Simulación de ciberseguridad mal ejecutada: así comenzó la crisis que enfrentó la autopista AVO en mayo de 2025. Lo que debía ser un ejercicio de entrenamiento terminó generando confusión masiva, reclamos legales y un grave daño reputacional.
¿Qué ocurrió realmente?
El 22 de mayo de 2025, miles de clientes de AVO recibieron un correo electrónico fraudulento informando de una supuesta deuda. El mensaje incluía un link de pago que redirigía a un sitio casi idéntico al oficial: la URL era aavocl.cl, una clara imitación del dominio real.
Lo que parecía un ataque de phishing fue, en realidad, un simulacro de ciberseguridad orquestado por una empresa externa. Pero el problema no fue solo técnico: ni AVO ni la empresa que ejecutó la prueba informaron previamente a sus trabajadores ni tomaron resguardos suficientes para evitar el daño reputacional.
¿Por qué terminó en una querella?
AVO se vio obligada a aclarar a más de 928.000 clientes que no habían enviado ese correo. Luego, tras investigar y detectar el uso no autorizado de su imagen, decidieron presentar una querella por falsificación de instrumento privado y uso indebido de marca.
El ejercicio fue realizado por RedSalud a través de una empresa tecnológica llamada GNU Sistemas Spa, en el marco de la conferencia 8.8 Computer Security Conference. El problema es que la página usada en el test mostraba el nombre, logo y estilo visual de AVO, generando confusión masiva.
¿Qué podemos aprender de esto?
Este caso no solo es excepcional por su magnitud, sino por los errores estratégicos cometidos. Aquí te dejamos 3 lecciones clave para que tu empresa nunca pase por lo mismo:
1. Toda simulación debe contar con consentimiento y límites claros
Las campañas de phishing ético o ejercicios de intrusión deben ser parte de un plan de seguridad documentado y aprobado. No se puede usar la marca o los datos de otra entidad sin autorización expresa. Usar nombres reales de empresas ajenas puede abrir causas legales, incluso si se trata de pruebas internas.
2. El impacto reputacional puede ser mayor que el daño técnico
En ciberseguridad, no solo importa proteger los datos: también debes proteger la confianza. En este caso, AVO debió enfrentar reclamos públicos, cobertura negativa en medios y la confusión de cientos de miles de personas. Un simulacro mal gestionado puede ser más costoso que una brecha real.
3. Educar a los usuarios no justifica engañarlos masivamente
Los ejercicios deben estar diseñados con ética. El objetivo es preparar, no manipular. Hacer clic en un link falso como parte de un test es válido, pero enviar correos que imiten a otras empresas, con llamados a pagar deudas, cruza la línea. La capacitación en ciberseguridad debe generar confianza, no paranoia.
¿Y ahora qué?
El caso AVO demuestra que la ciberseguridad no puede improvisarse. No basta con tener buenas intenciones: se requiere planificación, validación legal y, sobre todo, respeto por los usuarios y las marcas involucradas.
En Cut Security, asesoramos a empresas chilenas para implementar pruebas éticas de phishing, protocolos de simulación y estrategias de entrenamiento ciberseguro sin comprometer la reputación ni cruzar los límites legales.
¿Tu empresa está preparada para entrenar a sus equipos sin arriesgar su imagen?
El caso AVO demostró que una simulación mal ejecutada puede escalar rápidamente a una crisis reputacional. Entrenar en ciberseguridad no basta: hay que hacerlo con ética, planificación y resguardo de la marca.
En Cut Security diseñamos simulaciones seguras, efectivas y alineadas con las mejores prácticas del sector. Ayudamos a las empresas a fortalecer a sus equipos sin poner en riesgo la confianza de sus clientes.
Evita errores costosos. Agenda una sesión de diagnóstico gratuita con nuestros expertos.
🔗Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.
