NoCaiga.cl / Métodos de engaño
🎓 Educación preventiva

Métodos de engaño
más usados en Chile

Cómo operan las tiendas falsas, el phishing, smishing, QR fraudulentos y apps falsas. Reconócelos antes de caer.

En esta página

🏪 Tiendas falsas 🤖 Tiendas falsas con IA 📧 Phishing 💬 Smishing 📷 QR fraudulentos 📱 Redes sociales 📲 Apps falsas
🏪

Tiendas falsas

Sitios web que simulan ser tiendas legítimas para cobrar sin despachar, o que suplantan marcas conocidas para robar datos de pago.

¿Cómo funciona?

1

Hay dos modalidades principales. Las redes que suplantan marcas conocidas (zapatillas, ropa, herramientas) fabrican sitios con diseño profesional — a veces copiando imágenes y textos de la marca real — pero rara vez los promocionan en redes sociales: dependen de que la gente los encuentre buscando la marca en Google. Las tiendas dudosas que operan por Instagram o Facebook, en cambio, sí se difunden activamente con publicidad y ofertas muy atractivas, especialmente en fechas como CyberMonday o Navidad.

2

Los medios de pago también difieren según la modalidad. Las redes que suplantan marcas suelen aceptar solo tarjetas internacionales — sin medios de pago chilenos. Las tiendas dudosas de Instagram o Facebook a menudo sí aceptan Mercado Pago o transferencia, lo que les da una apariencia más confiable, pero igualmente no despachan el producto o desaparecen después del pago.

3

Muchos dominios tienen pocos días o semanas de antigüedad, no tienen RUT visible, no operan con WebPay ni Transbank, y su español tiene errores de traducción automática.

Señales de alerta

Precios muy por debajo del mercado — zapatillas de $180.000 a $15.000 no existen.

No tiene RUT ni razón social visible en el sitio.

No acepta WebPay ni Transbank — solo tarjetas internacionales o transferencia.

Dominio recién creado (puedes verificarlo con WHOIS).

Texto en español con errores extraños o frases que no tienen sentido en Chile.

Los íconos de redes sociales no llevan a ninguna cuenta real.

Caso real: red de tiendas falsas de zapatillas en Chile Durante 2023 y 2024 operó una red de más de 30 dominios que suplantaban marcas como Nike, Adidas y New Balance. Los sitios cobraban con tarjeta internacional, nunca despachaban, y desaparecían al cabo de semanas para reaparecer con otro dominio. NoCaiga documentó decenas de ellos.

✓ Cómo protegerte

  • Busca el dominio en NoCaiga.cl antes de comprar.
  • Verifica que el sitio tenga RUT visible y pague con WebPay o Transbank.
  • Desconfía de precios que parecen demasiado buenos para ser verdad.
  • Revisa cuándo fue creado el dominio — menos de 6 meses es señal de alerta.
  • Si pagas con tarjeta de crédito y no recibes el producto, puedes solicitar un contracargo (chargeback) a tu banco — pero no es una garantía: las posibilidades disminuyen si el cobro fue de un comercio extranjero. Inténtalo igual y pide el número de caso por escrito.
🤖

Tiendas falsas generadas con inteligencia artificial

La nueva generación de tiendas falsas: clonadas en minutos con IA, con apariencia más profesional y reseñas inventadas que antes eran señal de confianza.

¿Cómo funciona?

1

Hasta hace poco, armar una tienda falsa convincente requería tiempo: diseño, fotos, textos, traducción. Hoy, con herramientas de IA, los estafadores pueden clonar una tienda completa en minutos — incluyendo diseño, catálogo de productos, certificado SSL y pasarela de pago falsa. Esto explica por qué siguen apareciendo sitios nuevos aunque las redes sociales filtren cuentas con más cuidado.

2

La IA también genera reseñas y testimonios falsos con nombres, fechas y comentarios que parecen reales. Antes, ver reseñas en un sitio era una señal positiva; hoy ya no lo es — cualquier tienda, real o falsa, puede mostrar decenas de comentarios fabricados.

3

Especialistas advirtieron este mismo mes, durante CyberDay 2026, que estas tiendas con IA son "casi idénticas a las originales" — el diseño profesional y el español correcto ya no garantizan nada. La diferencia ahora está en los datos comerciales (RUT, medios de pago, antigüedad del dominio), no en la apariencia.

