Por: Cristian Maldonado, Gerente Cyber & Risk Advisory en BDO Chile.
Durante años, en ciberseguridad hablamos de firewalls, ransomware y filtraciones de datos, sin embargo, el reciente incidente que involucró a LipiApp, la aplicación de Lipigas, nos recuerda una verdad incómoda.
El acceso no autorizado al sistema de notificaciones de la aplicación utilizada para difundir propaganda política fuera del período legal, no es solo un problema técnico, es un evento con implicancias regulatorias, reputacionales y de confianza pública, que trasciende a la organización afectada.
Desde la perspectiva de quien audita y evalúa programas de ciberseguridad en Múltiples industrias y geografías, este caso deja varias lecciones clave, como por ejemplo considerar que las notificaciones push tienen algo que muchos atacantes envidian y cuando estos canales no cuentan con controles de acceso robustos, segregación de funciones, monitoreo en tiempo real y trazabilidad, el riesgo deja de ser hipotético.
Tal como señaló el ministro de Seguridad Pública, Luis Cordero, hoy se espera que las organizaciones demuestren diligencia activa, no solo reacción posterior. Activar protocolos es necesario, pero no suficiente cuando la confianza ya fue erosionada.
La pregunta incómoda que muchos directorios deberían hacerse es ¿En nuestras evaluaciones de ciberseguridad se consideran los sistemas y aplicaciones que soportan canales de marketing, notificaciones, mensajería o integraciones externas?
Hoy un incidente no necesita robar datos para ser devastador. A veces, basta con solo enviar un mensaje. La superficie de ataque ya no termina en el perímetro tecnológico, termina en la confianza del usuario y esa confianza, una vez perdida, es el activo más difícil de auditar y de recuperar.
