Corrigen falla en software dental que expuso historiales médicos de pacientes en EEUU

𝕏

Hace 16 minutos

Por Canuto

Una vulnerabilidad en el portal para pacientes de Practice by Numbers, software usado por miles de consultorios dentales en Estados Unidos, permitió que usuarios autenticados accedieran a historiales médicos y documentos de otras personas. El caso, descubierto por un paciente, vuelve a poner bajo la lupa la falta de canales eficaces para reportar fallas de seguridad en empresas que manejan datos sensibles.
***

Practice by Numbers corrigió una falla que permitía a pacientes ver documentos médicos ajenos desde su portal.
El error podía explotarse alterando el número de documento en la URL, que además parecía ser secuencial.
La empresa dijo que menos de 10 pacientes resultaron afectados y prometió habilitar una vía para reportes de seguridad.

La empresa Practice by Numbers, desarrolladora de software de gestión de pacientes para consultorios dentales, corrigió una falla de seguridad que expuso historiales médicos privados dentro de su portal para pacientes. El incidente afectó a un sistema integrado en su plataforma, utilizada en más de 5.000 consultorios dentales en Estados Unidos.

El problema salió a la luz después de que un paciente, Joseph R. Cox, detectara que podía acceder desde su propia cuenta a documentos pertenecientes a otras personas. Entre los archivos visibles había información personal, historiales médicos, identificaciones con foto y otros documentos sensibles alojados en el portal.

Según reportó TechCrunch, Cox descubrió el error mientras revisaba sus propios registros dentales en el portal ofrecido por el consultorio de su dentista. La situación también implicaba que sus propios datos podían estar expuestos a otros pacientes que usaran la misma plataforma.

El caso vuelve a subrayar un problema recurrente en ciberseguridad. Cuando una empresa maneja datos sanitarios, no solo debe reducir el riesgo técnico, sino también ofrecer mecanismos claros para recibir y atender reportes responsables sobre vulnerabilidades.

Cómo funcionaba la falla

De acuerdo con el relato de Cox, el fallo era sencillo de explotar para cualquier usuario con una sesión iniciada en el portal de pacientes. Bastaba con modificar el número de documento en la dirección web mientras se cargaba uno de sus archivos para obtener acceso a documentos de otros pacientes.

El riesgo era mayor porque esos números de documento parecían ser secuenciales e incrementales. En la práctica, eso sugería que un usuario podía adivinar con relativa facilidad identificadores válidos y navegar por archivos médicos ajenos sin necesidad de técnicas avanzadas.

Este tipo de error es especialmente delicado en servicios de salud. Aunque no se trate de un ataque sofisticado, una mala validación de permisos puede derivar en exposición directa de expedientes médicos, documentos de identidad e información personal que requiere un nivel alto de protección.

Cox intentó advertir a la empresa por correo electrónico, pero no obtuvo respuesta. También dijo que la dirección de contacto publicada en el sitio web de la compañía no funcionaba, ya que los mensajes rebotaban como imposibles de entregar.

Ante la falta de una vía clara, el paciente envió un mensaje a uno de los cofundadores de Practice by Numbers a través de LinkedIn. Sin embargo, tampoco recibió respuesta tras un correo posterior, lo que finalmente lo llevó a contactar a la prensa como último recurso para impulsar una corrección.

La respuesta de la empresa

Dado que la vulnerabilidad estaba poniendo activamente en riesgo datos de pacientes, TechCrunch informó a Practice by Numbers sobre el problema el 13 de abril. Tras recibir el aviso, la empresa desactivó su portal para pacientes mientras trabajaba en la solución.

El portal volvió a estar en línea el 17 de abril, luego de que la compañía aplicara la corrección. Chris Lau, cofundador y director de tecnología de Practice by Numbers, afirmó que la vulnerabilidad ya había sido remediada.

Lau indicó además que, según los registros del servidor, menos de 10 pacientes tuvieron información expuesta a causa del fallo. La empresa aseguró que estaba trabajando con el consultorio dental afectado para notificar a las personas involucradas.

El ejecutivo también señaló que no habían identificado evidencia de actividad previa vinculada con el error, lo que sugeriría que Cox probablemente fue la primera persona en encontrar la falla. El propio paciente confirmó después que el problema parecía haber sido corregido.

Cuando se les preguntó si el portal para pacientes había pasado por una auditoría de seguridad antes de su lanzamiento, ni Lau ni Rohit Garg, cofundador y presidente de Practice by Numbers, quisieron responder. Esa omisión deja abierta una cuestión relevante sobre los controles previos aplicados al producto.

Un patrón que se repite en la industria

Más allá del caso puntual, el incidente refleja una tendencia más amplia. Consumidores comunes e investigadores independientes detectan fallas de seguridad en sitios y productos empresariales, pero con frecuencia no encuentran una ruta eficaz para reportarlas de forma responsable.