Señales de alerta

El diseño es impecable y el español es perfecto — eso ya no es garantía de nada.

Tiene certificado SSL (candado, https) — los sitios con IA también lo incluyen fácilmente.

Las reseñas están solo en el propio sitio, no en Google ni en redes externas.

El dominio tiene pocas semanas de antigüedad pese a la apariencia "establecida" del sitio.

No hay RUT, razón social ni dirección verificable — lo único que la IA no puede inventar de forma creíble.

Lo que cambió con la IA Antes de la IA, las señales clásicas eran español con errores, diseño amateur y pocas reseñas. Hoy esas señales casi no aparecen — los sitios falsos pueden verse igual o mejor que los reales. Por eso el foco se traslada a verificar datos comerciales concretos (RUT, antigüedad del dominio, medios de pago chilenos) en vez de la apariencia general del sitio.

✓ Cómo protegerte

  • No te fíes del diseño ni de las reseñas en el propio sitio — verifica RUT, razón social y medios de pago.
  • Usa nuestra herramienta Verificar sitio Beta para revisar antigüedad del dominio y datos comerciales.
  • Busca reseñas en plataformas externas (Google, Trustpilot) — no en el sitio mismo.
  • Durante eventos como CyberDay, escribe directamente la dirección oficial de la tienda en el navegador en vez de hacer clic en links de redes sociales o correos.
📧

Phishing

Correos electrónicos que suplantan a bancos, servicios del Estado o empresas conocidas para robar tus credenciales, datos bancarios o clave única.

¿Cómo funciona?

1

Recibes un correo que parece oficial — del SII, tu banco, Correos, Mercado Libre — con logo, colores y formato idéntico al original. El remitente puede parecer legítimo a primera vista.

2

El mensaje crea urgencia: "Tu cuenta será bloqueada", "Tienes una devolución pendiente", "Debes actualizar tus datos". Te invita a hacer clic en un enlace.

3

El enlace lleva a un sitio falso idéntico al original. Ingresas tus datos — RUT, clave, número de tarjeta — y los delincuentes los capturan en tiempo real.

Señales de alerta

El remitente tiene un dominio extraño — no es @bancoestado.cl sino @bancoestado-chile.com o similar.

El enlace no lleva al dominio oficial — pasa el cursor por encima antes de hacer clic.

El mensaje crea urgencia o amenaza con consecuencias inmediatas si no actúas.

Te pide ingresar tu clave completa, datos de tarjeta o clave única.

Tiene errores ortográficos o frases que un banco real no usaría.

Caso real: phishing SII durante Operación Renta Cada año durante la operación renta, circulan correos falsos que suplantan al SII ofreciendo "devoluciones de impuestos". El link lleva a un sitio idéntico al del SII donde se roban el RUT, clave tributaria y datos bancarios. ANCI/CSIRT emite alertas anuales sobre esta campaña.

✓ Cómo protegerte

  • Nunca hagas clic en links de correos no solicitados — ve directamente al sitio oficial escribiendo la dirección.
  • Verifica el dominio del remitente antes de confiar en el correo.
  • Los bancos y el SII nunca te pedirán tu clave por correo.
  • Activa la verificación en dos pasos en tus cuentas bancarias.
  • Si recibes un correo sospechoso, repórtalo a ANCI/CSIRT en reportes@csirt.cl
💬

Smishing

Phishing por SMS o WhatsApp. Mensajes de texto que suplantan a bancos, Correos, servicios de delivery o empresas del Estado para robar datos o instalar malware.

¿Cómo funciona?

1

Recibes un SMS o WhatsApp de un número desconocido — o que aparenta ser de tu banco o de Correos Chile — con un mensaje urgente: "Tu paquete está retenido", "Movimiento sospechoso en tu cuenta", "Ganaste un premio".

2

El mensaje incluye un link corto (bit.ly, t.co, etc.) que lleva a un sitio falso donde te piden datos personales, bancarios o que descargues una app.

3

Si ingresas tus datos o instalas lo que te piden, los delincuentes acceden a tus cuentas o instalan malware en tu dispositivo.

