Hackeo a Telecomunicaciones en Chile: IA, Geopolítica y la Nueva Realidad del Ciberespionaje en Latinoamérica

En febrero de 2026, el gobierno de Estados Unidos hizo pública una advertencia que sacudió la escena de ciberseguridad en Chile: Empresas de telecomunicaciones chilenas habían sido comprometidas por un grupo de ciberespionaje vinculado a un Estado-nación. La Fiscalía abrió una investigación. Se revocaron visas. El embajador estadounidense reveló que la advertencia al gobierno chileno había sido hecha con anterioridad, sin recibir respuesta.

Pero esta no es solo una noticia chilena. El grupo detrás del ataque, conocido como Salt Typhoon, comprometió más de 600 organizaciones en 80+ países, incluyendo a los principales operadores de telecomunicaciones del mundo. Y lo que convierte esta historia en un punto de inflexión es cómo la inteligencia artificial está transformando el ciberespionaje estatal de una operación artesanal a una máquina industrial.

Los datos son claros:

• 169.310 dispositivos comprometidos solo en Chile durante 2025, ubicando al país en el top 5 de los más atacados de Latinoamérica
• 64% de los ejecutivos considera los ciberataques geopolíticamente motivados como una amenaza real para su organización
• Solo Brasil y Chile en toda Latinoamérica exigen a las empresas de telecomunicaciones reportar brechas de seguridad
• 29 empresas de telecomunicaciones figuran en la lista de Operadores de Importancia Vital (OIV) de Chile

Este artículo analiza qué pasó, quién está detrás, cómo la IA está redefiniendo el espionaje digital, y qué puede hacer tu organización para protegerse en un escenario donde la geopolítica y la tecnología convergen contra la infraestructura crítica de Latinoamérica.

¿Qué pasó con el hackeo a las telecomunicaciones en Chile?

El 25 de febrero de 2026, medios chilenos publicaron que el gobierno de Estados Unidos había alertado a Chile sobre la vulneración de empresas de telecomunicaciones nacionales. La información fue confirmada por el embajador estadounidense Mark Judd, quien además reveló que la advertencia al gobierno chileno se había hecho antes, sin obtener respuesta.

Lo que siguió fue una cadena de eventos que dejaron en evidencia la gravedad del asunto:

• La Fiscalía abrió una investigación por el supuesto hackeo a empresas chilenas
• EE.UU. revocó visas de ciudadanos chilenos vinculados al caso
• El contexto inmediato: La construcción del cable submarino de fibra óptica entre Chile y China, un proyecto que conectaría directamente la infraestructura de comunicaciones chilena con la potencia asiática

La advertencia del gobierno estadounidense no fue un gesto diplomático de rutina. Fue una señal de que Chile se convirtió en un terreno de disputa geopolítica donde las telecomunicaciones son el campo de batalla.

Lo que muchos medios cubrieron como una noticia puntual es, en realidad, la manifestación local de una campaña global de ciberespionaje que lleva años operando. Y esa campaña tiene nombre.

¿Quién es Salt Typhoon y por qué debería preocuparte?

Salt Typhoon es el nombre con el que la industria de ciberseguridad identifica a un grupo de amenazas persistentes avanzadas (APT) vinculado a un Estado-nación. Su objetivo principal: Infraestructura de telecomunicaciones a nivel global.

Los números son contundentes:

• 600+ organizaciones comprometidas en más de 80 países
• Acceso confirmado a los sistemas de interceptación legal de operadores de telecomunicaciones en Estados Unidos, lo que significa que pudieron espiar a quienes estaban siendo legalmente vigilados
• Comprometieron las comunicaciones privadas de funcionarios gubernamentales de alto nivel
• La operación se mantuvo activa durante meses antes de ser detectada
• La CISA y el FBI emitieron alertas conjuntas sobre la gravedad de la campaña

¿Por qué telecomunicaciones? Porque quien controla la infraestructura de comunicaciones tiene acceso a todo lo que viaja por ella: Llamadas, mensajes, datos de ubicación, metadatos, comunicaciones empresariales y gubernamentales. Es el equivalente digital a controlar las rutas marítimas en el siglo XIX.

