OPERACIÓN RUTIFY: La Amenaza Silenciosa que Sacude al Estado de Chile

Cómo un actor cibercriminal comprometió credenciales de la Tesorería General de la República, EFE y otras instituciones críticas del Estado y lo que las autoridades no te están diciendo.

Por Omar Villegas Vega — Técnico en Ciberseguridad

Radio Siglo 25  |  Arica, 1 de mayo de 2026

Reportaje de Investigación Especial

Esta noche, mientras miles de chilenos duermen confiando en que el Estado protege su información, un actor cibercriminal conocido como ‘Rutify’ ha publicado en foros del underground digital lo que afirma son credenciales administrativas de la Tesorería General de la República y pruebas de acceso a los sistemas ferroviarios de EFE. El Registro Civil desmintió una alerta similar. La TGR y EFE, por ahora, guardan silencio. Y eso, en el mundo de la ciberseguridad, dice más que mil palabras.

EL DÍA QUE RUTIFY PUSO EN JAQUE AL ESTADO CHILENO

Era la noche del jueves 30 de abril de 2026 cuando las primeras alertas comenzaron a encenderse en los monitores de los especialistas en ciberseguridad que siguen la actividad del portal VECERT Analyzer, una plataforma privada de inteligencia sobre ciberamenazas que monitorea filtraciones en el mercado negro digital, foros clandestinos y canales de Telegram utilizados por grupos criminales para vender o publicar datos robados.

El mensaje era inquietante: el actor de amenaza conocido como ‘Rutify’ había publicado registros que sugerían la filtración de datos sensibles en las últimas 48 horas, apuntando directamente al corazón de la institucionalidad pública chilena. La Tesorería General de la República (TGR), Trenes EFE, el Registro Civil, operadoras de telecomunicaciones, el Servel, el SAG y hasta Pullman Bus aparecían en la lista de presuntas víctimas.

Esto no era la primera vez que Rutify llamaba la atención de los expertos. En abril de 2026, VECERT Analyzer ya había publicado una alerta señalando que este actor había lanzado una ‘campaña de exposición coordinada’, llegando incluso a publicar un video en el que demostraba múltiples brechas de seguridad en instituciones chilenas. El video, circulado por canales de Telegram y foros especializados, mostraba capturas de pantalla que el atacante presentaba como evidencia de acceso a sistemas internos.

«Se ha detectado una actividad persistente y crítica dirigida a entidades principales de telecomunicaciones y servicios públicos en Chile. El actor de amenazas Rutify ha publicado registros que sugieren la filtración de datos sensibles en las últimas 48 horas.» — VECERT Analyzer, 1 de mayo de 2026

Lo que hace especialmente preocupante este caso no es solo la cantidad de instituciones mencionadas, sino la naturaleza de lo que se afirma fue comprometido: credenciales de acceso administrativo. No contraseñas de usuarios comunes, sino las llaves maestras que abren las puertas más profundas de los sistemas del Estado.

Para entender por qué esto importa, hay que comprender cómo funciona el mundo digital del sector público chileno. La TGR no es una institución cualquiera: es el organismo que recauda los tributos, gestiona los fondos del fisco, procesa los pagos del Estado a proveedores y administra las deudas de millones de chilenos con el erario nacional. Sus bases de datos contienen información bancaria, tributaria y de identificación de prácticamente toda la población adulta del país.

EFE, por su parte, opera los servicios de trenes en todo Chile, incluyendo el tren Alameda-Estación Central en Santiago y los servicios de Merval y Metrotren en las regiones. La afirmación de que un atacante tendría ‘control sobre el panel de operaciones para los servicios ferroviarios de Santiago’ trasciende la esfera del dato digital y entra directamente en el territorio de la seguridad física.

¿Quién es VECERT Analyzer y cuánto podemos confiar en sus alertas?

Antes de continuar, es necesario contextualizar la fuente. VECERT Analyzer, accesible en analyzer.vecert.io, es una empresa privada de ciberinteligencia que opera un sistema de monitoreo automatizado y semi-automatizado de fuentes del underground digital. No es la Agencia Nacional de Ciberseguridad (ANCI), no es un organismo estatal y no tiene autoridad oficial sobre los datos que publica.

Su modelo de negocio se basa en detectar y publicar alertas sobre filtraciones de datos, lo que genera visibilidad para su plataforma y atrae potenciales clientes empresariales que quieren monitorear si sus datos aparecen en el mercado negro. Esto no significa que sus alertas sean falsas, pero sí que deben ser evaluadas con el rigor que se aplicaría a cualquier fuente de inteligencia: verificando la calidad de la evidencia, considerando posibles sesgos y contrastando con fuentes oficiales.

El historial reciente de VECERT en Chile ofrece señales mixtas. En diciembre de 2025, el portal alertó sobre una presunta filtración masiva que habría comprometido datos de hasta 10 millones de ciudadanos del Registro Civil. La respuesta institucional fue categórica: el Servicio de Registro Civil e Identificación, junto con la ANCI y el área de Cibercrimen de la PDI, analizaron la alerta y concluyeron que no correspondía a datos utilizados por el servicio en sus bases de datos registrales. ‘No existe una filtración de datos desde las bases de datos del Servicio de Registro Civil e Identificación, ni se ha detectado vulneración alguna a nuestros sistemas institucionales’, declaró el organismo en un comunicado oficial.

