Unos 665.128 estudios médicos de unas 30 clínicas privadas fueron hackeados recientemente lo que representa una vulneración de la privacidad de miles de pacientes del sistema de digital argentino.
El escenario no es de ciencia ficción ni un guión distópico: ocurrió en tiempo real, en el país, y dejó al descubierto miles de diagnósticos personales con nombre, apellido y número de documento.
La filtración —que ya circula en foros clandestinos de compraventa de datos— es la más grande que se haya registrado en la Argentina y una de las mayores en Latinoamérica, según confirma el sitio especializado Birmingham Cyber Arms LTD.
Los archivos fueron obtenidos mediante un ataque a la cadena de suministros, una modalidad sofisticada en la que el blanco no son los hospitales o sanatorios directamente, sino el proveedor informático que los conecta: InformeMédico, empresa que administra imágenes como tomografías, ecografías y carga de resultados digitales.
De Córdoba a Chubut: una red de clínicas expuestas
La red comprometida incluye centros de salud de al menos ocho provincias: Buenos Aires, Córdoba, Santa Fe, La Rioja, Catamarca, Tucumán, La Pampa y Chubut. Clínicas de renombre, como el Hospital Británico y el Sanatorio Anchorena, están en la lista de clientes de InformeMédico.
“Un solo punto de compromiso puede afectar a decenas de instituciones al mismo tiempo”, explicó Gutierrez, analista de la firma ESET.
A diferencia del ransomware tradicional —que cifra los archivos para luego pedir rescate—, en este caso el grupo atacante, identificado como D0T CUM, utilizó una táctica de extorsión directa (Data Extortion): pidieron dinero a cambio de no difundir la información robada.
La estrategia es simple y brutal: no hay encriptación ni bloqueo del sistema, solo la amenaza concreta de subir la información a foros ilegales donde se comercia con datos sensibles.
¿Qué se filtró y para qué sirve?
Entre el material expuesto hay radiografías, tomografías, ecografías, análisis clínicos y más. Todos contienen información altamente detallada sobre pacientes y profesionales: nombres completos, diagnósticos, documentos, fechas, ubicaciones y hasta sellos de médicos.
Este tipo de contenido es oro para cibercriminales que desarrollan campañas de phishing, suplantación de identidad o ingeniería social. Pero hay más: algunos expertos no descartan que parte de los datos puedan ser comprados por laboratorios, aseguradoras o investigadores privados, que obtienen perfiles clínicos masivos para análisis sin consentimiento ni trazabilidad.
“La salud es uno de los sectores más vulnerables. Tiene baja inversión en ciberseguridad, alta tercerización y escasa conciencia digital”, explicó Mauro Eldritch, experto en seguridad informática.
Un sector débil frente a ataques sofisticados
Lo que muestra este caso —más allá del tamaño de la filtración— es la fragilidad estructural del sistema de salud digitalizado. InformeMédico, como tantos otros proveedores, concentra un poder sensible: almacena datos de miles de pacientes sin ser una institución médica, sin controles públicos reales, y con protocolos de seguridad que, en muchos casos, están desactualizados.
No es el primer caso en Argentina: OSDE, el Grupo Rossi, Medifé y Avalian ya sufrieron incidentes similares en los últimos años. Pero ninguno alcanzó esta magnitud ni evidenció de forma tan clara los riesgos de tener información personal y médica en manos de empresas sin infraestructura robusta.
El modelo actual —rápido, barato, tercerizado— prioriza la eficiencia y la comodidad por sobre la seguridad. En ese esquema, el paciente queda expuesto como producto, su privacidad vulnerable ante el primer clic de un hacker.
¿Quién controla a los que digitalizan la salud?
El Estado no tiene protocolos actualizados para auditar ciberseguridad en servicios tercerizados de salud. Las clínicas contratan empresas sin garantías técnicas. Las empresas suben los datos a la nube sin blindaje. Los hackers entran, copian, extorsionan o venden. Y los pacientes no se enteran, salvo cuando ya es demasiado es tarde.
No hay obligación legal de notificar públicamente a las personas afectadas por una filtración. Tampoco se conocen sanciones firmes contra los responsables. En este caso, no hay comunicado oficial ni desde el Ministerio de Salud ni desde la Agencia de Acceso a la Información Pública.
Argentina no tiene legislación específica que regule la protección de datos de salud con el estándar que hoy se requiere. El sistema, literalmente, está en pelotas.
Si llegaste hasta acá tomate un descanso con la mejor música
