ANCI investiga presunta filtración masiva de datos que afectaría a la Tesorería General de la República, al Registro Civil y a la ClaveÚnica

-

Santiago, 2 de mayo de 2026. — La Agencia Nacional de Ciberseguridad (ANCI) confirmó que se encuentra analizando reportes de una presunta actividad maliciosa que comprometería sistemas de organismos del Estado y operadores de telecomunicaciones en Chile, luego de que la firma de inteligencia cibernética VECERT Analyzer alertara públicamente sobre una brecha de alto impacto dirigida contra la Tesorería General de la República (TGR), el Registro Civil y servicios asociados a la ClaveÚnica.

El actor de amenaza identificado bajo el alias "rutify" habría difundido en grupos especializados de Telegram registros que sugieren la filtración de datos sensibles durante las últimas 48 horas, según la alerta original publicada por VECERT en su cuenta oficial de X.

Qué denuncia el reporte de VECERT

De acuerdo con el análisis técnico difundido por la firma, las muestras filtradas corresponderían a solicitudes de API (peticiones POST) que exponen información transaccional del Estado, incluyendo nombres legales, Roles Únicos Tributarios (RUT), direcciones físicas y cuentas bancarias de receptores de pagos fiscales. El reporte también señala el hallazgo de firmas de seguridad y tokens de autorización (Bearer) entre los datos comprometidos, un elemento técnicamente grave porque, de ser auténtico, permitiría a los atacantes replicar procesos de autenticación legítimos contra plataformas gubernamentales.

En una segunda actualización, VECERT amplió el alcance del presunto compromiso a empresas de telecomunicaciones, Correos de Chile y a la propia infraestructura de identidad digital ClaveÚnica, herramienta que en la actualidad habilita más de 1.600 trámites estatales. Ante esto, la firma recomendó a la ciudadanía cambiar de inmediato la contraseña de la ClaveÚnica para reducir el riesgo de suplantación de identidad y fraudes asociados.

La respuesta de la ANCI: ni confirma ni desmiente

A través de un comunicado emitido el 1 de mayo, la Agencia Nacional de Ciberseguridad informó que se encuentra analizando los reportes desde su aparición y que trabaja de manera coordinada con las instituciones públicas y privadas involucradas. Sin embargo, el organismo fue explícito al señalar que hasta el momento no ha sido posible corroborar la autenticidad ni el alcance de la información supuestamente comprometida.

En el mismo texto, la ANCI agregó un párrafo relevante: las instituciones contactadas habrían adoptado medidas preventivas adicionales de seguridad, independientemente de la veracidad de los reportes. La frase ha sido interpretada por analistas como una admisión implícita de que la alerta tiene la suficiente verosimilitud técnica para activar los protocolos de respuesta del Estado en pleno feriado del 1 de mayo.

Las posiciones de las instituciones afectadas

  • Registro Civil e Identificación. Fue la entidad más enfática en su descargo. A través de su cuenta oficial de X, el servicio aseguró que los datos divulgados no corresponden a parámetros utilizados por el organismo en sus bases de datos registrales o de identificación, y reafirmó su compromiso con la protección de los datos personales de la ciudadanía.
  • Empresa de los Ferrocarriles del Estado (EFE). La compañía reconoció un acceso indebido a una cuenta de un sistema comercial, pero descartó cualquier afectación operativa. Según su declaración, los sistemas de operación ferroviaria, movilización y tráfico de trenes no sufrieron impacto, y se procedió al bloqueo y reemplazo inmediato de la cuenta comprometida. Esto contradice la versión más extrema atribuida a "rutify", que reclamaba el supuesto control sobre el panel de operaciones ferroviarias de Santiago.
  • Tesorería General de la República. Al cierre de esta nota, la TGR no había emitido un pronunciamiento oficial detallado sobre la magnitud y contención del incidente, pese a ser la institución señalada como blanco principal del ataque.

Por qué este caso preocupa técnicamente

A diferencia de filtraciones anteriores, donde lo expuesto eran principalmente bases de datos estáticas, los artefactos publicados por "rutify" sugieren un compromiso a nivel de capa de aplicación e identidad: tokens activos, firmas y peticiones API en producción. Si la información es auténtica, no basta con cambiar contraseñas de usuarios finales; las instituciones deberían invalidar firmas criptográficas, revocar la totalidad de los tokens activos y emitir alertas a las entidades bancarias receptoras de pagos fiscales para detectar eventuales manipulaciones de cuentas. Esa es, precisamente, la línea de mitigación recomendada por los analistas que han revisado las muestras.

El caso también pone bajo escrutinio el cumplimiento de la Ley 21.663, Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, vigente desde 2024 y que dio origen a la propia ANCI. Bajo dicha norma, tanto la TGR como EFE califican como operadores de infraestructura crítica y están obligados a notificar incidentes graves dentro de plazos definidos y a cooperar activamente con el organismo regulador.

Contexto: Chile, blanco recurrente

No se trata de un episodio aislado. En enero de 2026, otro actor identificado como "Sorb" fue señalado como responsable de una filtración previa contra entidades chilenas, y a finales de 2025 el Registro Civil ya había debido desmentir un alerta similar. El patrón sugiere que las instituciones públicas chilenas se mantienen como un objetivo persistente para grupos de cibercrimen organizado, en un escenario en el que la digitalización del Estado avanza más rápido que el endurecimiento de sus controles de seguridad.

Recomendaciones para la ciudadanía

Mientras la investigación continúa, la ANCI y los especialistas consultados por distintos medios coinciden en una serie de medidas preventivas:

  • Cambiar la contraseña de la ClaveÚnica desde el sitio oficial claveunica.gob.cl, verificando la operación por correo o SMS.
  • Activar segundo factor de autenticación en cuentas bancarias y de correo asociadas a trámites públicos.
  • Desconfiar de correos, SMS o llamadas que soliciten "reactivar" la ClaveÚnica o pidan datos personales; este tipo de filtraciones suelen ir seguidas de campañas masivas de phishing.
  • Ante cualquier duda, contactar a las instituciones únicamente a través de sus canales oficiales y no responder a comunicaciones no solitadas.

Esta nota se basa en información publicada por la Agencia Nacional de Ciberseguridad (ANCI), VECERT Analyzer, el Servicio de Registro Civil e Identificación, EFE, y reportes de CNN Chile, BioBioChile, T13, Chilevisión, El Mostrador y Radio Riquelme. La información se mantiene en desarrollo y será actualizada conforme avancen las investigaciones oficiales.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más

NIST limita la mejora de CVE tras un aumento del 263% en envíos

-
El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios en la gestión de vulnerabilidades cibernéticas. A partir del 15 de abril de 2026, solo se enriquecerán las CVE que cumplan ciertos criterios debido a un aumento significativo en las presentaciones. El Instituto Nacional de Estándares y Tecnología (NIST) ha implementado cambios en la forma en que maneja las vulnerabilidades y exposiciones cibernéticas (CVE) en su Base de Datos Nacional de Vulnerabilidades (NVD). Esta decisión se debe a un aumento del 263% en las presentaciones de CVE entre 2020 y 2025, lo que ha llevado a NIST a establecer criterios de priorización para el enriquecimiento de estas vulnerabilidades. Según NIST, las CVE que no cumplan con estos criterios seguirán listadas en la NVD, pero no serán enriquecidas automáticamente por la agencia. La nueva política entró en vigor el 15 de abril de 2026 y busca centrarse en las CVE con el mayor potencial de impacto generalizado. Los criterios de prior...
Leer más