectores de la economía (banca, retail, minería, energía y salud, entre otros).

02 · La magnitud

47 empresas, 3.614 registros, 840 ejecutivos

De las 47 empresas chilenas analizadas, todas tienen al menos un registro en alguno de los tres conjuntos de datos, con un total de 3.614 registros identificados. La fuente dominante es Udemy (adoptada masivamente por empresas locales para capacitación), que concentra el 98,8% de los registros chilenos: de sus 1,5 millones de registros globales filtrados, extrajimos la porción correspondiente a Chile.

47 empresas chilenas analizadas
3.614 registros identificados
98,8% de los registros provienen de Udemy
840 registros ejecutivos expuestos Gerentes, directores y cargos ejecutivos · cerca de 1 de cada 4 registros
03 · Qué se filtró

Sin contraseñas, pero con la identidad

Lo que circula no son contraseñas, sino identidad corporativa verificada: nombre, correo institucional, RUT y, en varios casos, teléfono, incluido el personal.

La combinación de correo corporativo activo, nombre y RUT es el insumo mínimo para un ataque dirigido creíble. Con esos datos, un delincuente puede:

04 · Quiénes están expuestos

La exposición cruza todos los sectores

Sector financiero

El más afectado por densidad ejecutiva. Bancos y aseguradoras aparecen en los tres conjuntos; en varios casos, más de la mitad de los registros son perfiles de alta jerarquía, no personal operativo.

Retail y consumo masivo

El mayor volumen absoluto: miles de correos corporativos y RUT de grandes cadenas y embotelladoras.

Minería y energía

Exposición moderada a alta. Por la criticidad de su infraestructura, incluso pocos registros representan un riesgo desproporcionado.

Salud privada

Clínicas y aseguradoras de salud, con implicancias adicionales de privacidad y potencial regulatorio.

Telecomunicaciones

Al menos un operador relevante con exposición ejecutiva, incluyendo RUT.

Agroindustria y acuicultura

El sector salmonicultor es el menos representado en estos datos. La ausencia, sin embargo, no equivale a protección.

05 · Por qué llega al directorio

Dinero, cumplimiento y reputación

Que cerca de uno de cada cuatro expuestos sea un ejecutivo no es un detalle técnico: significa que las personas con mayor acceso y autoridad son las más expuestas. El impacto se mide en tres frentes que son responsabilidad de la alta dirección: dinero (fraude por suplantación y transferencias), cumplimiento y reputación.

Cumplimiento · Ley 21.719
Y el frente de cumplimiento ahora tiene fecha. El 1 de diciembre de 2026, en menos de cinco meses, entra en vigencia la Ley 21.719 de protección de datos, con multas de hasta $1.500 millones. Desde diciembre, ignorar esta exposición deja de ser solo un riesgo: pasa a ser una infracción con multa.
06 · Qué hacer

Tres pasos mínimos

01

Saber si están, y quiénes

Mapear los correos expuestos contra los directorios activos e identificar a los ejecutivos afectados.

02

Proteger a los perfiles identificados

Reforzar los controles anti-fraude y anti-suplantación sobre esas personas en particular.

03

Vigilar de forma continua

Activar monitoreo del uso fraudulento de esas identidades.

Y para quienes no aparecen en estos tres conjuntos: la ausencia no es protección. Existen cientos de filtraciones adicionales que no fueron parte de este análisis.

La pregunta ya no es si su empresa tiene datos circulando. Es cuántos, de quién, y si alguien los está vigilando.
Hablemos

¿Quiere conocer la exposición específica de su organización?

En Twoko se la entregamos de forma confidencial. Escríbanos a [email protected].

[email protected]

Copyright Twoko ® — Offensive Prevention