Sin embargo, que una alerta previa haya resultado ser una exageración o un error no significa automáticamente que la actual lo sea. En el mundo de la ciberseguridad, el silencio institucional ante una acusación específica es, en sí mismo, una señal que debe analizarse.

Nota del reportero: Al cierre de esta edición, ni la TGR ni EFE habían emitido desmentidos públicos respecto a las afirmaciones de Rutify. El Registro Civil sí lo hizo para la parte que le concernía en esta nueva alerta.

ANATOMÍA DE UN ATAQUE: CÓMO OPERA RUTIFY

Para comprender la magnitud real de lo que podría haber ocurrido, es necesario adentrarse en la mecánica técnica del tipo de ataque que el perfil de actividad de Rutify sugiere. No estamos ante un ataque de denegación de servicio —del tipo que derriba temporalmente un sitio web y genera titulares de prensa— sino ante algo mucho más sofisticado y silencioso: un ataque de robo de credenciales mediante infostealers.

¿Qué es un infostealer?

Un infostealer es un tipo de malware —software malicioso— diseñado específicamente para extraer información valiosa de los dispositivos infectados. A diferencia del ransomware, que cifra los archivos de la víctima y exige un rescate de forma ruidosa y visible, el infostealer opera en silencio, invisible para el usuario, recopilando metódicamente todo lo que encuentra de valor antes de exfiltrarlo hacia los servidores del atacante.

El proceso de infección suele comenzar de manera deceptivamente simple: un correo electrónico aparentemente legítimo con un archivo adjunto malicioso, una descarga de software pirata que incluye el malware como pasajero oculto, un enlace en una red social o aplicación de mensajería, o incluso una actualización de software falsa. Una vez ejecutado en el sistema de la víctima, el infostealer actúa con velocidad y precisión.

Las familias de infostealers más activas en Latinoamérica durante 2025 y 2026 incluyen nombres como Lumma Stealer, RedLine, Vidar, Raccoon y Stealc. Todos comparten una arquitectura similar pero se distinguen por sus capacidades específicas, precios en el mercado negro y técnicas de evasión de antivirus.

Lo que roba: la cadena completa del compromiso

Cuando un infostealer infecta el computador de un funcionario administrativo —especialmente uno con privilegios elevados en los sistemas institucionales— lo que extrae puede incluir:

  • Contraseñas guardadas en navegadores web (Chrome, Firefox, Edge): credenciales de intranet, portales administrativos, sistemas de recaudación, bases de datos.
  • Tokens de sesión activos: más peligrosos aún que las contraseñas, porque permiten al atacante hacerse pasar por el usuario sin necesidad de conocer la contraseña, saltándose incluso la autenticación de dos factores en muchos casos.
  • Archivos de configuración de VPN: las claves de acceso remoto que permiten conectarse a las redes internas de la institución desde cualquier lugar del mundo.
  • Cookies de autenticación: permiten reutilizar sesiones ya autenticadas con servicios web internos y externos.
  • Claves SSH y certificados de cliente: los mecanismos de autenticación utilizados para acceder a servidores y sistemas críticos en entornos Unix/Linux.
  • Documentos y archivos en el escritorio y carpetas de descarga: posibles reportes internos, contratos, bases de datos exportadas.
  • Capturas de pantalla del sistema en el momento de la infección, que revelan qué sistemas estaba usando el usuario.

Todo este material se exfiltra automáticamente hacia un servidor de Command and Control (C2) controlado por el atacante, o directamente a un canal de Telegram privado donde el operador puede revisarlo en tiempo real, casi sin dejar rastro en los sistemas de monitoreo convencionales.

«El compromiso de credenciales administrativas es fundamentalmente diferente a un DDoS: el atacante no derriba el sistema, se convierte en parte de él. Es la diferencia entre que te rompan la puerta y que te roben la llave.»

 

¿Por qué es más peligroso que cualquier otro tipo de ataque?

Un ataque de denegación de servicio (DDoS) es, en términos de daño real, el menos peligroso de los grandes tipos de ciberataques. Es visible, es ruidoso, activa de inmediato las alertas de los equipos de seguridad, y cuando cesa —ya sea porque el atacante detiene la embestida o porque los equipos de defensa la neutralizan— los sistemas vuelven a funcionar con normalidad y sin pérdida permanente de datos o accesos.

El compromiso de credenciales administrativas es la antítesis de eso. Cuando un atacante obtiene las credenciales de un administrador de sistemas de la TGR, por ejemplo, no necesita ‘romper’ ninguna defensa: simplemente se autentica como si fuera ese funcionario. Los sistemas de seguridad ven un inicio de sesión legítimo, con el usuario correcto, posiblemente desde una IP que puede estar dentro de la propia red institucional si el atacante usa la VPN comprometida.

Desde esa posición, el atacante puede explorar los sistemas en busca de datos de mayor valor, moverse lateralmente hacia otros sistemas conectados, crear sus propias cuentas de acceso para garantizar la persistencia incluso si se descubre y se revoca la cuenta original, modificar o borrar registros de auditoría para cubrir sus huellas, exfiltrar datos de forma progresiva durante semanas o meses sin disparar alertas, y preparar el terreno para un ataque de ransomware en el momento de máximo impacto estratégico.

