Incidente de ciberseguridad de Lipigas bajo la lupa regulatoria

Publicado por

Durante la madrugada del 14 de diciembre de 2025, usuarios de la aplicación móvil de Lipigas recibieron notificaciones con mensajes de contenido político, incluyendo consignas explícitas de apoyo electoral.

La situación se viralizó rápidamente en redes sociales, generando acusaciones de intervencionismo y obligando a la compañía a emitir una declaración pública pocas horas antes del inicio de la segunda vuelta presidencial.

Lipigas reconoció que los mensajes llegaron a “algunos usuarios” y atribuyó el hecho a un acceso no autorizado a su sistema de notificaciones, el cual es operado por un proveedor externo de mensajería. Según detalló la empresa, el incidente se originó a las 04:48 AM, fue contenido progresivamente durante la madrugada y alcanzó aproximadamente al 10% de sus clientes. También se registró al menos un intento de ataque subsecuente.

Incidente de ciberseguridad en la aplicación móvil de Lipigas con notificaciones no autorizadas
Desde la compañía enfatizaron que no hubo impacto en la operación, ni compromiso de los sistemas internos o de la información de los clientes, y reiteraron que Lipigas no interviene ni se pronuncia sobre asuntos políticos. Además, informaron la presentación de una denuncia penal, junto con notificaciones formales al Servel, la SEC y la Agencia Nacional de Ciberseguridad (ANCI).

Un nuevo marco regulatorio para la gestión de incidentes de ciberseguridad en Chile

El incidente ocurre en un contexto regulatorio más exigente para las organizaciones en Chile, marcado por la entrada en vigencia de la Ley Marco de Ciberseguridad (Ley N.º 21.663), que establece los requisitos mínimos para enfrentar incidentes de ciberseguridad, como asimismo los mecanismos de control, supervisión y responsabilidad frente a infracciones.

En ese marco, la ANCI activó sus protocolos para analizar los antecedentes del incidente, con el fin de determinar eventuales responsabilidades administrativas, independientemente de la autoría material del ataque, considerando que el servicio de mensajería a través del cual se efectuó el ataque es una plataforma tercerizada.

Comunicación masiva como superficie de ataque

El incidente también vuelve a poner en evidencia un punto frecuentemente subestimado:
los canales de comunicación directa con clientes -como notificaciones push, correos o SMS- son hoy una superficie de ataque crítica.

Incidente de ciberseguridad en la aplicación móvil de Lipigas con notificaciones no autorizadas

No solo por su alcance, sino por el nivel de confianza implícita que los usuarios depositan en mensajes que perciben como oficiales. Una notificación maliciosa, incluso sin robo de datos, puede provocar desinformación, daño reputacional, pérdida de confianza y exposición regulatoria.

En escenarios sensibles -como procesos electorales- este riesgo se amplifica exponencialmente.

Lecciones clave para organizaciones y CISO

El caso Lipigas deja aprendizajes relevantes para el ecosistema empresarial chileno:

  • La seguridad de proveedores externos debe tratarse como parte integral del perímetro corporativo.
  • Los sistemas de mensajería y comunicación deben contar con controles de acceso, segregación de funciones y monitoreo continuo.
  • La trazabilidad de acciones automatizadas es clave para responder ante incidentes.
  • La gestión de ciberseguridad ya no es solo técnica: es legal, reputacional y estratégica.

En un entorno regulatorio cada vez más exigente, no basta con reaccionar rápido. Las organizaciones deben demostrar, ante clientes y autoridades, que la seguridad está diseñada, gobernada y auditada de forma proactiva.