Señales de alerta

El mensaje llega de un número que no reconoces o que parece un número normal, no un código corto oficial.

Contiene un link acortado — Correos Chile y los bancos usan sus propios dominios, no links cortos.

Crea urgencia: "tienes 24 horas", "actúa ahora o tu cuenta será bloqueada".

Te pide ingresar datos bancarios, clave o número de tarjeta en un formulario.

El sitio al que lleva el link no tiene el dominio oficial de la empresa.

Caso real: smishing Correos Chile con cobro de arancel Una de las campañas más masivas en Chile en 2024: SMS que suplantan a Correos Chile indicando que hay un paquete retenido por "arancel de aduana pendiente" de $890 pesos. El link lleva a un sitio falso que roba datos de tarjeta. ANCI/CSIRT emitió múltiples alertas al respecto.

✓ Cómo protegerte

  • No hagas clic en links de SMS no solicitados — busca el estado de tu envío directamente en el sitio oficial.
  • Correos Chile, bancos y el Estado no cobran aranceles por SMS.
  • Si recibes un mensaje sospechoso, bloquea el número y repórtalo.
  • Nunca ingreses datos de tarjeta en un sitio al que llegaste por un SMS.
📷

QR fraudulentos

Códigos QR físicos o digitales que llevan a sitios falsos, instalan malware o inician pagos no autorizados. Modalidad creciente en Chile.

¿Cómo funciona?

1

Los delincuentes pegan stickers con QR falsos sobre códigos legítimos en restaurantes, parquímetros, lugares públicos o los distribuyen en correos y redes sociales.

2

Al escanear el QR, eres redirigido a un sitio falso que puede imitar un banco, un servicio de pago, o directamente solicitar datos personales o de tarjeta.

3

Algunos QR fraudulentos inician automáticamente una descarga de malware o abren apps de pago con montos prellenados.

Señales de alerta

El QR está sobre un sticker pegado encima de otro código — señal de que fue alterado.

La URL a la que lleva no corresponde al dominio oficial del lugar o empresa.

Te pide ingresar datos de tarjeta o credenciales antes de mostrarte cualquier contenido.

El sitio al que lleva tiene errores, se ve genérico o diferente al sitio oficial que conoces.

Modalidad en auge: QR en multas y notificaciones falsas Circulan en Chile supuestas "multas de tránsito" o "notificaciones judiciales" en papel que incluyen un QR para "ver los antecedentes del caso". El código lleva a un formulario que roba datos personales y bancarios.

✓ Cómo protegerte

  • Antes de escanear un QR en un lugar público, verifica que no haya un sticker pegado encima.
  • Revisa la URL a la que lleva el QR antes de ingresar cualquier dato.
  • Usa el lector de QR integrado de tu teléfono — te muestra la URL antes de abrirla.
  • Nunca ingreses datos de tarjeta en un sitio al que llegaste por un QR que no esperabas.
📱

Estafas en redes sociales

Tiendas falsas en Instagram y Facebook, concursos fraudulentos, cuentas clonadas y ventas que nunca se concretan.

¿Cómo funciona?

1

Crean una cuenta en Instagram o Facebook con fotos atractivas de productos (muchas veces robadas de tiendas reales), precios bajos y una historia de marca falsa. Pagan publicidad para aparecer en tu feed.

2

Te piden pagar por transferencia bancaria o Mercado Pago a cuenta de persona natural — sin factura, sin comprobante formal, sin protección al consumidor.

3

Una vez recibido el pago, bloquean al comprador y desaparecen, o demoran indefinidamente el despacho con excusas.

Señales de alerta

La cuenta tiene pocos seguidores reales o fue creada hace poco — revisa la fecha de las primeras publicaciones.

Miles de seguidores pero casi sin interacción real: pocos likes, comentarios genéricos o inexistentes.

Los comentarios están desactivados, limitados o llenos de reclamos de personas que no recibieron su pedido.

La cuenta ha cambiado de nombre varias veces recientemente — señal de que opera en serie bajo distintas identidades.

Solo aceptan transferencia bancaria o pago a cuenta de persona natural — nunca WebPay ni métodos con protección al comprador.

No muestran RUT, razón social, dirección física ni teléfono verificable.

