La mañana del 14 de diciembre de 2025, varios usuarios de la app de Lipigas comenzaron a recibir notificaciones rarísimas: mensajes políticos enviados directamente a su celular, en pleno día de elecciones.
Lipigas después confirmó que no fue una campaña propia, sino un acceso no autorizado a la plataforma que usan para enviar notificaciones (OneSignal). Desde ahí, alguien aprovechó la conexión y mandó mensajes proselitistas usando la “voz” de la marca.
Más allá de la polémica política, este caso deja una pregunta bien incómoda para cualquier empresa:
¿Qué tan conscientes somos de todos los sistemas externos que tienen acceso a nuestros clientes?
¿Qué fue lo que pasó, en simple?
Resumiendo el caso:
- A eso de las 4 de la mañana, alguien accedió de forma indebida a la cuenta o configuración de Lipigas en OneSignal.
- Desde ahí, envió notificaciones push a usuarios de la app con mensajes políticos.
- Los clientes recibieron esos mensajes como si vinieran directamente de Lipigas.
- La empresa detuvo el envío, informó que fue un hackeo y presentó denuncias.
No hablamos de un “hackeo hollywoodense” a servidores con explosiones digitales.
Hablamos de algo mucho más común hoy: alguien aprovechó una integración externa mal protegida.
¿Por qué es tan grave?
Para cualquier empresa que tenga app, sitio web, notificaciones o campañas digitales, esto toca varios puntos sensibles:
- Reputación: A los ojos del usuario, el mensaje lo envió Lipigas, no OneSignal ni un “hacker desconocido”. La confianza se resiente.
- Datos personales: Aunque no sepamos si se filtraron más datos, solo el hecho de usar la app para enviar mensajes no autorizados ya es una señal de alerta.
- Cumplimiento normativo: En contexto electoral, el tema no solo es técnico: hay posibles implicancias con normativa electoral y de protección de datos.
Y lo más duro: Esto le puede pasar a cualquier organización que subestime sus activos externos o piense que “como es un proveedor grande, debe estar todo seguro”.
¿En qué fallamos como industria?
Hoy casi todas las empresas dependen de terceros para algo:
- Plataformas de notificaciones
- Herramientas de marketing
- Servicios en la nube
- Proveedores de autenticación, pagos, etc.
El problema es que muchas veces:
- Sabemos que “tenemos la integración”…
- Pero no la vemos como parte de nuestra superficie de ataque.
- Y menos la incluimos en pruebas de seguridad como pentesting.
Este caso es un recordatorio de que lo que está fuera de tu data center igual es parte de tu riesgo.
¿Cómo se podría haber reducido el riesgo?
No existe la seguridad perfecta, pero sí hay prácticas que bajan muchísimo la probabilidad de que algo así ocurra o se salga de control.
Te dejo dos enfoques clave: análisis de activos externos y pentesting (bien aplicado).
Análisis de activos externos: ver lo que el atacante ve.
El análisis de activos externos (External Attack Surface Management / EASM) consiste en mapear todo lo que tu organización tiene expuesto hacia internet, aunque no esté “dentro de tu servidor”:
- Dominios y subdominios
- APIs públicas
- Plataformas de terceros conectadas a tus sistemas (como OneSignal, CRMs, herramientas de marketing, etc.)
- Certificados, puertos, servicios, paneles de administración, etc.
Con este tipo de análisis se puede detectar, por ejemplo:
- Paneles de administración accesibles desde internet sin suficiente protección.
- Integraciones con terceros que tienen credenciales débiles o sin MFA.
- Servicios que nadie “se acordaba” que seguían activos, pero aún tienen poder para enviar mensajes o acceder a datos.
En el caso de Lipigas, un buen análisis de activos externos podría haber:
- Identificado la integración con OneSignal como activo crítico.
- Revisado cómo se autentica, desde dónde se accede y con qué permisos.
- Dado alertas sobre configuraciones débiles o accesos demasiado amplios.
Pentesting: atacar antes de que te ataquen.
El pentesting (prueba de penetración) es, en simple, pagarle a un equipo ético para que intente vulnerar tu entorno antes que lo haga un atacante real.
El error típico de muchas empresas es limitar el pentesting solo a:
- La web pública institucional
- Alguna API principal
- El login del portal de clientes
…y dejar fuera:
- Integraciones con terceros
- Consolas de administración de notificaciones
- Herramientas de marketing y automatización
- Sistemas de soporte, chat, etc.
Un pentest bien diseñado para este tipo de entorno habría intentado:
- Buscar credenciales expuestas o mal protegidas.
- Probar fuerza bruta o reutilización de contraseñas en paneles de terceros.
- Validar si el acceso a la plataforma de notificaciones permite enviar mensajes sin controles adicionales.
- Revisar si existían logs y alertas suficientes para detectar un envío masivo inusual.
No se trata solo de “reventar” un servidor, sino de descubrir combinaciones peligrosas de configuración, permisos y credenciales.
Lo que no se ve, también importa: credenciales, MFA y monitoreo
Además del análisis y el pentesting, hay prácticas básicas que suelen marcar la diferencia:
- MFA obligatorio en todas las plataformas críticas (incluyendo herramientas externas de notificaciones).
- Rotación periódica de claves API y contraseñas.
- Uso de vaults seguros para credenciales (no Excel, no correos, no screenshots en Slack/Teams).
- Alertas por:
- Envíos de notificaciones fuera de horario habitual
- Cambios en configuraciones críticas
- Inicios de sesión desde ubicaciones inusuales
Todo esto puede hacer que un incidente:
- Se detecte antes
- Se contenga más rápido
- Impacte menos en la confianza del cliente
Qué deberían preguntarse hoy las empresas
Si tu organización tiene app, portal web, o se comunica masivamente con clientes, esta noticia es una invitación a revisar cosas concretas. Algunas preguntas útiles:
- ¿Sabemos exactamente qué herramientas externas tienen capacidad de llegar a nuestros clientes (correo, SMS, push, etc.)?
- ¿Esas herramientas están incluidas en nuestro inventario de activos críticos?
- ¿Hemos hecho pentesting considerando estas integraciones?
- ¿Tenemos MFA activado en todo lo que mueve datos o comunicaciones sensibles?
- ¿Contamos con monitoreo y alertas para detectar usos extraños de estas plataformas?
Si la respuesta a varias es “no” o “no estoy seguro”, el caso Lipigas deja de ser “una noticia más” y se convierte en un espejo.
Para cerrar.
El hackeo a Lipigas no es solo una anécdota electoral. Es una señal clara de que:
- Un acceso no autorizado a una plataforma externa
- Puede transformarse rápidamente en un incidente reputacional
- Con impacto directo en clientes, reguladores y opinión pública
La lección no es dejar de trabajar con terceros, sino hacerlo con otra mirada:
cada proveedor, integración y plataforma externa también es parte de tu superficie de ataque y debe estar considerada en tu estrategia de ciberseguridad.
En Seguridad América ayudamos a las organizaciones a prevenir este tipo de incidentes mediante:
- Análisis de activos externos para identificar lo que hoy tienes expuesto sin verlo.
- Pentesting enfocado en tus aplicaciones, integraciones y proveedores críticos.
- Buenas prácticas de credenciales, monitoreo y alertas para reaccionar a tiempo.
Si quieres reducir el riesgo de que tu empresa termine en una noticia similar, conversemos.
Escríbenos a ventas@seguridadamerica.com y te orientamos sobre el mejor enfoque para tu organización.
La entrada Hackeo a Lipigas: qué pasó y cómo evitar que le ocurra a tu empresa. se publicó primero en Blog Seguridad América.