Lo que hace a Salt Typhoon particularmente peligroso no es solo su alcance, sino su sofisticación técnica. Utilizan técnicas de "living off the land" (aprovechando herramientas legítimas del sistema para evitar detección), explotan vulnerabilidades en equipos de red de fabricantes específicos, y tienen la paciencia operativa de permanecer dentro de una red durante meses sin ser detectados.

Y aquí es donde la inteligencia artificial entra en escena.

¿Cómo usa la IA el ciberespionaje estatal en 2026?

La inteligencia artificial no inventó el ciberespionaje. Pero lo industrializó. Lo que antes requería equipos de docenas de operadores humanos trabajando durante meses, hoy puede ejecutarse con una fracción de los recursos y a una velocidad exponencialmente mayor.

El World Economic Forum reporta que el 94% de los líderes de ciberseguridad identifica la IA como el factor que más está transformando el panorama de amenazas en 2026. Y en el contexto del ciberespionaje estatal, esto se traduce en capacidades concretas:

Reconocimiento automatizado a escala

Los agentes de IA pueden escanear la superficie de ataque completa de un operador de telecomunicaciones en horas, no semanas. Identifican puertos abiertos, servicios expuestos, versiones de software vulnerables y configuraciones débiles. Salt Typhoon y otros grupos APT utilizan estas capacidades para mapear objetivos antes de lanzar el ataque.

Deepfakes para infiltración

Una de las tendencias más alarmantes de 2026 es el uso de identidades generadas por IA para infiltrar organizaciones. Ya se han documentado casos de operativos de espionaje que utilizaron deepfakes para pasar procesos de selección de personal en empresas tecnológicas, obteniendo acceso interno a sistemas críticos. Perú ya tomó nota: La Ley 32314 penaliza específicamente los crímenes habilitados por IA, incluyendo deepfakes.

Exfiltración inteligente de datos

La IA permite a los atacantes clasificar y priorizar la información robada en tiempo real. En lugar de exfiltrar terabytes de datos crudos (lo que genera tráfico detectable), los agentes de IA identifican y extraen solo la información de mayor valor: Comunicaciones de funcionarios, datos de interceptación legal, registros de llamadas sensibles.

Evasión de defensas

Los modelos de IA generan variantes de malware que evaden los sistemas de detección tradicionales basados en firmas. También optimizan las técnicas de movimiento lateral dentro de una red comprometida, ajustando su comportamiento en tiempo real para no disparar alertas.

Ingeniería social potenciada

El vishing con deepfakes creció 1.600% en un solo trimestre durante 2025. En el contexto de ciberespionaje, esto significa que un atacante puede clonar la voz de un ejecutivo de telecomunicaciones y llamar a un ingeniero de red para solicitar acceso a sistemas críticos. El 25% de las personas no logra distinguir una voz deepfake de una real.

Mi lectura de la situación es directa: Lo que vimos en Chile no fue un incidente aislado. Fue una operación de inteligencia a escala industrial, potenciada por herramientas que hace tres años no existían.

¿Qué tan vulnerables son las telecomunicaciones en Latinoamérica?

La respuesta corta: Muy vulnerables. Y las cifras lo demuestran.

Chile: En el ojo de la tormenta

• 169.310 dispositivos comprometidos en 2025, ubicando a Chile en el top 5 de los países más atacados de Latinoamérica
• 29 empresas de telecomunicaciones en la nómina de OIV de la ANCI
• 8 ataques de ransomware contra organizaciones chilenas entre diciembre 2025 y febrero 2026, incluyendo múltiples sectores críticos
• El cable submarino Chile-China convierte al país en un punto estratégico de interés geopolítico para múltiples actores

La brecha regulatoria regional

Un dato que pocos mencionan: Solo Brasil y Chile en toda Latinoamérica exigen a las empresas de telecomunicaciones reportar brechas de seguridad. Esto significa que en la mayoría de los países de la región, un operador de telecomunicaciones puede ser comprometido y no tiene obligación legal de informar ni a la autoridad ni a los usuarios afectados.

