Hims & Hers, la empresa estadounidense de telemedicina que ofrece tratamientos por suscripción para problemas como la pérdida de cabello, disfunción eréctil, salud mental y cuidado de la piel, ha confirmado que sufrió una filtración de datos originada en una plataforma de atención al cliente de un tercero. La compañía detectó actividad sospechosa a principios de febrero y, tras investigar, concluyó que algunos tickets de soporte habían sido accedidos sin autorización; el aviso remitido a las autoridades de California puede consultarse en el documento oficial publicado por el fiscal general del estado: Notificación a autoridades en California.
Hims & Hers es hoy una de las marcas más conocidas en el mercado de farmacia en línea y servicios de telemedicina en Estados Unidos, con una fuerte presencia comercial y unos ingresos que se aproximan al orden de los cientos de millones anuales. El problema no fue la base médica ni las comunicaciones con los médicos: según la empresa, no se comprometieron expedientes médicos ni mensajes clínicos. Lo que resultó expuesto fueron solicitudes de soporte —tickets— que, en algunos casos, contenían datos personales como nombres y formas de contacto o la información que cada cliente decidió adjuntar al solicitar ayuda.
El calendario que la propia firma maneja sitúa la actividad no autorizada entre el 4 y el 7 de febrero, con la detección de la anomalía el 5 de febrero y la conclusión de la investigación interna el 3 de marzo. Como medida de respuesta, Hims & Hers ha ofrecido 12 meses de monitorización de crédito a las personas afectadas y ha recomendado extremar la precaución ante comunicaciones inesperadas, además de revisar extractos y reportes crediticios en busca de movimientos irregulares.
Los primeros reportes de investigación periodística indican que el incidente formaría parte de una campaña más amplia en la que actores maliciosos han explotado cuentas SSO (inicio de sesión único) para acceder a instancias de atención al cliente en la nube y extraer grandes volúmenes de tickets. Un actor de la escena del ciberdelito que se ha relacionado con filtraciones similares es el grupo conocido como ShinyHunters; medios especializados están informando sobre esa vinculación y el modus operandi general de la campaña. Para seguir la cobertura técnica de este tipo de ataques puede consultarse la prensa especializada, por ejemplo BleepingComputer.
El vector reportado en varios casos ha sido el abuso de cuentas SSO de proveedores como Okta para entrar en herramientas de atención al cliente como Zendesk y descargar support tickets. Estos servicios se han convertido en depósitos críticos de comunicación cliente-empresa y, por esa razón, su compromiso tiene efecto multiplicador: una brecha en un proveedor puede traducirse en filtraciones masivas para decenas de empresas clientes. Zendesk mantiene información sobre seguridad y estado de sus servicios en su portal de transparencia, que es útil para clientes que quieren entender incidencias y prácticas recomendadas: Zendesk Trust. También es recomendable revisar la comunicación y herramientas de seguridad públicas de proveedores de identidad como Okta: Okta Trust.
Desde el punto de vista del usuario afectado, el riesgo más inmediato no proviene tanto de una exposición clínica como de la posibilidad de ataques de ingeniería social, suplantación y fraude dirigidos. Cuando los atacantes obtienen nombres, correos o números de teléfono, pueden crear mensajes convincentes que aparenten provenir de la compañía o de entidades financieras, con el fin de obtener datos sensibles o inducir a pagos. Por eso la recomendación básica es no responder a solicitudes inesperadas, verificar la autenticidad de los canales y no facilitar información adicional por correo o teléfono sin confirmar la identidad del interlocutor. Para orientación práctica sobre cómo reaccionar ante un posible robo de identidad conviene consultar los recursos de la Comisión Federal de Comercio (FTC) sobre protección contra el robo de identidad: Guía de la FTC.
Este incidente vuelve a poner en relieve un problema recurrente en ciberseguridad: la superficie de riesgo se extiende más allá de las propias infraestructuras de una empresa. La cadena de proveedores —identidad y acceso, almacenamiento en la nube, plataformas de atención— es tan fuerte como su eslabón más débil. Los equipos de seguridad deben exigir controles de acceso estrictos, políticas de autenticación multifactor, revisiones periódicas de permisos y segmentación de datos sensibles en plataformas de terceros. A nivel político y operativo, las organizaciones también deberían incorporar prácticas de gestión de riesgo de terceros y protocolos de respuesta que contemplen la comunicación clara y rápida a usuarios y autoridades.
Mientras se aclaran todos los detalles —Hims & Hers ha limitado información pública sobre el número total de clientes afectados y los investigadores externos siguen recopilando evidencias—, es razonable aprender de otros incidentes recientes en los que plataformas de soporte han sido el vector de filtración. Estos casos sirven como recordatorio de que ninguna empresa que maneje datos personales está completamente aislada del riesgo que conlleva depender de servicios externos.
La conversación sobre cómo proteger datos en la era de la telemedicina no se puede limitar a asegurar los expedientes médicos: también debe abarcar las vías por las que los pacientes contactan, pagan o solicitan ayuda. Más transparencia sobre el alcance de las brechas, auditorías independientes de proveedores y una cultura de seguridad que priorice el control de accesos y la detección temprana son medidas imprescindibles para reducir la probabilidad de que incidentes como este se repitan. Para más información institucional sobre amenazas en cadena de suministro y riesgos de terceros, la agencia estadounidense CISA ofrece recursos y recomendaciones generales: CISA.
Si eres cliente de Hims & Hers y recibiste notificación, sigue las instrucciones que te hayan enviado, acepta la monitorización de crédito si está disponible y mantén la guardia alta frente a intentos de suplantación. Si aún no te han contactado pero eres cliente reciente, conviene revisar tus comunicaciones con la compañía y cualquier ticket antiguo que pudiera contener información sensible; en caso de duda, solicita a la empresa detalles sobre la naturaleza de los datos expuestos y las medidas de remediación que está aplicando.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Fox Tempest expone la fragilidad de la firma digital en la nube
La revelación de Microsoft sobre la operación de "malware-signing-as-a-service" conocida como Fox Tempest vuelve a poner en el centro la vulnerabilidad más crítica del ecosistem...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Del aviso a la acción orquestación e IA para acelerar la respuesta ante incidentes de red
Los equipos de TI y de seguridad viven una realidad conocida: un aluvión constante de alertas que llega desde plataformas de monitorización, sistemas de infraestructura, servici...