Jueves 23 de abril de 2026. Silvia (nombre ficticio) termina su día de trabajo. Ha estado ensayando una presentación musical. Durante horas no ha mirado el teléfono. Recuerda que hoy vence una cuenta y toma el teléfono para pagarla. Mira la pantalla y se sorprende por la notificación de un cargo a su cuenta corriente. Es una compra con “Shell Go+”, la nueva aplicación de Shell, presentada a fines de marzo.
La app reemplaza a la anterior, “Mi Copiloto”, y cuenta con un renovado programa de beneficios para comprar en las estaciones Shell a lo largo del país, ya sea combustible o productos en las tiendas de conveniencia Upa!. La licenciataria de esta compañía británica en Chile es la Empresa Nacional de Energía (Enex), filial de Quiñenco, la matriz del grupo Luksic.
La aplicación permite pagar directamente desde el celular una vez que el usuario incorpora una tarjeta bancaria. Esa función fue el foco de los problemas registrados durante los últimos días de abril, cuando cientos de clientes detectaron que con sus cuentas se estaban realizando compras que ellos no habían hecho. Uno de esos casos fue el de Silvia:
“Al meterme bien, me di cuenta de que era la Shell. Bloqueé la app y mi tarjeta de débito”, cuenta Silvia. El mensaje decía que a las 18:30 de ese día, se cargó una compra por $70.000 en la Región de O’Higgins. Pero Silvia estaba en Santiago.
Desde la empresa señalaron a Reportea que las fallas de seguridad no se debieron a un hackeo, sino que a la filtración en internet de datos de las cuentas de sus clientes.
Silvia hizo el reclamo formal y la empresa le contestó en un correo:
“Entendemos que este tipo de situaciones puede generar preocupación, por lo que hemos ingresado el reclamo XXX y te pedimos que nos envíes la cartola o comprobante de tu banco, donde se vea reflejada la transacción que nos indicas y datos bancarios (banco-tipo de cuenta-número de cuenta-rut). Para nosotros la seguridad de tu cuenta es una prioridad. Como medida preventiva te recomendamos restablecer la contraseña de tu app”, indicaron desde Shell en su respuesta a la clienta.
Al día siguiente, Silvia detectó otro cargo: “Revisando con calma mi banco, me di cuenta de otro cobro en mi tarjeta de crédito, por 30 mil. La tarjeta que no está asociada a la app. Ahí bloqueé la cuenta completa. Menos mal no fue tanto, 100 mil en total, estábamos a fin de mes y se encontraron con una mala clienta”, bromea.
Silvia no ha mandado sus datos al canal de atención de Enex, y asegura que está considerando buscar asesoría legal.
Enex afirma que los clientes afectados con “cargos no autorizados” fueron aproximadamente 150 personas. “Esta situación no implicó un acceso a sus cuentas bancarias ni a información de sus tarjetas”, afirman.
En este contexto, la empresa descarta la versión de Silvia, en cuanto a que le sustrajeron fondos de una tarjeta que no estaba asociada a la app. “Los cargos solo fueron por compras en estaciones de servicio y tiendas de conveniencia, porque no pueden pagar con la app en otro comercio. Enex no tiene acceso a dicha información de los usuarios. El caso de este cliente podría deberse a otra situación no relacionada con nuestra aplicación”, aseguran.
¿Datos filtrados?
A diferencia de Silvia, Adriana (nombre ficticio) sí envió sus datos a Enex, incluyendo la cartola de su cuenta bancaria. Ella asegura que el jueves 23 de abril se realizaron dos compras desde su cuenta en la app Shell Go+, cargadas a su tarjeta de crédito por $90.000 cada una, a pesar de que no había ingresado a la aplicación. “Hice el reclamo el mismo día que ocurrieron los hechos, pero de momento no he recibido información”, detalla Adriana.
Sábado 25 de abril, Guillermo (nombre ficticio), que está en Chillán Viejo, recibe una notificación en su correo. Son las 21:30 y el mensaje dice que se ha cargado una compra por $56.000 en su tarjeta de crédito, en una estación Shell de Las Condes. “Por suerte no tenía ese monto en la tarjeta, ya que intentaron dos veces el cobro a mi tarjeta asociada a la cuenta de Shell. Apenas me llegaron esas notificaciones desactivé la tarjeta desde la app del banco, y desvinculé las tarjetas de la aplicación”, cuenta. La tarjeta vulnerada era CMR de Falabella, con quienes Enex se asoció para ofrecer un nuevo sistema de recompensas por compras en Shell.
Guillermo critica la seguridad de la aplicación. “No cuenta con ningún sistema de verificación, llegan y hacen el cobro”, afirma.
Un tercer caso es el de José (nombre ficticio), que denunció en Carabineros la sustracción de $300.000 desde su tarjeta asociada con la aplicación en el lapso de una hora. Asegura que no va a usar la herramienta digital para comprar, porque perdió la confianza.
Según explicaron desde Enex, licenciataria de Shell, el incidente informático duró “al menos una semana. Pero debido al monitoreo constante que realizamos de las operaciones con la app, pudimos detectarlo en forma temprana”.
Sin embargo, no califican el hecho como un ataque informático, porque “no ingresaron a nuestra base de datos ni al back office de la app Shell. Lo ocurrido corresponde a la utilización de credenciales válidas filtradas en Internet”.
“Tu contraseña fue restablecida”
Enex asegura que ha dado respuestas a todos los clientes “después de analizar su caso”. Por eso, piden que Adriana, que no ha recibido respuesta, “vuelva a contactarse a través de los canales de atención”
Aunque en la empresa reducen la cantidad de afectados solo a quienes, hasta ahora, han sufrido sustracción de fondos desde sus tarjetas, Reportea tuvo acceso a documentos de la compañía que indican que, al menos, 3.000 cuentas fueron restablecidas debido a que podrían haber sido vulneradas.
Uno de los usuarios que reclamó fue David (nombre ficticio): “Yo alegué porque es la segunda vez que trato de usarla y el sistema no funciona o está caído, no por un tema de hackeo de tarjeta”, cuenta. “Pero días después de instalar la app, me llegó un correo diciendo que tenía que crear nueva clave y volver a enrolar la tarjeta”, detalla.
La semana pasada la compañía debió cerrar miles de cuentas y enviaron a los clientes afectados este correo
“Queremos informarte que detectamos intentos sospechosos de inicio de sesión a tu cuenta. Como medida preventiva tu contraseña fue restablecida, y si tenías medios de pago asociados, estos fueron eliminados. Lamentamos los inconvenientes que esto pueda generar. Para volver a acceder a tu cuenta, te pedimos restablecer tu contraseña y crear una nueva, y enrolar nuevamente tus medios de pago”
La aplicación, según difundió la prensa especializada con motivo del lanzamiento, fue desarrollada por Globant, un “unicornio” de origen argentino con presencia en 19 países. En Chile sus oficinas ocupan los pisos 32 y 33 del Costanera Center y entre sus clientes mencionan a Santander, Latam y Falabella, entre otros.
Sobre estos hechos, que podrían constituir un delito informático, Enex no ha presentado una denuncia al Ministerio Público. “Estamos evaluando el caso y recolectando evidencia, como por ejemplo registro de cámaras de estaciones de servicio en el horario en que se efectuaron las transacciones no autorizadas”, dijeron, frente a las consultas de Reportea.