La Ley Marco de Ciberseguridad (21.663) en Chile es la excepción, no la regla. Los OIV del sector telecomunicaciones deben:

• Reportar incidentes dentro de 3 horas (alerta temprana)
• Mantener un SGSI certificado
• Contar con monitoreo 24/7 operativo
• Enfrentar multas de hasta 40.000 UTM (~$2.795 millones CLP) por incumplimiento

Pero tener regulación no es lo mismo que estar protegido. La pregunta es si las empresas de telecomunicaciones de la región tienen las capacidades técnicas para detectar a un grupo como Salt Typhoon que opera sigilosamente dentro de sus redes durante meses.

Las telecomunicaciones como puerta de entrada a todo lo demás

Lo que hace que el hackeo a telecomunicaciones sea particularmente grave es el efecto dominó. Un operador de telecomunicaciones comprometido no solo expone sus propios datos: Expone a todos sus clientes. Empresas, gobierno, fuerzas armadas, sistema financiero, sector salud. Todo lo que viaja por esas redes queda potencialmente expuesto.

Si consideramos que el 64% de los ejecutivos ya considera los ciberataques geopolíticamente motivados como una amenaza concreta, el hackeo a telecomunicaciones no es solo un problema del sector telecom. Es un problema de seguridad nacional y empresarial.

¿Qué están haciendo Chile, Perú y Colombia al respecto?

La respuesta regulatoria y operativa varía significativamente entre los tres países, pero la tendencia es clara: Los marcos se endurecen.

Chile: El marco más avanzado de la región

Chile lidera en regulación de ciberseguridad para infraestructura crítica en Latinoamérica:

• Ley 21.663 vigente desde enero 2025, con la ANCI operativa y fiscalizando
• 915 OIV declarados, incluyendo 29 empresas de telecomunicaciones
• Plazo para acreditar cumplimiento: ~Junio 2026
• La Fiscalía ya tiene abierta una investigación por el hackeo revelado por EE.UU.
• Primer balance ANCI: 3.258 instituciones registradas, más de 400 incidentes reportados

Sin embargo, la respuesta inicial al hackeo dejó preguntas abiertas. Si la advertencia estadounidense se hizo con anterioridad y no tuvo respuesta, el problema no es solo regulatorio. Es de capacidad operativa para detectar y responder a amenazas de este nivel de sofisticación.

Perú: Avanzando en regulación, con brechas importantes

Perú ha dado pasos significativos en el último año:

• El Decreto Legislativo 1700 (enero 2026) actualizó la Ley de Ciberdelitos, agregando el delito de tráfico de datos personales
• La Ley 32314 penaliza específicamente crímenes habilitados por IA, incluyendo deepfakes
• El Centro Nacional de Seguridad Digital (CNSD) coordina la gestión de incidentes para infraestructura crítica
• La regulación de IA (DS 115-2025-PCM), vigente desde enero 2026, clasifica sistemas de IA en tres niveles de riesgo

La brecha: No existe una lista publicada de operadores críticos equivalente a los OIV de Chile, y las obligaciones de reporte no incluyen plazos tan estrictos. Las telecomunicaciones no tienen una obligación explícita de reportar brechas.

Colombia: Marco estratégico en construcción

Colombia avanza con un enfoque de política pública:

• La CRC (Comisión de Regulación de Comunicaciones) publicó un análisis prospectivo de ciberseguridad en diciembre 2025
• El CONPES 4144 aborda las amenazas de IA a sectores críticos
• El proyecto PL 043-2025 de regulación de IA avanza en el Congreso con clasificación de riesgo y marco de gobernanza
• ColCERT y CSIRTs sectoriales coordinan la respuesta a incidentes

La brecha: No hay una lista obligatoria de operadores críticos, ni sanciones específicas por incumplimiento de estándares de ciberseguridad para infraestructura crítica. Sin embargo, la tendencia regulatoria es clara y las empresas que se anticipen tendrán ventaja.