Esta es la razón por la que los grupos de ransomware más sofisticados no atacan directamente: compran credenciales comprometidas a actores como Rutify, que operan como lo que la industria denomina Initial Access Brokers (IABs), y luego toman su tiempo para preparar el golpe definitivo.

EL MAPA COMPLETO: TODAS LAS INSTITUCIONES EN LA MIRA

Las afirmaciones de Rutify no se limitan a la TGR y EFE. Según investigadores de seguridad que han monitoreado la actividad de este actor en plataformas de OSINT (inteligencia de fuentes abiertas), el grupo afirma haber comprometido un espectro sorprendentemente amplio de objetivos en Chile:

  • Tesorería General de la República (TGR): credenciales de acceso administrativo y posible compromiso del sistema de recaudación de ingresos.
  • Empresa de Ferrocarriles del Estado (EFE): amenaza de control sobre el panel de operaciones de los servicios ferroviarios de Santiago.
  • Registro Civil e Identificación: posible exposición de datos de ClaveÚnica y correos electrónicos de usuarios (desmentido por la institución).
  • Servicio Electoral (Servel): afirmación de acceso a sistemas internos.
  • Servicio Agrícola y Ganadero (SAG): acceso alegado a sistemas institucionales.
  • Pullman Bus: compromiso de datos de la empresa de transporte privada.
  • Cámaras de vigilancia de la comuna de Las Condes: acceso alegado a infraestructura de monitoreo urbano.
  • Operadoras de telecomunicaciones: actividad contra proveedores de servicios de comunicación del país.

La amplitud de estos objetivos es consistente con un patrón que los investigadores de ciberseguridad denominan ‘campaña de exposición masiva’: el actor no necesariamente ha penetrado profundamente en todos estos sistemas, sino que puede haber recopilado credenciales de funcionarios de estas instituciones mediante infostealers que infectaron sus computadores personales o de trabajo, y luego presenta esas credenciales como evidencia de ‘acceso’ al sistema institucional.

Hay una diferencia crucial entre tener las credenciales de un empleado y tener control sobre el sistema institucional. La primera puede lograrse sin piratear directamente la red de la institución —basta con infectar el dispositivo del funcionario. La segunda requiere un nivel de penetración mucho mayor. Sin embargo, incluso en el escenario más conservador, la circulación de credenciales administrativas de funcionarios de estas instituciones en el underground digital representa un riesgo grave y real que exige respuesta inmediata.

El caso EFE: ¿Podría alguien realmente controlar los trenes?

La afirmación más alarmante es sin duda la de EFE: el supuesto control sobre el panel de operaciones de los servicios ferroviarios de Santiago. Si esto fuera cierto, estaríamos hablando de una vulnerabilidad que podría poner en riesgo la vida de pasajeros.

Sin embargo, hay razones técnicas para mirar esta afirmación con escepticismo específico. Los sistemas de control operacional de los ferrocarriles —lo que en la industria se denomina Operational Technology (OT)— normalmente están físicamente separados de las redes IT administrativas. Un atacante que compromete las credenciales del departamento de recursos humanos de EFE no tiene por ello acceso automático al sistema SCADA que controla los trenes.

Esto no significa que sea imposible: hay casos documentados de atacantes que han logrado atravesar esa separación, especialmente en organizaciones donde las redes OT y IT están conectadas de formas que no estaban debidamente auditadas. El ataque a la red eléctrica de Ucrania en 2015 y 2016, o el intento de envenenar el sistema de agua de Oldsmar, Florida, en 2021, demuestran que los sistemas de infraestructura crítica no son inmunes.

Lo que podemos decir con certeza es que la afirmación de Rutify sobre EFE, al cierre de este reportaje, no ha sido ni confirmada ni desmentida por la empresa estatal. Y ese silencio es información.

EL CONTEXTO: CHILE BAJO ATAQUE PERMANENTE

El caso Rutify no existe en el vacío. Chile lleva años siendo un objetivo frecuente de actores cibercriminales y grupos de ransomware, y el año 2026 no ha sido la excepción. Para entender la dimensión real de la amenaza, es necesario ver el panorama completo.

Chile ocupa el cuarto lugar en Latinoamérica en términos de ataques de ransomware, con un 9,1% del total regional, detrás de Brasil (27,3%), México (22,2%) y Colombia (10,1%). Los sectores más afectados son servicios (35,4%), industria (12,1%) y el mundo financiero (9,1%). Estos no son números abstractos: representan organizaciones paralizadas, datos de ciudadanos expuestos y millones de pesos en daños.

El precedente más cercano y grave en términos de infraestructura crítica fue el ataque de octubre de 2023 al Grupo GTD, uno de los principales proveedores de servicios tecnológicos para el sector público y privado en Chile y Perú. El ransomware, identificado como Rorschach o BabLock, afectó la infraestructura de virtualización de la empresa, comprometiendo más de 3.000 empresas y organismos públicos que dependían de sus servicios. Ese ataque fue una llamada de alerta sobre la fragilidad de los proveedores tecnológicos compartidos.

En diciembre de 2025, además del caso del Registro Civil ya mencionado, VECERT reportó una filtración que afectaría al Registro Nacional de Vehículos del SRCEI, con aproximadamente 9,2 millones de registros expuestos que incluían nombres completos, RUT, datos de vehículos con VIN y número de motor. En enero de 2026, el actor ‘Sorb’ fue identificado como responsable de esa filtración.

