Se ha emitido una alerta roja de ciberseguridad para el sector salud en Centroamérica. El 26 de abril de 2026, el actor de amenazas conocido bajo el seudónimo ohmydays anunció en un popular foro de cibercrimen (PwnForums) la filtración de una base de datos completa perteneciente a una importante institución del sector médico privado con sede en Panamá, fundada en 2018. El incidente representa una violación masiva de Información de Salud Protegida (PHI) e Información de Identificación Personal (PII), exponiendo directamente el historial de atención de miles de pacientes.
Anatomía del Incidente
A partir del análisis de la publicación realizada en la Dark Web y las capturas de pantalla proporcionadas por los servicios de inteligencia, la brecha presenta las siguientes características:
- Vector de Compromiso (Presunto): En su publicación, el atacante se burla de la misión de la entidad sobre el uso de la “mejor tecnología disponible”, cuestionando: “¿De qué sirve la tecnología si no sabes cómo usarla o configurarla?”. Esta declaración es un fuerte indicador táctico de que la brecha no fue producto de un malware sofisticado o un Zero-Day, sino probablemente la explotación de una base de datos mal configurada, credenciales débiles o un servidor expuesto directamente a Internet sin los controles de acceso adecuados.
- Estructura de Datos Exfiltrados: El atacante ha publicado esquemas de tablas SQL que demuestran un acceso profundo a los sistemas de gestión hospitalaria (HIS). Entre los datos confirmados se encuentran:
- Tabla AGENDAINFO (40,050 registros): Contiene citas programadas con horas de inicio/fin, ID del paciente, modalidad médica, tipo de estudio, equipo utilizado y códigos de color del sistema.
- Tabla CITAS (40,050 registros): Vincula las citas médicas directamente con los pacientes a través de su número de cédula y el estado de la cita.
Impacto
El sector salud es particularmente vulnerable a las brechas de datos debido a la inmutabilidad y sensibilidad de la información comprometida:
- Ingeniería Social Médica de Alta Precisión: Al tener acceso al número de cédula, el nombre del paciente, y el tipo de estudio médico o cita programada, los cibercriminales pueden ejecutar fraudes telefónicos (Vishing) extremadamente convincentes. Pueden suplantar a la clínica u hospital exigiendo “pagos por adelantado” para un estudio específico o el “copago de un seguro” basándose en datos clínicos reales.
- Pérdida de Confidencialidad (PHI): La exposición de los tipos de estudios y modalidades a los que se someten los pacientes es una violación directa a la privacidad médica y el secreto profesional.
- Daño Reputacional y Legal: El incidente socava gravemente la confianza de la comunidad en la institución afectada y la expone a posibles sanciones y responsabilidades civiles por el manejo negligente de datos confidenciales.
Recomendaciones y Mitigación
Para la Institución Afectada (Respuesta a Incidentes):
- Aislamiento y Auditoría Forense Inmediata: Desconectar temporalmente los sistemas de base de datos afectados de la red pública para evitar extracciones adicionales. Identificar y cerrar de inmediato la brecha de configuración o el endpoint vulnerable.
- Notificación Transparente a Pacientes: Activar protocolos de comunicación de crisis. Es imperativo alertar proactivamente a los pacientes de que sus números de cédula e historial de citas han sido expuestos, advirtiéndoles específicamente que el centro médico no solicitará pagos, contraseñas ni datos adicionales a través de llamadas telefónicas no solicitadas.
- Restablecimiento de Credenciales de Acceso: Rotar inmediatamente todas las credenciales administrativas de bases de datos, accesos de personal médico al sistema y conexiones VPN, implementando Autenticación Multifactor (MFA) estricta.
Para el Sector Salud Regional:
- Revisión de Postura de Seguridad (Cloud y On-Premise): Las instituciones médicas en general deben auditar sus sistemas de agendamiento y bases de datos clínicas para asegurar que no existan puertos (como el 3306 para MySQL o el 1433 para MSSQL) expuestos a Internet público.
- Monitorización de Foros Clandestinos: Mantener la vigilancia sobre este actor de amenazas, ya que es común que publiquen fragmentos iniciales (como las tablas de citas) para ganar reputación, reservando información más crítica (como notas clínicas, diagnósticos completos o datos de tarjetas de crédito) para su venta privada.