Publican únicamente ofertas con descuentos extremos — 70%, 80% o 90% en productos de marcas conocidas.

Te presionan para pagar rápido con frases como "últimas unidades", "solo por hoy" o "debes transferir ahora".

Importante: que un vendedor acepte Mercado Pago no lo hace confiable Las protecciones para compradores pueden variar según cómo y a quién pagues. No todos los pagos realizados mediante Mercado Pago tienen la misma cobertura: depende del tipo de cuenta del vendedor, del canal utilizado y de las condiciones vigentes al momento de la transacción. Antes de pagar a un vendedor desconocido, verifica su identidad, reputación, antigüedad y datos comerciales — independientemente del medio de pago que ofrezca.

✓ Cómo protegerte

  • Busca reseñas de la tienda fuera de Instagram — Google, Reddit, foros de consumidores y reclamos en SERNAC.
  • Si tienen sitio web propio, verifica cuándo fue creado el dominio — menos de 6 meses es señal de alerta.
  • Usa nuestra herramienta Verificar sitio si la tienda tiene página web.
  • Revisa que muestren razón social, RUT, dirección física, teléfono verificable y políticas de cambios.
  • Prefiere pagar con tarjeta de crédito — si no recibes el producto, puedes solicitar un contracargo (chargeback) a tu banco, aunque las posibilidades son menores si el cobro fue de un comercio extranjero.
  • Nunca pagues por transferencia a personas o empresas que no conoces.
La regla que evita el 80% de las estafas en Instagram y Facebook Si una tienda solo acepta transferencias, no muestra RUT ni razón social, tiene los comentarios limitados y ofrece precios increíblemente bajos en productos de marcas conocidas — asume que es una estafa hasta demostrar lo contrario.
📲

Apps falsas

Aplicaciones que imitan a tu banco, a Correos, a servicios del Estado u otras apps conocidas para robar tus datos o instalar malware en tu teléfono.

¿Cómo funciona?

1

Los delincuentes crean una app que imita visualmente a una aplicación legítima — el banco, Correos, una app de gobierno o una tienda conocida. La publican en tiendas no oficiales o la distribuyen por WhatsApp y SMS.

2

Al instalarla, la app pide permisos excesivos — acceso a contactos, cámara, SMS, ubicación — que una app legítima normalmente no necesitaría.

3

La app roba las credenciales que ingresas, intercepta los SMS de verificación de tu banco, o instala un troyano bancario que captura todo lo que escribes.

Señales de alerta

Te llega un link por WhatsApp o SMS para descargar una app — las apps legítimas se descargan desde App Store o Google Play, no por links.

El nombre del desarrollador en la tienda no coincide con la empresa oficial.

Pide permisos que no tienen sentido — una app de banco no necesita acceso a tu cámara o contactos.

Tiene pocas reseñas o el número de descargas es muy bajo para una app de una institución conocida.

Te pide ingresar tu clave completa o datos de tarjeta en la primera pantalla.

Troyano bancario Mekotio — documentado en Chile La ANCI/CSIRT ha alertado en varias ocasiones sobre Mekotio, un troyano bancario activo en Chile y Latinoamérica. Se distribuye por correos con falsas citaciones judiciales o facturas. Al abrir el archivo adjunto, el malware se instala y captura credenciales bancarias.

✓ Cómo protegerte

  • Descarga apps bancarias y oficiales solo desde App Store o Google Play — nunca desde un link recibido por mensaje.
  • Antes de instalar, verifica que el desarrollador sea la empresa oficial.
  • Desconfía de cualquier mensaje que te pida "actualizar" o "reinstalar" tu app bancaria.
  • No abras archivos adjuntos de correos no esperados — facturas, citaciones o notificaciones que no pediste.
  • Activa la verificación en dos pasos en tu banco si está disponible.
🔍 ¿Tienes dudas sobre un sitio? Analízalo antes de comprar.
Verificar sitio Beta

¿Encontraste una tienda sospechosa?

Tu reporte puede proteger a otros consumidores chilenos.

Reportar sitio
⚠ NoCaiga.cl es una herramienta de información preventiva. No somos una autoridad judicial ni reemplazamos la denuncia ante PDI, Fiscalía, SERNAC o tu banco.