El patrón es claro: Chile es un objetivo activo y frecuente. La pregunta no es si habrá más ataques, sino cuándo y contra qué institución.

La Ley 21.663: El Marco que Debería Protegernos

Chile promulgó en 2024 la Ley 21.663, conocida como la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. Esta norma creó la Agencia Nacional de Ciberseguridad (ANCI) y estableció un marco regulatorio para la protección de los sistemas críticos del Estado y del sector privado.

Bajo esta ley, tanto la TGR como EFE califican como operadores de infraestructura crítica y tienen obligaciones específicas: implementar estándares de seguridad determinados, notificar a la ANCI dentro de plazos establecidos cuando detecten o sospechen un incidente grave, y cooperar activamente con la agencia en la investigación de los incidentes.

La existencia de la ANCI y el marco de la Ley 21.663 representan un avance significativo respecto al estado de desprotección legal que existía antes. Sin embargo, una ley es tan efectiva como su implementación. Si las instituciones no han cumplido con los estándares de seguridad que la norma exige, o si los mecanismos de notificación y respuesta no funcionan con la agilidad necesaria, el marco legal no puede por sí solo prevenir ataques.

«Una ley de ciberseguridad sin implementación efectiva es como una alarma de incendios sin pilas. Te da una falsa sensación de seguridad.»

LOS GRUPOS DETRÁS DEL TELÓN: QUIÉN COMPRA LO QUE RUTIFY VENDE

Uno de los aspectos más importantes para comprender la amenaza real de Rutify es entender qué pasa después de que un actor de este tipo publica credenciales comprometidas. Porque el robo de credenciales no es generalmente el fin del ataque: es el principio.

En el ecosistema del crimen cibernético moderno, existe una división del trabajo sofisticada. Los infostealers y los Initial Access Brokers como Rutify se especializan en el acceso inicial: penetrar organizaciones, robar credenciales y vender ese acceso en foros especializados del dark web. Sus compradores son grupos de ransomware que prefieren no invertir tiempo en el trabajo sucio de la intrusión inicial y que prefieren comprar un acceso ya establecido para luego desplegar su carga dañina.

Qilin: El ransomware que está mirando a Chile

Entre los grupos más activos en la región en 2026 se encuentra Qilin, un grupo de Ransomware-as-a-Service (RaaS) que opera bajo el modelo de afiliados: desarrolla el malware y la infraestructura, y luego ‘alquila’ sus herramientas a operadores criminales que llevan a cabo los ataques a cambio de una comisión. Investigadores del sector financiero han confirmado actividad reciente de Qilin en Latinoamérica, incluyendo ataques a instituciones de la región.

El modelo de operación de Qilin es particularmente peligroso porque combina la doble extorsión: primero cifra los datos de la víctima (haciendo sus sistemas inutilizables) y simultáneamente amenaza con publicar los datos robados si no se paga el rescate. Esto significa que incluso si la organización tiene backups y puede restaurar sus sistemas sin pagar, igualmente enfrenta la amenaza de que datos confidenciales de ciudadanos o información estratégica del Estado sean publicados.

LockBit 3.0: El gigante que no se detiene

LockBit continúa siendo la principal amenaza de ransomware en Latinoamérica. A pesar de la operación policial internacional de 2024 que desmanteló parte de su infraestructura, el grupo se reorganizó y continúa operando. Su metodología incluye explotar vulnerabilidades críticas en sistemas públicamente accesibles para el acceso inicial, pero también comprar accesos a IABs cuando el objetivo lo justifica. Chile ha sido blanco de afiliados de LockBit en el pasado, y la disponibilidad de credenciales de instituciones chilenas en el mercado negro aumenta el riesgo de que sean utilizadas para un ataque coordinado.

Anubis: El actor que conoce América Latina

Anubis es otro actor relevante con presencia activa en la región, conocido por sus capacidades de Remote Access Trojan (RAT) e infostealer, y con historial específico de ataques a entidades gubernamentales en Latinoamérica. Su conocimiento de los sistemas y el idioma español lo hace especialmente efectivo en la región, ya que puede realizar ataques de ingeniería social más convincentes.

La convergencia entre los Initial Access Brokers como Rutify y los grupos de ransomware establece una cadena de valor criminal que es, en muchos aspectos, más peligrosa que las amenazas estatales. Mientras que los actores patrocinados por estados nación tienden a priorizar el espionaje silencioso, los grupos criminales tienen un incentivo directo para causar el máximo daño posible en el menor tiempo, lo que maximiza la presión para el pago del rescate.

LO QUE EL ESTADO NO TE ESTÁ DICIENDO

Hay una pregunta que cualquier ciudadano tiene derecho a hacerse esta noche: si el Estado tiene información sobre una posible brecha de seguridad que podría afectar mis datos bancarios, tributarios o de identificación, ¿por qué no me lo está diciendo?

La respuesta tiene varias capas. La primera es la incertidumbre genuina: en las primeras horas después de una alerta de este tipo, las propias instituciones pueden no saber aún si el incidente es real o es una exageración del actor malicioso. La investigación forense digital lleva tiempo, y comunicar antes de tener certeza puede generar pánico innecesario si resulta que las afirmaciones eran falsas o exageradas.

La segunda capa es más incómoda: el cálculo reputacional. Admitir públicamente que un atacante pudo haber comprometido sus sistemas afecta la confianza ciudadana en la institución, puede tener consecuencias políticas para las autoridades de turno y puede incluso afectar los mercados si la institución tiene alguna relación con el sistema financiero.

