El grupo que robó los datos
Durante 2026, el grupo hacker internacional ShinyHunters (dedicado a robar bases de datos, extorsionar empresas y venderlas en la dark web) vulneró tres plataformas globales usadas por trabajadores y empresas chilenas: Udemy, SoundCloud y Crunchbase.
Entre la información filtrada figuraban la identidad, RUT, teléfonos y los correos corporativos de trabajadores y ejecutivos de empresas chilenas que las utilizaban: al filtrarse esos registros, quedó expuesta la información de contacto de decenas de empresas chilenas.
Cruzamos los dominios de correo corporativo chilenos contra los registros de cada filtración. El resultado: una exposición que atraviesa casi todos los sectores de la economía (banca, retail, minería, energía y salud, entre otros).
47 empresas, 3.614 registros, 840 ejecutivos
De las 47 empresas chilenas analizadas, todas tienen al menos un registro en alguno de los tres conjuntos de datos, con un total de 3.614 registros identificados. La fuente dominante es Udemy (adoptada masivamente por empresas locales para capacitación), que concentra el 98,8% de los registros chilenos: de sus 1,5 millones de registros globales filtrados, extrajimos la porción correspondiente a Chile.
Sin contraseñas, pero con la identidad
Lo que circula no son contraseñas, sino identidad corporativa verificada: nombre, correo institucional, RUT y, en varios casos, teléfono, incluido el personal.
La combinación de correo corporativo activo, nombre y RUT es el insumo mínimo para un ataque dirigido creíble. Con esos datos, un delincuente puede:
- Suplantar a un ejecutivo. Hacerse pasar por un gerente en un correo interno para ordenar una transferencia o pedir información sensible. Es el llamado "fraude del CEO", la categoría de estafa con mayores pérdidas reportadas al FBI.
- Construir engaños a la medida. Correos y mensajes personalizados, con datos reales de la persona, que superan los filtros y la desconfianza habituales.
- Potenciar otras filtraciones. Cruzar estos datos con otras brechas que sí contienen contraseñas, aumentando la probabilidad de tomar control de cuentas.
La exposición cruza todos los sectores
Sector financiero
El más afectado por densidad ejecutiva. Bancos y aseguradoras aparecen en los tres conjuntos; en varios casos, más de la mitad de los registros son perfiles de alta jerarquía, no personal operativo.
Retail y consumo masivo
El mayor volumen absoluto: miles de correos corporativos y RUT de grandes cadenas y embotelladoras.
Minería y energía
Exposición moderada a alta. Por la criticidad de su infraestructura, incluso pocos registros representan un riesgo desproporcionado.
Salud privada
Clínicas y aseguradoras de salud, con implicancias adicionales de privacidad y potencial regulatorio.
Telecomunicaciones
Al menos un operador relevante con exposición ejecutiva, incluyendo RUT.
Agroindustria y acuicultura
El sector salmonicultor es el menos representado en estos datos. La ausencia, sin embargo, no equivale a protección.
Dinero, cumplimiento y reputación
Que cerca de uno de cada cuatro expuestos sea un ejecutivo no es un detalle técnico: significa que las personas con mayor acceso y autoridad son las más expuestas. El impacto se mide en tres frentes que son responsabilidad de la alta dirección: dinero (fraude por suplantación y transferencias), cumplimiento y reputación.
Tres pasos mínimos
Saber si están, y quiénes
Mapear los correos expuestos contra los directorios activos e identificar a los ejecutivos afectados.
Proteger a los perfiles identificados
Reforzar los controles anti-fraude y anti-suplantación sobre esas personas en particular.
Vigilar de forma continua
Activar monitoreo del uso fraudulento de esas identidades.
Y para quienes no aparecen en estos tres conjuntos: la ausencia no es protección. Existen cientos de filtraciones adicionales que no fueron parte de este análisis.