Tabla comparativa: Estado de regulación telecom en la región

¿Cómo proteger tu infraestructura crítica hoy?

Lo que reveló el caso del hackeo a telecomunicaciones en Chile no es nuevo para quienes trabajamos en ciberseguridad: Los ataques de ciberespionaje estatal no se detectan con antivirus ni con firewalls tradicionales. Se detectan con inteligencia, monitoreo continuo y la capacidad de identificar comportamientos anómalos dentro de redes aparentemente normales.

Estas son las capacidades que toda organización con infraestructura crítica debería tener operativas:

Cyber Threat Intelligence (CTI) activo

La inteligencia de amenazas no es un reporte mensual que se lee y se archiva. Es una operación continua que monitorea indicadores de compromiso (IoC), rastrea la actividad de grupos APT como Salt Typhoon, y cruza esa información con el contexto específico de tu organización.

Un CTI efectivo hubiera identificado las técnicas, tácticas y procedimientos (TTPs) de Salt Typhoon antes de que el compromiso se hiciera público. La diferencia entre enterarte por la prensa y enterarte por tu sistema de inteligencia puede ser la diferencia entre un incidente contenido y una brecha catastrófica.

Monitoreo de Dark y Deep Web

Los datos robados de telecomunicaciones no desaparecen. Se venden, se intercambian y se utilizan en foros de la deep web y marketplaces de la dark web. El monitoreo activo de estos espacios permite:

• Detectar credenciales filtradas de tu organización
• Identificar menciones de tu empresa o sector en foros de actores de amenazas
• Anticipar ataques que se están planificando contra tu industria
• Verificar si datos de tus clientes o empleados están siendo comercializados

CyberSOC con IA: Detección que supera al atacante

Un grupo como Salt Typhoon opera con técnicas diseñadas para pasar desapercibido durante meses. Detectarlo requiere un CyberSOC que integre inteligencia artificial en cada capa de su operación:

• Análisis de comportamiento (UEBA): La IA establece líneas base de actividad normal para cada usuario, dispositivo y servicio. Cuando Salt Typhoon usa credenciales legítimas para moverse lateralmente, el comportamiento anómalo es detectable incluso sin firmas conocidas.
• Correlación inteligente de eventos: Millones de logs diarios procesados con IA que identifica patrones que un analista humano tardaría semanas en detectar.
• Threat hunting proactivo: No esperar a que la alerta salte. Buscar activamente indicadores de compromiso asociados a grupos APT conocidos.
• Respuesta automatizada: Contener una amenaza en segundos, no en horas. Aislar endpoints, bloquear comunicaciones con servidores de comando y control, preservar evidencia forense.

Gestión de superficie de ataque (ASM)

Los atacantes ven tu organización desde afuera antes de entrar. Tú deberías hacer lo mismo. Un ASM continuo identifica todos los activos expuestos a internet, detecta configuraciones débiles, y prioriza la remediación por nivel de riesgo real.

En el caso de telecomunicaciones, esto incluye no solo los sistemas corporativos sino toda la infraestructura de red: Routers, switches, sistemas de gestión, plataformas de billing, y los equipos de red que Salt Typhoon específicamente apuntó en sus operaciones.

Evaluación de la cadena de suministro

Tu seguridad es tan fuerte como el eslabón más débil. Si tu organización depende de un operador de telecomunicaciones para sus comunicaciones (y casi todas lo hacen), la seguridad de ese operador es directamente tu riesgo. Evalúa a tus proveedores críticos, exige evidencia de sus controles de seguridad, y establece cláusulas contractuales de notificación de brechas.