La tercera capa es operacional: comunicar detalles sobre una brecha activa puede alertar al atacante y llevarle a destruir evidencia, acelerar la exfiltración de datos o desplegar un ransomware antes de que los equipos de respuesta puedan contenerlo.

Pero hay una cuarta razón, quizás la más preocupante: la posibilidad de que las instituciones genuinamente no sepan que han sido comprometidas. Un infostealer bien diseñado puede operar en un sistema durante semanas o meses sin ser detectado por los sistemas de antivirus convencionales. Si los equipos de seguridad de la TGR o EFE no tienen herramientas de detección y respuesta avanzadas (EDR), monitoreo de comportamiento anómalo y capacidades de threat hunting activo, es perfectamente posible que el compromiso exista y no haya sido detectado internamente.

Contexto legal: La Ley 21.663 obliga a los operadores de infraestructura crítica a notificar a la ANCI dentro de plazos establecidos cuando detecten un incidente. Si hay un incidente real y no se ha notificado, existirían consecuencias legales para la institución.

Mientras tanto, los ciudadanos cuyos datos podrían estar en riesgo no tienen acceso a la información que necesitan para tomar decisiones de protección. ¿Debo cambiar mi Clave Tributaria? ¿Debo alertar a mi banco? ¿Debo revisar mis cuentas de la TGR para detectar movimientos no autorizados? Estas preguntas quedan sin respuesta oficial.

LA ANCI HABLA: EL COMUNICADO QUE LO CAMBIA TODO

Mientras este reportaje se encontraba en elaboración, a las 13:28 horas del 1 de mayo de 2026, la Agencia Nacional de Ciberseguridad (ANCI) emitió un comunicado oficial que constituye el pronunciamiento gubernamental más importante hasta ahora sobre el caso Rutify. Su contenido es revelador, no solo por lo que dice, sino por lo que deliberadamente no dice.

El comunicado, firmado desde Santiago con fecha 1 de mayo de 2026, señala textualmente que la ANCI ‘se encuentra analizando, desde su aparición en las últimas 48 horas, los reportes de fuentes de inteligencia en ciberseguridad que describen presunta actividad maliciosa que involucraría datos de operadores de telecomunicaciones y servicios públicos’.

Esta primera oración ya contiene información forense valiosa. Al confirmar que lleva 48 horas analizando la situación, la ANCI valida implícitamente que las alertas de VECERT Analyzer fueron suficientemente serias como para activar los protocolos de respuesta de la agencia nacional. No es una reacción a un rumor menor: es una respuesta formal a una amenaza que la propia agencia considera digna de investigación activa.

«Hasta el momento, no ha sido posible corroborar la autenticidad ni el alcance de la información que supuestamente habría sido comprometida.» — ANCI, comunicado oficial, 1 de mayo de 2026, 13:28 hrs.

La segunda parte del comunicado es igualmente significativa: ‘Es importante destacar que, hasta el momento, no ha sido posible corroborar la autenticidad ni el alcance de la información que supuestamente habría sido comprometida.’ Esta frase, leída con el rigor que exige el análisis de comunicaciones institucionales en contextos de crisis, no es un desmentido. Es la declaración explícita de que no existe evidencia suficiente para decir que el incidente no ocurrió.

Compárese este tono con la respuesta del Registro Civil ante la alerta de diciembre de 2025: ‘No existe una filtración de datos desde las bases de datos del Servicio de Registro Civil e Identificación, ni se ha detectado vulneración alguna a nuestros sistemas institucionales.’ Ese sí fue un desmentido categórico. La respuesta de la ANCI del 1 de mayo de 2026 es fundamentalmente diferente en su arquitectura lingüística: no afirma que no pasó nada, afirma que no puede confirmar qué pasó.

Las instituciones actuaron como si el incidente fuera real

Quizás el elemento más revelador del comunicado es este párrafo: ‘Informamos asimismo que las instituciones contactadas por la ANCI han colaborado activamente con las investigaciones en curso y han adoptado medidas preventivas de seguridad adicionales, independientemente de la veracidad de dichos reportes.’

Esta oración contiene una admisión de enorme importancia periodística: las instituciones involucradas —entre ellas, implícitamente, la TGR y EFE— han tomado medidas preventivas de seguridad adicionales. En el lenguaje de la gestión de incidentes de ciberseguridad, esto significa que han activado protocolos que incluyen rotación de credenciales, revisión de accesos, auditoría de logs y posiblemente aislamiento de sistemas sospechosos.

Una institución que estuviera completamente segura de no haber sido comprometida no necesita adoptar medidas preventivas adicionales. Las toma porque existe suficiente incertidumbre como para justificarlo. Y esa incertidumbre, reconocida de forma tácita por el propio Estado, es la señal más honesta que los ciudadanos han recibido hasta ahora.

Análisis del técnico: En el protocolo de respuesta a incidentes, cuando una institución adopta medidas preventivas ‘independientemente de la veracidad’ de un reporte, está aplicando el principio de ‘asumir la brecha’ (assume breach). Es la respuesta profesionalmente correcta ante incertidumbre forense. También es la admisión implícita de que no pueden descartar el compromiso.

