- Especialistas advierten que accesos no autorizados a sistemas de comunicación pueden escalar en impactos legales, reputacionales y de gobernanza.
El caso expone la fragilidad de plataformas digitales usadas por empresas clave para la ciudadanía.
El envío de mensajes políticos a clientes de Lipigas a través de su aplicación móvil, hecho que la propia compañía atribuyó a un acceso no autorizado a su sistema de notificaciones, se transformó rápidamente en un símbolo de cómo una falla en la gestión de canales digitales puede terminar cruzando ciberseguridad, datos personales y política electoral. El incidente, ocurrido en pleno día de elecciones, provocó una reacción pública inmediata, denuncias ante el Servicio Electoral y un impacto reputacional significativo para la empresa.
Según lo informado por la compañía, durante la madrugada del 14 de diciembre se detectó un acceso no autorizado al sistema de notificaciones de la aplicación, desde donde se habrían enviado tres mensajes antes de ser contenidos. Esos mensajes se difundieron a través del sistema de notificaciones de la app, soportado por la plataforma de terceros OneSignal, utilizando un canal que los usuarios habían aceptado únicamente para fines comerciales y no políticos, lo que amplificó el alcance comunicacional del episodio y abrió flancos regulatorios adicionales.
“Cuando hablamos de accesos no autorizados, no estamos frente a un problema menor. En empresas que prestan servicios esenciales, una falla en la gestión de identidades o en los controles de acceso puede terminar afectando procesos sensibles del país, como una elección, y eso eleva exponencialmente la gravedad del incidente”, explica Pedro Oyarzún Recabarren, CEO de Egs-Latam, empresa de ciberseguridad e infraestructura TI.
Desde la industria advierten que el caso no necesariamente refleja una vulnerabilidad técnica sofisticada, sino debilidades en la gobernanza de credenciales y accesos a servicios críticos en la nube. Plataformas de mensajería, correos masivos o notificaciones push suelen quedar fuera del foco de las estrategias de seguridad, pese a que permiten comunicarse directamente con miles o millones de clientes. Cuando las llaves de acceso o las consolas que administran estos servicios se ven comprometidas, es posible enviar mensajes en nombre de la empresa sin vulnerar sus sistemas transaccionales centrales.
A esto se suma la dimensión de protección de datos personales. La utilización de información de contacto entregada para fines comerciales en un contexto político no consentido tensiona principios básicos del tratamiento de datos, como la finalidad y la lealtad, y expone a las organizaciones a cuestionamientos legales y regulatorios, incluso cuando el origen del incidente sea externo.
“El episodio obliga a reforzar medidas técnicas como la rotación periódica de credenciales, la autenticación robusta para accesos a plataformas de comunicación y el monitoreo de patrones anómalos de envío. Pero también plantea un desafío mayor de gobernanza, se debe fortalecer la gestión de proveedores tecnológicos, formalizar planes de respuesta a incidentes y asumir que estos canales digitales forman parte del núcleo crítico de la ciberseguridad corporativa.”, agrega Pedro Oyarzún Recabarren, CEO de Egs-Latam.
Para los especialistas, incidentes como este refuerzan la urgencia de avanzar hacia una gestión preventiva que combine controles de acceso robustos, monitoreo permanente, planes de respuesta a incidentes y una cultura interna consciente del riesgo digital. De lo contrario, advierten, situaciones similares podrían repetirse con consecuencias cada vez más difíciles de contener.
Equipo Prensa
Portal Innova
