Propuesta ChatBot para la empresa Acai Spa con enfoque en Ciberseguridad

Abstract

La presente propuesta aborda un problema crítico en Acai SpA relacionado con la seguridad del sistema de atención automatizada mediante chatbot. Lo que conlleva una carga laboral adicional de funciones de algunos colaboradores dentro de la organización. En la actualidad, esta herramienta opera sin medidas de ciberseguridad suficientes, exponiendo información sensible de clientes a riesgos significativos como robo de datos, suplantación de identidad y ataques a la infraestructura. Mediante un análisis de vulnerabilidades y el uso de marcos normativos como ISO/IEC 27001 y NIST SP 800-53, se diseña una solución de ciberseguridad que considera controles técnicos (TLS, MFA, cifrado de datos), organizacionales (políticas, roles, respaldo) y metodológicos (Scrum, ciclo PHVA). Este enfoque asegura una respuesta progresiva y estructurada, optimizando la protección de datos y el cumplimiento legal. Se complementa con un análisis económico que estima un bajo costo mensual frente a los beneficios proyectados en prevención de incidentes. La propuesta entrega una hoja de ruta viable y alineada a las necesidades de seguridad, eficiencia y trazabilidad de la organización. Hoy podemos ver que las empresas que operan bajo el modelo Software como Servicio (SaaS), como es el caso de Acai SpA, enfrentan crecientes desafíos en materia de ciberseguridad, especialmente cuando interactúan con los clientes a través de interfaces automatizadas como los chatbots. Acai SpA es una organización chilena de mediana escala dedicada a servicios de atención al cliente y soporte digital. Su infraestructura tecnológica incluye un chatbot web como canal principal de comunicación con usuarios, implementado mediante una API REST y conectado a una base de datos en la nube. Este chatbot gestiona una amplia gama de datos sensibles: nombres, RUT, correos electrónicos, preferencias de servicios y registros de conversaciones, sin contar con controles robustos de seguridad. Actualmente, el entorno del chatbot presenta múltiples debilidades estructurales y procedimentales que elevan el nivel de exposición a incidentes de ciberseguridad. Entre las principales vulnerabilidades detectadas destacan: la ausencia de cifrado en tránsito y en reposo, la falta de autenticación multifactor (MFA) para accesos administrativos, la inexistencia de segmentación de red, el almacenamiento de registros (logs) en texto plano y sin políticas de retención, y una API que no valida adecuadamente las entradas, lo cual habilita vectores de ataque como inyecciones de código y secuestro de sesión. El análisis efectuado evidencia que la arquitectura tecnológica no implementa prácticas de seguridad alineadas a estándares internacionales como ISO/IEC 27001, NIST SP 800-53 o los lineamientos de OWASP para APIs. Además, el manejo de datos personales se encuentra en incumplimiento de las normativas chilenas, como la Ley 19.628 sobre protección de datos personales y la Ley Marco de Ciberseguridad (Ley 21.719). Dado este panorama, el presente proyecto propone el diseño de una solución integral de ciberseguridad orientada específicamente al chatbot, mediante la incorporación de controles técnicos (TLS 1.3, AES-256, MFA, validación de entradas, monitoreo de logs), organizacionales (políticas de seguridad, gestión de incidentes), y procedimentales (respaldo automatizado, control de acceso basado en roles). Esta intervención se enmarca dentro de un enfoque ágil basado en Scrum y en el ciclo de mejora continua PHVA, asegurando así una implementación iterativa, auditable y alineada a las necesidades reales de la empresa. El fortalecimiento del chatbot no solo mejora la postura de seguridad de Acai SpA, sino que también protege la confianza de los clientes, mitiga riesgos legales, y eleva el nivel de madurez tecnológica de la organización frente a amenazas persistentes en el entorno digital actual.