Las recomendaciones que confirman la seriedad del riesgo

El comunicado cierra con recomendaciones a la ciudadanía que son, en sí mismas, una señal de alerta: estar atentos a intentos de phishing, no compartir información sensible en respuesta a comunicaciones no solicitadas, y actualizar ‘aquellas contraseñas que crea que puedan haber sido filtradas, particularmente las asociadas a cuentas importantes (banco, email)’.

Que la ANCI recomiende específicamente actualizar contraseñas bancarias y de email en el contexto de este incidente es una señal inequívoca: el riesgo es suficientemente real como para justificar medidas que afectan la vida digital cotidiana de los chilenos. No es la recomendación que se hace ante una fake news descartada. Y el número de contacto —el 1510— es la línea directa de atención ciudadana de la ANCI, activada para responder consultas relacionadas con este incidente.

La ANCI concluye señalando que ‘continuará monitoreando la situación e informará a la ciudadanía ante cualquier novedad relevante a través de sus canales oficiales’. Con ello, deja abierta la investigación y no cierra el caso. Eso, en el lenguaje institucional de la ciberseguridad, equivale a decir: esto no ha terminado.

EVALUACIÓN DE VERACIDAD: ¿FAKE NEWS O AMENAZA REAL?

Con el comunicado oficial de la ANCI en mano, este es el momento de la rendición de cuentas periodística: con toda la información disponible, ¿qué podemos concluir sobre la veracidad de las afirmaciones de Rutify?

Primero: la existencia del actor Rutify y su actividad contra instituciones chilenas es un hecho documentado desde al menos abril de 2026. No estamos ante un actor inventado.

Segundo: la ANCI confirma que lleva 48 horas investigando el caso. Esto significa que la alerta fue lo suficientemente creíble como para movilizar a la agencia estatal en un día festivo —1 de mayo— y mantenerla en coordinación activa con múltiples instituciones.

Tercero: el patrón de respuesta institucional en este caso es radicalmente diferente al de diciembre de 2025. Cuando el Registro Civil fue alertado, respondió con un desmentido categórico en menos de 24 horas, respaldado por la propia ANCI y la PDI. En el caso actual, la ANCI no puede confirmar ni desmentir, y las instituciones han tomado medidas preventivas. Esa diferencia es estadísticamente significativa.

Cuarto: las afirmaciones más extremas de Rutify —especialmente el supuesto control del panel ferroviario de EFE— siguen presentando elementos que sugieren exageración táctica. Sin embargo, con la ANCI investigando activamente, su plausibilidad no puede descartarse de plano.

La conclusión más honesta que un técnico en ciberseguridad puede ofrecer a esta hora es la siguiente: el Estado chileno, a través de la ANCI, ha confirmado que existe una amenaza activa bajo investigación, que las instituciones han tomado medidas preventivas, y que no pueden descartar el compromiso. Eso no es una fake news. Es un incidente de ciberseguridad en curso, cuya magnitud exacta aún no ha sido determinada.

«En ciberseguridad, cuando el Estado dice que no puede confirmar si algo ocurrió, ya te está diciendo que no puede descartarlo. Y eso, para los ciudadanos, es información suficiente para actuar.»

LO QUE LOS CIUDADANOS DEBEN HACER AHORA

Independientemente de la magnitud real del incidente, la prudencia dicta que los ciudadanos tomen medidas preventivas. Estas recomendaciones son válidas no solo en el contexto de la alerta actual, sino como prácticas de higiene digital permanente para quienes interactúan con servicios del Estado chileno.

Medidas inmediatas recomendadas

  • Cambiar la Clave Tributaria en el portal de la TGR (tgr.cl) de forma preventiva. Esta clave da acceso a información sensible sobre deudas, convenios y datos bancarios asociados a la cuenta del contribuyente.
  • Revisar los movimientos recientes en el portal de la TGR para detectar consultas o modificaciones no autorizadas en sus datos.
  • Cambiar la ClaveÚnica en claveunica.gob.cl, especialmente si la misma contraseña se usa en otros servicios digitales (lo cual en sí mismo es una práctica a eliminar permanentemente).
  • Activar alertas de movimientos en cuentas bancarias asociadas a pagos del Estado o débitos automáticos vinculados a deudas con el fisco.
  • Estar alerta ante correos electrónicos, llamadas telefónicas o mensajes de texto que se presenten como comunicaciones de la TGR, EFE o cualquier institución del Estado solicitando información personal o claves. Estas instituciones nunca solicitan credenciales por esos medios.
  • Si eres funcionario público, especialmente con acceso a sistemas administrativos, notificar inmediatamente a tu área de seguridad informática si sospechas que tu equipo pudo haber sido infectado o si recibes comunicaciones inusuales.

Lo que NO debes hacer

  • No cambiar contraseñas usando el mismo dispositivo que sospechas puede estar comprometido. Primero asegura el dispositivo.
  • No hacer clic en enlaces de correos electrónicos que afirmen ser de la TGR, EFE u otras instituciones con advertencias urgentes sobre tu cuenta o datos. Accede directamente escribiendo la dirección en el navegador.
  • No compartir información personal con quien te contacte alegando ser de seguridad informática del Estado. Ningún protocolo legítimo de respuesta a incidentes requiere que los ciudadanos entreguen sus claves a terceros.

