Por Canuto Hims & Hers confirmó una filtración de datos en su sistema de soporte al cliente operado por un tercero, tras un ataque de ingeniería social ocurrido en febrero. La empresa asegura que los historiales médicos no fueron comprometidos, pero reconoce el robo de nombres, correos electrónicos y otros datos personales aún no detallados.
***
- Hims & Hers dijo que hackers accedieron a su sistema externo de tickets entre el 4 y el 7 de febrero.
- La empresa atribuyó el incidente a un ataque de ingeniería social contra empleados.
- Todavía no se conoce cuántas personas resultaron afectadas por la brecha de datos.
Hims & Hers, compañía de telesalud conocida por comercializar medicamentos para bajar de peso y tratamientos de salud sexual, confirmó una filtración de datos vinculada a su plataforma de servicio al cliente operada por un tercero. La empresa reveló el incidente en un aviso presentado ante la oficina del fiscal general de California.
Según informó la compañía, los atacantes accedieron al sistema de tickets entre el 4 de febrero y el 7 de febrero. Durante ese período, sustrajeron grandes volúmenes de solicitudes enviadas por usuarios al equipo de soporte, las cuales contenían información personal proporcionada por los clientes, indica TechCrunch.
La brecha vuelve a poner sobre la mesa un problema creciente en ciberseguridad: los sistemas de atención al cliente se están convirtiendo en un blanco cada vez más atractivo para actores maliciosos. Aunque no suelen ser vistos como infraestructura crítica al nivel de una base de datos médica o financiera, estos entornos suelen concentrar datos sensibles, consultas privadas y documentos cargados por usuarios.
En este caso, Hims & Hers dijo que los historiales médicos de los clientes no se vieron afectados. Sin embargo, por la propia naturaleza de los sistemas de soporte, los tickets pueden incluir detalles delicados sobre una cuenta, información personal y aspectos relacionados con la atención médica, algo especialmente sensible en una empresa enfocada en telesalud.
Qué información fue comprometida
En la notificación presentada en California, Hims & Hers indicó que los hackers robaron nombres de clientes, información de contacto y otros datos personales no especificados. Parte de esa información adicional fue redactada en la carta divulgada por la empresa, por lo que no se conoce públicamente la lista completa de datos expuestos.
Jake Martin, portavoz de Hims & Hers, declaró que la compañía fue víctima de un ataque de ingeniería social. Ese tipo de operación consiste en engañar a empleados o contratistas para que otorguen acceso a sistemas internos, una táctica frecuente en intrusiones orientadas al robo de datos y a la extorsión posterior.
En declaraciones citadas por TechCrunch, el portavoz sostuvo que los datos robados “incluían principalmente nombres de clientes y direcciones de correo electrónico”. Aun así, la empresa no respondió con detalles concretos sobre qué otros tipos de información pudieron haber sido sustraídos cuando se le pidió mayor precisión.
La compañía tampoco quiso indicar si recibió alguna comunicación posterior de los atacantes, como una exigencia de pago. Esa omisión deja abierta la posibilidad de que el incidente pueda tener una dimensión extorsiva, aunque por ahora no existe confirmación pública en ese sentido.
Lo que se sabe del alcance del incidente
Hasta el momento, Hims & Hers no ha informado cuántas personas fueron afectadas por la filtración. Ese dato es relevante porque ayuda a medir el impacto real del incidente, tanto en términos de privacidad como de potencial exposición a campañas de phishing, fraude o suplantación de identidad.
La legislación de California exige que las empresas revelen filtraciones de datos cuando involucren a 500 o más residentes del estado. El hecho de que la compañía presentara el aviso confirma al menos que el incidente alcanzó el umbral regulatorio que obliga a notificar a las autoridades estatales.
En brechas de este tipo, la incertidumbre inicial suele ser uno de los mayores problemas para los usuarios afectados. Aunque una empresa descarte la exposición de historiales médicos, la combinación de nombres, correos electrónicos, datos de contacto y contexto sobre consultas realizadas puede ser suficiente para intentos de fraude altamente dirigidos.
Esto resulta particularmente importante en el sector salud, donde la sensibilidad de la información supera a la de muchas otras industrias. Incluso una interacción con soporte puede revelar preocupaciones íntimas, tipo de tratamiento, estado de una suscripción o detalles sobre productos utilizados por el cliente.
Los sistemas de soporte, un nuevo objetivo para los atacantes
El caso de Hims & Hers no aparece aislado. En los últimos meses, los sistemas de soporte al cliente y plataformas de tickets han ganado valor para grupos de hackers motivados por beneficios económicos. Estos entornos suelen almacenar conversaciones, archivos adjuntos, verificaciones de identidad y registros de incidencias que pueden ser revendidos o utilizados para presionar a las empresas.
La lógica detrás de estos ataques es simple. Mientras algunas compañías fortalecen sus defensas en sistemas centrales, los servicios periféricos o subcontratados pueden convertirse en el eslabón más débil. Si además dependen de terceros y de flujos de trabajo humanos, las campañas de ingeniería social tienen más opciones de éxito.
El antecedente más citado en esta tendencia ocurrió el año pasado con Discord. En ese incidente, una filtración vinculada a su sistema de tickets de soporte expuso identificaciones emitidas por el gobierno de unas 70.000 personas que habían enviado licencias de conducir y pasaportes para verificar su edad.
Ese tipo de ejemplo ayuda a entender por qué un sistema de atención al cliente puede resultar tan atractivo para atacantes. No solo concentra datos personales, sino que también mezcla urgencia operativa, acceso de múltiples empleados y, en muchos casos, dependencia de herramientas externas que amplían la superficie de riesgo.
Por qué este caso importa más allá de Hims & Hers
Para lectores menos familiarizados con el tema, la telesalud combina atención médica y servicios digitales. Eso permite ofrecer consultas remotas, recetas y seguimiento al paciente con mayor comodidad. Pero también exige resguardar datos especialmente sensibles, ya que muchas interacciones dejan rastro en plataformas de atención, pagos y soporte.
Cuando una brecha golpea un sistema auxiliar en una empresa de este tipo, el debate deja de ser puramente técnico. También involucra confianza del usuario, cumplimiento regulatorio y la capacidad de la compañía para explicar con claridad qué ocurrió, qué datos salieron y qué medidas fueron tomadas para reducir daños.
En el caso de Hims & Hers, la información pública sigue siendo parcial. Se conoce la ventana temporal del acceso indebido, la naturaleza general del sistema comprometido y la hipótesis de ingeniería social, pero faltan detalles sobre el universo exacto de datos robados y sobre el número final de personas impactadas.
Por ahora, el episodio sirve como recordatorio de un cambio importante en el panorama de ciberseguridad. Los atacantes ya no buscan solo penetrar las bases de datos más obvias. También explotan herramientas de atención y operación cotidiana, donde una simple solicitud de ayuda puede terminar convirtiéndose en una fuente valiosa de información personal.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
CLARITY Act gana respaldo de 1inch por su enfoque favorable hacia DeFi
Criptomonedas
La CFTC cierra su primer caso individual por FTX con acuerdo de USD $3,7 millones
Criptomonedas
Elliptic vincula el hackeo de Drift Protocol con Corea del Norte y alerta por lavado entre cadenas
Criptomonedas