Índice Reizan de Exposición OIV.
Grado sectorial A–F de postura anti-suplantación de correo en el universo de operadores nacionales de infraestructura crítica.
La capa pública del Índice de Concentración Soberana mide, por sector, qué proporción de dominios tiene autenticación anti-suplantación efectivamente aplicada (SPF presente + DMARC en política reject o quarantine). Cuando un sector completo carece de esa barrera, su correo es suplantable a escala. El índice es estrictamente sectorial: nunca identifica un operador.
- Agregado sectorial
- Sin entidades nombradas
- Cadencia trimestral
- Fuentes públicas
Grados de exposición por sector.
Solo graduamos sectores con cobertura de medición suficiente; el resto se publica al alcanzarla. Aquí se muestran únicamente los sectores con grado real.
- A≥80% con anti-spoofing enforced · resiliente a suplantación
- B60–79%
- C40–59%
- D20–39%
- E5–19% · mayoría suplantable
- F<5% · sector suplantable a escala
Cómo se calcula el grado
El grado A–F se deriva de Anti-suplantación aplicada % = porcentaje de dominios efectivamente medidos del sector con autenticación anti-suplantación enforced (SPF presente + DMARC en política reject o quarantine). Es la métrica que se contrasta contra la rúbrica. Dominios con señal DNS % es distinto: mide la cobertura de medición (qué proporción del sector devolvió señal DNS recuperable), no la postura — un sector solo se gradúa si esa cobertura es suficiente. Marco: Ley 21.459 · conforme a los principios de ISO/IEC 29147. Universo de referencia: 915 OIVs designados (Res. Exenta N° 87 ANCI, 16-dic-2025).
Una brecha estructural medible.
Sobre los sectores con cobertura de medición real suficiente, la autenticación anti-suplantación de correo enforced no supera el 13% de los dominios en ningún sector medido. El agregado nacional medible se ubica en el tramo F–E — la mayoría de los dominios son suplantables a escala sectorial. Es consistente con una brecha estructural de protección básica de correo frente a marcos internacionales más maduros.
Contexto documentado en el paper Coverage Gap · Zenodo DOI 10.5281/zenodo.20501960.
Qué significa un sector suplantable a escala.
El correo no autenticado y la ausencia de un canal de divulgación son el mecanismo de fondo detrás de tres clases de daño documentadas. Los casos citados son públicos y reconocidos; ilustran esa clase de consecuencia, no una causalidad con ninguna medición ni con ninguna entidad graduada por este índice.
Correo que aparenta ser del organismo.
Sin autenticación de correo aplicada, un tercero puede enviar mensajes que parecen provenir de una institución y dirigir a sus usuarios a sitios fraudulentos. En 2025 el Servicio de Impuestos Internos alertó públicamente sobre correos falsos que suplantaban su mensajería —una supuesta «Orden de Cierre de Giro» con un enlace a software captador de credenciales y datos bancarios— y presentó denuncia por delito informático.
Fuente: SII, comunicado oficial — sii.cl →Un correo creíble que redirige el dinero.
El fraude por compromiso de correo corporativo (BEC) consiste en suplantar a un proveedor o ejecutivo para que un pago se dirija a una cuenta controlada por el atacante. El FBI estima más de USD 55.000 millones en pérdidas globales reportadas entre 2013 y 2023. En Chile, la Agencia Nacional de Ciberseguridad reconoce el BEC como categoría de incidente con guía oficial de reporte —la existencia de ese canal es, precisamente, parte de la defensa.
Fuente: FBI / IC3 (PSA 2024) · ANCI — anci.gob.cl →De un correo a la interrupción de un servicio.
El correo malicioso es un vector documentado de entrada a infraestructura crítica. En 2020, BancoEstado reconoció oficialmente el mayor ciberataque de su historia; según reportes de seguridad, el vector inicial fue un documento malicioso abierto por un funcionario, y la mayoría de sus sucursales cerró temporalmente al público. La autenticación y el filtrado de correo son la primera línea frente a esta clase de vector.
Fuente: WeLiveSecurity (ESET) · comunicado BancoEstado →Estos son hechos públicos y reconocidos por los propios afectados o por las autoridades. Ilustran la clase de consecuencia que habilita un correo suplantable a escala; no implican relación con ninguna medición de este índice ni con ninguna entidad graduada. El marco metodológico se documenta en el paper Coverage Gap.
Contexto y marco: paper Coverage Gap · Zenodo DOI 10.5281/zenodo.20501960. Marco de divulgación: conforme a los principios de ISO/IEC 29147.
Un corte trimestral, recurrente.
- I.01 · CADENCIAActualización trimestralEl índice se publica como un corte recurrente. Cada actualización es comparable con la anterior a nivel sectorial, no individual.
- I.02 · UNIVERSOCatálogo oficial reguladoParte del universo formal de 915 operadores designados por el Estado (Res. Exenta N° 87 ANCI · Diario Oficial 16-dic-2025), no de una muestra.
- I.03 · GRADUACIÓN HONESTASolo señal verificableUn sector solo recibe grado si su cobertura de medición es suficiente. La brecha de escaneo se reporta como tal, nunca se disfraza de postura de seguridad.
- I.04 · AGREGADO SECTORIALCero entidades nombradasEl índice publica grados estrictamente sectoriales. No identifica, ni permite inferir, la postura de un operador específico.
¿Es usted aseguradora, gremio, OIV o auditor?
La lectura agregada es pública. El desglose sectorial del corte vigente se entrega a perfiles cualificados: aseguradoras y suscriptores de riesgo cyber, gremios sectoriales, OIVs, auditores y reguladores. La serie trimestral se construye a partir de aquí.
Una métrica sectorial para tarificar y priorizar cartera sin exponer a ningún operador individual.
El marco completo se documenta en la fuente canónica de investigación de Reizan, con DOI permanente.
Ver investigación →Corte trimestral · perfiles cualificados reciben el desglose sectorial del corte vigente; la serie trimestral se construye a partir de aquí.