CONCLUSION:LA DEUDA PENDIENTE DE CHILE CON SU PROPIA SEGURIDAD

El caso Rutify, sea cual sea su magnitud real, revela algo más profundo que un incidente de ciberseguridad puntual: revela una brecha estructural entre el ritmo de la amenaza digital y la capacidad de respuesta de las instituciones del Estado chileno.

Chile ha avanzado en los últimos años. La Ley 21.663 y la creación de la ANCI son pasos genuinamente importantes. Pero una agencia nacional de ciberseguridad sin los recursos, la autonomía y la autoridad real para exigir cumplimiento a las instituciones del Estado es como tener un bombero sin agua. La regulación existe, pero la implementación —en términos de presupuesto para ciberseguridad, capacitación de funcionarios, adopción de tecnologías de detección avanzada y cultura de seguridad institucional— sigue siendo fragmentaria.

Mientras tanto, los actores de amenaza como Rutify no esperan. Operan 24 horas al día, siete días a la semana, desde cualquier parte del mundo, con herramientas que evolucionan más rápido que la mayoría de los equipos de defensa institucional. Tienen acceso a inteligencia actualizada sobre vulnerabilidades no parcheadas, credenciales circulando en el mercado negro y técnicas de evasión que burlan los antivirus convencionales.

La pregunta que los ciudadanos chilenos deberían exigir que sus autoridades respondan no es solo ‘¿fuimos hackeados?’. La pregunta más importante es: ‘¿estamos haciendo todo lo que es posible y necesario para que esto no vuelva a ocurrir?’ Y si la respuesta no viene con evidencia concreta, con presupuestos específicos y con mecanismos de rendición de cuentas verificables, entonces la respuesta es no.

La ciberseguridad del Estado no es un asunto técnico que compete solo a los ingenieros informáticos. Es un asunto de soberanía, de integridad del sistema democrático y de protección de los derechos fundamentales de los ciudadanos. Cada credencial comprometida, cada dato filtrado, cada sistema vulnerado es una pérdida concreta de esa soberanía.

El comunicado de la ANCI, emitido a las 13:28 de este mismo día, marca un antes y un después en este caso: el Estado ya no puede alegar desconocimiento. Sabe que hay una amenaza activa. Sabe que las instituciones han tomado medidas. Y sabe que no puede descartar el compromiso. Lo que haga con esa información en las próximas horas y días determinará si Chile está realmente a la altura del desafío de la ciberseguridad del siglo XXI.

Rutify puede ser exagerado. Puede ser real. Puede ser ambas cosas. Pero que la ANCI haya tenido que emitir un comunicado oficial en día festivo, reconociendo que lleva 48 horas investigando y sin poder descartar el incidente, nos dice todo lo que necesitamos saber sobre el estado de la ciberseguridad pública en Chile en este 1 de mayo de 2026.

«La seguridad de los datos del Estado no es un privilegio técnico de los expertos. Es un derecho ciudadano que el Estado tiene la obligación de garantizar. Y cuando falla, tiene la obligación de decirlo.»

Seguiremos investigando. Seguiremos preguntando. Y seguiremos informando.

Omar Villegas Vega

Técnico en Ciberseguridad — Radio Siglo 25

FUENTES Y REFERENCIAS

Las siguientes fuentes fueron consultadas para la elaboración de este reportaje. Todas corresponden a publicaciones verificables al 1 de mayo de 2026.

Fuentes primarias — alertas e informes de ciberseguridad

[1] VECERT Analyzer (@VECERTRadar). Alerta en X (Twitter): ‘UPDATE: INFRASTRUCTURE AND DATA – CHILE. Persistent and critical activity targeting major telecommunications and public service entities in Chile has been detected. The threat actor rutify has published records suggesting the leakage of sensitive data over the past 48 hours.’ Publicado el 1 de mayo de 2026. URL: twitter.com/VECERTRadar/status/2050013074686648353

[2] VECERT Analyzer (@VECERTRadar). Alerta en X: ‘CYBER THREAT ALERT: RUTIFY EXPOSURE CAMPAIGN TARGETING INSTITUTIONS IN CHILE. A coordinated offensive has been detected, orchestrated by the threat actor Rutify, who has released a video demonstrating multiple security breaches and infrastructure compromises.’ Publicado el 16 de abril de 2026.

[3] chum1ng0/security research (@chum1ng0). Publicación en X: ‘El grupo Rutify afirma haber comprometido y distribuido credenciales de acceso administrativo [TGR]. El grupo Rutify afirma haber accedido a los sistemas del Servel, el SAG y Pullman Bus, y también a las cámaras de vigilancia de la comuna de Las Condes.’ Twitter, mayo de 2026.

[4] VECERT Analyzer. Alerta en X sobre SRCEI Chile: ‘Victim: SRCEI Chile (National Register of Motor Vehicles). Threat Actor: Sorb. Country: Chile. Discovery Date: 2026-01-14. The leak is massive in scale, containing: Total Lines: 9,220,000 records.’ Publicado el 14 de enero de 2026.

[5] VECERT Analyzer. Alerta sobre Registro Civil de Chile: ‘MASSIVE DATA BREACH | CHILE. Affected entity: Registro Civil de Chile. Scale: ~10,000,000 individuals. Threat Actor: BreachLaboratory. Date reported: 2025-12-15.’ Publicado el 15 de diciembre de 2025.

[6] VECERT Cyber Threats. Portal de monitoreo en tiempo real: analyzer.vecert.io. Consultado el 1 de mayo de 2026.