Checklist: ¿Tu organización está preparada para amenazas de ciberespionaje?

Evalúa el nivel de protección de tu infraestructura frente a amenazas avanzadas tipo Salt Typhoon:

Inteligencia y visibilidad:

• Monitoreo de Threat Intelligence activo con cobertura de grupos APT relevantes a tu sector
• Monitoreo de Dark y Deep Web para credenciales filtradas, menciones y datos expuestos
• Gestión de superficie de ataque (ASM) continua con visibilidad de todos los activos expuestos
• Inventario actualizado de equipos de red y sus versiones de firmware/software

Detección y respuesta:

• CyberSOC con monitoreo 24/7 operativo (interno o externo)
• Detección basada en comportamiento (UEBA), no solo en firmas
• Capacidad de threat hunting proactivo
• Plan de respuesta a incidentes documentado y ensayado

Protección de infraestructura:

• Segmentación de red implementada (los atacantes no deberían poder moverse libremente)
• Autenticación multifactor (MFA) en todos los accesos críticos
• Monitoreo de movimiento lateral dentro de la red
• Cifrado de comunicaciones sensibles end-to-end

Resultado orientativo:

• 0-3 puntos: Riesgo crítico. Tu organización no tiene visibilidad sobre amenazas avanzadas. Un grupo como Salt Typhoon podría operar en tu red durante meses sin ser detectado. Necesitas actuar de inmediato.
• 4-7 puntos: Riesgo moderado. Tienes bases de protección, pero hay brechas que los atacantes sofisticados están diseñados para explotar. Prioriza CTI, monitoreo de Dark Web y detección basada en comportamiento.
• 8-12 puntos: Preparación avanzada. Tu organización tiene las capacidades necesarias para enfrentar amenazas de nivel estatal. Enfócate en mantener la inteligencia actualizada y realizar ejercicios de threat hunting periódicos.

La geopolítica ya llegó a tu red

Lo que reveló el hackeo a telecomunicaciones en Chile es un cambio de paradigma que no va a revertirse. Las telecomunicaciones dejaron de ser infraestructura neutral para convertirse en terreno de disputa geopolítica. La inteligencia artificial convirtió el ciberespionaje de una operación quirúrgica a una operación industrial. Y Latinoamérica, con su creciente importancia estratégica y sus brechas regulatorias, es un objetivo cada vez más atractivo.

Para las empresas de la región, el mensaje es claro: La seguridad de tu organización ya no depende solo de tus firewalls y tus contraseñas. Depende de tu capacidad para anticipar, detectar y responder a amenazas que vienen de actores con recursos ilimitados y motivaciones geopolíticas.

¿Tu organización tiene visibilidad sobre las amenazas que realmente importan?

En Netprovider, nuestro CyberSOC Regional integra Cyber Threat Intelligence (CTI), monitoreo de Dark y Deep Web, Attack Surface Management (ASM) y detección potenciada con inteligencia artificial. Protegemos organizaciones de sectores críticos en Chile y la región contra amenazas que van desde ransomware hasta ciberespionaje estatal. Porque cuando el ataque viene de un actor con los recursos de un Estado-nación, necesitas una defensa que opere al mismo nivel.

Habla con nuestro equipo y conoce cómo operamos la ciberdefensa en la era del ciberespionaje con IA.

Fuentes

• Emol - EE.UU. alerta sobre hackeo a telecomunicaciones chilenas
• T13 - Fiscalía abre investigación tras alerta de EE.UU.
• BioBioChile - Embajador de EE.UU. explica revocación de visas y advertencia al gobierno
• Ecosistema Startup - Salt Typhoon: Ciberataques a telecom en 80 países
• World Economic Forum - Global Cybersecurity Outlook 2026
• CRC Colombia - Análisis prospectivo en materia de ciberseguridad
• ANCI - Nómina de OIV
• Gestión Perú - Ciberdelitos y nuevas amenazas 2026
• CSIRT Chile