El uso no autorizado del nombre de la autopista Américo Vespucio Oriente para una prueba de ciberseguridad dejó a miles de usuarios confundidos y a una empresa querellada. Expertos como Patricio Campos, CEO de Resility, explican por qué estos ejercicios son necesarios, pero deben hacerse con reglas claras.
Lo que comenzó como un ejercicio de ciberseguridad terminó convertido en un escándalo público y judicial. Esto, luego de que miles de clientes de la autopista Américo Vespucio Oriente (AVO) recibieron un correo que simulaba una deuda impaga, acompañado de un enlace que los dirigía a un sitio web clonado, idéntico al oficial, pero con una letra añadida en el dominio: aavo.cl. La situación, que en un principio parecía un ataque de phishing convencional, resultó ser una prueba interna dirigida a trabajadores de otra empresa: RedSalud.
El problema es que AVO jamás fue informada ni autorizó el uso de su nombre ni de su imagen corporativa. La firma afectada presentó una querella por delitos informáticos, mientras la comunidad tecnológica observa con atención el desarrollo del caso.
“Este tipo de ejercicios, conocidos como phishing simulado, son una herramienta clave para entrenar a los equipos en la detección de amenazas reales. Pero, cuando se utiliza el nombre de un tercero sin consentimiento, se cruzan límites éticos fundamentales”, señala Patricio Campos, CEO de Resility y especialista en ciberseguridad.
Según Campos, idealmente, una simulación no debería generar daños colaterales ni confusión masiva entre usuarios reales. “Una cosa es poner a prueba a tus colaboradores, y otra muy distinta es afectar la reputación y la operación de una empresa que no tiene relación con el ejercicio. Esto debilita la confianza en los canales digitales y puede derivar en consecuencias legales totalmente evitables”, explica.
Para el experto, esta controversia también deja en evidencia una carencia regulatoria. “Chile ha avanzado con su Ley Marco de Ciberseguridad, pero aún falta una normativa clara sobre cómo realizar este tipo de entrenamientos. No puede quedar al criterio de cada proveedor decidir qué tan lejos llevar la simulación. Necesitamos protocolos, ética profesional y un marco legal que proteja tanto a las empresas como a los ciudadanos”, agrega.
Campos también llama a la ciudadanía a mantenerse alerta frente a este tipo de correos: “Lo que vimos en este caso es justamente lo que ocurre a diario con los ataques reales. Correos con urgencia de pago, dominios levemente alterados y lenguaje técnico. La recomendación siempre es desconfiar, verificar con las fuentes oficiales y nunca hacer clic impulsivamente”.
Más allá del caso puntual, para el experto en ciberseguridad este incidente representa una oportunidad. “Necesitamos tomarnos en serio la seguridad digital, pero también aprender a hacer las cosas bien. Porque si el entrenamiento no respeta ciertas reglas, el daño puede ser mayor que la amenaza que se quería prevenir”, concluye.
Equipo Prensa
Portal Innova