[8] Agencia Nacional de Ciberseguridad (ANCI). Comunicado oficial: ‘La Agencia Nacional de Ciberseguridad informa sobre reportes de las últimas horas.’ Santiago, 1 de mayo de 2026, 13:28 hrs. Fuente primaria verificada con comunicado fotografiado. ANCI afirma llevar 48 horas analizando reportes de inteligencia sobre actividad maliciosa contra operadores de telecomunicaciones y servicios públicos, no puede corroborar autenticidad ni alcance del compromiso, y confirma que instituciones contactadas han adoptado medidas preventivas adicionales. Contacto oficial: 1510 / ayuda@anci.gob.cl.

Fuentes secundarias — medios de comunicación

[8] Vera, Josefina. ‘Compañía de ciberseguridad alerta posible vulneración de ClaveÚnica: Registro Civil descartó la alerta.’ Chilevisión Noticias, 1 de mayo de 2026. URL: chilevision.cl/noticias/nacional/compania-de-ciberseguridad-alerta-posible-vulneracion-de-claveunica-registro-civil-descarto-la-alerta

[9] ‘Reportan GRAVE INCIDENTE de CIBERSEGURIDAD en Chile: TGR y Registro Civil entre las ENTIDADES AFECTADAS.’ Amigos Penquistas, 30 de abril de 2026. URL: amigospenquistas.cl/2026/04/30/reportan-grave-incidente-de-ciberseguridad-en-chile-tgr-y-registro-civil-entre-las-entidades-afectadas

[10] ‘Alerta crítica de ciberseguridad: Reportan hackeo a sistemas de la Tesorería y el Registro Civil.’ El Pinguino, 1 de mayo de 2026. URL: elpinguino.com/noticia/2026/05/01/alerta-critica-de-ciberseguridad-reportan-hackeo-a-sistemas-de-la-tesoreria-y-el-registro-civil

[11] ‘Registro Civil descarta haber sufrido filtración masiva de datos tras denuncia de sitio de ciberseguridad.’ La Tercera, 20 de diciembre de 2025. URL: latercera.com/nacional/noticia/registro-civil-descarta-haber-sufrido-filtracion-masiva-de-datos

[12] ‘No existe, ni se ha detectado: Registro Civil descarta filtración de datos y vulneración de sistemas.’ T13, 20 de diciembre de 2025. URL: t13.cl/noticia/nacional/no-existe-ni-se-ha-detectado-registro-civil-descarta-filtracion-datos

[13] ‘Registro Civil descarta vulneración de sistema y filtración de los datos de 10 millones de personas.’ BioBioChile, 20 de diciembre de 2025. URL: biobiochile.cl/noticias/nacional/chile/2025/12/20/registro-civil-descarta-vulneracion-de-sistema

[14] ‘Registro Civil descarta hackeo tras alerta por supuesta filtración de datos.’ Chilevisión, diciembre de 2025.

[15] ‘Registro Civil tras denuncia en ciberseguridad: No hubo fuga de información.’ Radio Universidad de Chile, 20 de diciembre de 2025.

Fuentes de análisis e industria

[16] CronUp Ciberseguridad. ‘Chile en el Radar del Ransomware: Meses que Cambiaron el Escenario.’ Informe ejecutivo, febrero de 2026. URL: cronup.com/chile-en-el-radar-del-ransomware-meses-que-cambiaron-el-escenario

[17] WeLiveSecurity (ESET). ‘Ataque ransomware al grupo GTD afecta organismos públicos y empresas de Chile y Perú.’ Análisis técnico del ransomware Rorschach/BabLock, 2023. URL: welivesecurity.com/es/ransomware/ransomware-afecta-grup-gtd-organismos-chile-peru

[18] La Tercera / SCITUM. ‘Los Ransomware: un peligro para la seguridad de las organizaciones.’ Entrevista con Murena Lavín, coordinadora de Operaciones LATAM de Ciberseguridad. Publicado en 2023. URL: latercera.com/publirreportajes/noticia/los-ransomware-un-peligro-para-la-seguridad-de-las-organizaciones

[19] CSIRT Financiero Asobancaria. ‘Nueva actividad de Qilin ransomware.’ Alerta de seguridad publicada en csirtasobancaria.com. Consultado en mayo de 2026.

[20] WeLiveSecurity (ESET). ‘Aumenta el ransomware desplegado por grupos APT alineados a Estados, una mala noticia para todos.’ Análisis del informe de amenazas de ESET. URL: welivesecurity.com/es/ransomware/ransomware-grupos-apt-alineados-estados

[21] Kaspersky Latam. ‘¿Qué son las APT (amenazas persistentes avanzadas)?’ Recurso técnico de referencia. URL: latam.kaspersky.com/resource-center/definitions/advanced-persistent-threats

Marco regulatorio y normativo

[22] Ley 21.663. Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. República de Chile, 2024. Disponible en Biblioteca del Congreso Nacional (bcn.cl).

[23] Agencia Nacional de Ciberseguridad (ANCI). Sitio oficial: anci.gob.cl. Consultado en mayo de 2026.

[24] Tesorería General de la República. Página de ciberseguridad institucional: tgr.cl/ciberseguridad

Este reportaje fue elaborado íntegramente con información verificable de fuentes públicas y documentadas.

Radio Siglo 25  |  Unidad de Investigación  |  © 2026