A comienzos de abril, el minorista de moda Express corrigió una falla en su sitio web que permitía acceder a detalles de pedidos e información personal de otros clientes. Según la publicación citada, ese error también fue identificado por un usuario que no encontró cómo alertar a la empresa.

Un caso similar ocurrió con Home Depot en diciembre. Un investigador de seguridad intentó advertir en privado sobre una falla que estaba exponiendo acceso a sistemas internos durante casi un año, pero sus reportes habrían sido ignorados hasta que el medio especializado contactó a la compañía.

Estos antecedentes muestran un contraste incómodo. Por un lado, las empresas publicitan servicios digitales cada vez más integrados. Por otro, en ocasiones no ofrecen ni siquiera un canal básico y verificable para que terceros comuniquen una vulnerabilidad de forma segura y rápida.

En sectores como el sanitario, esa carencia pesa aún más. Los datos médicos no son equivalentes a una simple filtración comercial, ya que pueden incluir diagnósticos, antecedentes de salud, documentos oficiales e información personal que expone a los pacientes a riesgos duraderos.

Lo que deja este incidente

Las empresas suelen someter sus productos a auditorías de seguridad para comprobar que cumplan estándares básicos de ciberseguridad y para detectar errores comunes antes de su despliegue. Aunque ningún software está libre de fallas, ese tipo de revisión es especialmente importante cuando se procesan datos sensibles.

En este caso, Practice by Numbers no aclaró si su portal fue auditado antes de salir al mercado. Esa falta de precisión puede generar dudas razonables, sobre todo considerando que la plataforma se usa a gran escala en miles de consultorios dentales en todo Estados Unidos.

Rohit Garg sí dijo que la empresa planea actualizar su sitio web para permitir que las personas reporten problemas de seguridad, por ejemplo mediante un programa de divulgación de vulnerabilidades. No obstante, la compañía no ofreció un plazo concreto para implementar ese cambio.

El episodio también ilustra cómo un error aparentemente simple en una URL puede escalar hacia una exposición real de datos médicos. En ciberseguridad, la complejidad del ataque no siempre determina la gravedad del incidente. A veces, una falla básica en el control de acceso basta para comprometer la privacidad de usuarios reales.

Para el público general, la historia funciona como recordatorio de que los portales de pacientes y otros servicios digitales de salud dependen tanto de la facilidad de uso como de controles robustos de autorización. Para la industria, el mensaje es más directo: sin auditorías claras y sin canales de reporte funcionales, los riesgos operativos y reputacionales crecen con rapidez.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

𝕏

USDT	Tether USDt	0,0%	$116,91 mmd
USDC	USDC	-0,0%	$54,63 mmd
BTC	Bitcoin	0,32%	$33,8 mmd
ETH	Ethereum	-0,72%	$16,77 mmd
SOL	Solana	-0,0%	$4,0 mmd
DOGE	Dogecoin	1,95%	$2,99 mmd
XRP	XRP	0,04%	$2,03 mmd
BNB	BNB	-0,47%	$1,44 mmd
USD1	World Liberty Financial USD	0,01%	$0,968 455 mmd
TRX	TRON	0,85%	$0,684 035 mmd

LUNC	Terra Classic	11,7%	$0,000 075
PENGU	Pudgy Penguins	5,7%	$0,009 997
ZEC	Zcash	5,64%	$341,66
POL	Polygon (prev. MATIC)	5,04%	$0,095 719
CRV	Curve DAO Token	3,93%	$0,234 696
SHIB	Shiba Inu	2,42%	$0,000 006
FIL	Filecoin	2,28%	$0,922 724
XDC	XDC Network	1,99%	$0,029 975
DOGE	Dogecoin	1,95%	$0,105 604
JST	JUST	1,73%	$0,086 908

PI	Pi	-8,01%	$0,175 162
WLFI	World Liberty Financial	-7,3%	$0,059 738
AERO	Aerodrome Finance	-5,12%	$0,440 997
H	Humanity Protocol	-4,57%	$0,171 29
SKY	Sky	-4,47%	$0,079 092
M	MemeCore	-4,0%	$3,22
DEXE	DeXe	-3,87%	$11,51
CHZ	Chiliz	-3,12%	$0,041 1
VVV	Venice Token	-2,97%	$8,34
CAKE	PancakeSwap	-2,44%	$1,44

Corrigen falla en software dental que expuso historiales médicos de pacientes en EEUU

Cómo funcionaba la falla

La respuesta de la empresa

Un patrón que se repite en la industria

Lo que deja este incidente

Suscríbete a nuestro boletín

Artículos Relacionados

Salesforce acelera su hoja de ruta de IA al poner a sus clientes al volante

Evaluación en Reino Unido halla que GPT-5.5 iguala a Claude Mythos en ciberataques

Meta decepciona a Wall Street pese a ingresos récord por su gasto incierto en IA

X reconstruye su plataforma publicitaria con IA para recuperar anunciantes