Se ha reportado una fuga de datos de gran magnitud que compromete a un centro de diagnóstico en Panamá, donde un actor de amenaza ha publicado de forma gratuita la totalidad de su base de datos en foros especializados.
El actor identificado como “ohmydays”, presuntamente vinculado al grupo Waxx Org, afirma que la intrusión fue posible debido a la ausencia de controles básicos de seguridad en la infraestructura digital de la organización, lo que permitió la extracción completa de la información sin resistencia significativa.
Anatomía del incidente
Tipo de incidente : fuga de datos / exfiltración completa
Actor de amaneza: ohmydays (Waxx Org.)
La brecha expone múltiples capas de información altamente sensible, permitiendo una correlación completa entre pacientes, servicios médicos y personal:
Pacientes: Cuya información sensible expuesta corresponde a nombres completos, número de identificación nacional, género, teléfonos y fechas de nacimiento.
Historial de citas: Cuya información corresponde al estudio médico, tipos de exámenes realizados y fechas y horarios programados.
Cuentas de usuario: como lo son correos electrónicos, números telefónicos, roles y niveles de acceso dentro del sistema.
Directorio médico : Donde se resalta información detallada de especialistas y relación con servicios clínicos.
Datos comprometidos
Pacientes: 38,840 registros.
Historial de citas: 68,814 registros.
Cuentas de usuario: 42,106 registros.
Directorio médico: 3,118 registros.
Riesgo
Habilitación de fraude:
- Creación de perfiles médicos falsos
- Phishing dirigido usando datos clínicos reales
- Acceso indebido a plataformas mediante credenciales filtradas
- Comercialización de datos en mercados clandestinos
Recomendaciones
- Asegurar bases de datos mediante autenticación, cifrado y segmentación de red.
- Desplegar WAF y escaneos continuos de vulnerabilidades.
- Aplicar principios de mínimo privilegio en cuentas internas.
- No reutilizar contraseñas en plataformas relacionadas.
- Cambiar credenciales si han interactuado con sistemas de la entidad.
