El millonario fraude que afectó a Rojabet y Megawin: hackers simularon apuestas y robaron más de $440 millones

La empresa Cleo Chile SpA, dedicada a la tecnología financiera, presentó una querella criminal por un fraude informático que permitió el robo de $440 millones desde dos casas de apuestas online. La compañía realizó la denuncia ante el 4° Juzgado de Garantía de Santiago.

El ataque ocurrió los días 5 y 6 de octubre de 2025 y afectó a los sitios Megawin y Rojabet, ambos clientes de Cleo. Según la denuncia, los responsables —seis de ellos ya identificados— ingresaron al sistema interno de la empresa con un usuario y una contraseña válidos de alguien con autorización.

De acuerdo con Las Últimas Noticias, los hackers realizaron 225 reembolsos falsos por un monto de $440.940.000. De ese total, 131 operaciones correspondieron al sitio de apuestas Megawin, por un monto de $256 millones, mientras que las otras 94 se realizaron en Rojabet, por $184 millones. En la práctica, simularon apuestas y pagos que nunca se llevaron a cabo, lo que les permitió desviar los fondos hacia cuentas personales.

Luego de una investigación interna, Cleo identificó otros 73 intentos de reembolso por más de $120 millones y los bloqueó tras desactivar el sistema como medida de seguridad.

La fintech le pidió al tribunal congelar los fondos de las cuentas involucradas y encargar la investigación a la Brigada del Cibercrimen de la Policía de Investigaciones. Además, solicitó que se cite a declarar a sus ejecutivos y a 15 personas relacionadas con las operaciones sospechosas.

Un descuido millonario

Según el profesor de informática de la Universidad de Santiago de Chile, Rafael Ochoa, este tipo de casos no responden a un ataque sofisticado, sino al uso indebido de accesos legítimos. “Los atacantes usaron un usuario y contraseña válidos para entrar al sistema. Lo más probable es que fueran las credenciales de un funcionario o alguien con permisos internos”, explica Ochoa.

En esa línea, el académico señala que las claves pudieron ser obtenidas “voluntariamente, por error o mediante técnicas de ingeniería social, donde se recopila información pública para intentar adivinar contraseñas”. Ochoa añade que “aquí no se vulneró la infraestructura tecnológica, sino que se aprovechó un acceso legítimo. El usuario tenía permisos para autorizar reembolsos y eso fue lo que usaron para transferirse dinero”.

El experto agregó que este caso evidencia una falla común en muchas empresas tecnológicas: una mala gestión de contraseñas y la ausencia de políticas fuertes de autenticación. “No es un hackeo en el sentido clásico, sino un problema humano. Cuando los tokens o contraseñas no son bien resguardados, se convierten en la puerta de entrada”, explica Ochoa.

Desde Cleo catalogaron el episodio como una manipulación dolosa de su sistema, que causó un daño económico directo. La empresa entregó al tribunal un informe técnico forense interno, una planilla con el detalle de las transferencias y documentos que acreditan su representación legal.

El abogado representante de la empresa, Juan Enrique Urrutia, explicó que la querella busca asegurar la devolución de los fondos y determinar las responsabilidades penales de los involucrados en el fraude.

El tribunal admitió el caso a trámite y quedó bajo investigación del Ministerio Público. Mientras tanto, Cleo implementó nuevas medidas de seguridad para reforzar sus protocolos y evitar que un episodio similar vuelva a ocurrir.