Cuando el remedio se vuelve riesgo: el caso AVO y los límites del ethical phishing
- Contacto Pallavicini Consultores
- 26 jun
- 2 Min. de lectura
Santiago, junio de 2025.
Lo que debía ser un ejercicio preventivo terminó como un escándalo público. Esta semana, la Autopista Américo Vespucio Oriente (AVO) presentó una querella penal tras ser utilizada —sin su consentimiento— en una campaña de ethical phishing realizada por una empresa de ciberseguridad, contratada por RedSalud, para evaluar la conciencia digital de sus colaboradores.
El ejercicio simuló un correo fraudulento que notificaba una supuesta deuda por uso de la autopista, incluyendo un enlace a una página web falsificada con identidad gráfica de AVO. El mensaje fue recibido por decenas de empleados de RedSalud… y también por usuarios externos, desatando una ola de reclamos y poniendo en entredicho la legalidad y legitimidad de este tipo de simulaciones.
⚠️ ¿Qué salió mal?
No hubo consentimiento de AVO: la empresa jamás fue informada ni autorizó el uso de su marca, nombre o plataforma.
La simulación fue excesivamente realista: logo, diseño web, lenguaje y tono eran prácticamente idénticos al sitio oficial.
Usuarios reales fueron expuestos: más de 92.000 correos electrónicos fueron enviados, algunos a direcciones fuera del ecosistema de RedSalud.
🎯 Lecciones para el sector
Los ejercicios de ciberseguridad —como el ethical phishing— son prácticas fundamentales para fortalecer la cultura digital de las organizaciones. Sin embargo, este caso demuestra que, si no se ejecutan con los resguardos éticos y legales necesarios, pueden dañar a terceros, vulnerar la imagen de marcas inocentes y generar consecuencias jurídicas graves.
En Pallavicini, realizamos este tipo de ejercicios con protocolos estrictos, que incluyen:
Consentimiento explícito de todas las partes mencionadas o involucradas.
Diseño limitado al entorno interno, sin contacto con clientes o actores externos.
Revisión legal y aprobación corporativa antes de su ejecución.
La ciberseguridad responsable no solo protege: respeta.
Este caso es una advertencia concreta sobre los límites éticos en la industria. Entrenar no puede implicar dañar.
