170.000 pacientes, un año de silencio y sin ayuda: cómo una empresa sanitaria ocultó una masiva filtración de datos
De un solo incidente a una amenaza persistente.
Casi un año después del incidente, la compañía médica de Florida dio a conocer la magnitud del robo de datos personales ocurrido en noviembre de 2024. La organización, especializada en diagnóstico por imagen, reconoció la filtración de información confidencial de más de 170 000 pacientes. Los datos incluían información personal, así como detalles financieros y médicos.
En las cartas enviadas a los afectados, la compañía Doctors Imaging Group informó que los atacantes obtuvieron acceso a historiales médicos, pólizas de seguro, información sobre diagnósticos, códigos de procedimientos y solicitudes de reembolso. También se conocieron números de cuentas financieras, fechas de visitas a los centros y números de identificación de pacientes. Además, se filtraron nombres, direcciones, fechas de nacimiento y números de seguro social. De este modo, los atacantes dispusieron tanto de información médica sensible como de identificadores clave de identidad.
Aunque el incidente ocurrió a finales del año pasado, la organización notificó al Departamento de Salud de Estados Unidos sobre los resultados de la investigación interna sólo el 29 de agosto de 2025. No se han precisado las razones de tan importante demora. Los representantes del centro médico no revelaron el tipo de ataque ni indicaron si se registró actividad de extorsionadores. Durante ese tiempo tampoco surgieron en sitios especializados indicios de que el ataque estuviera vinculado a grupos conocidos.
La propia compañía afirma que trata la protección de datos con la debida diligencia y está revisando los procedimientos existentes. Se precisa que, inmediatamente después de detectar la actividad sospechosa, se contactó a las fuerzas del orden y a los reguladores, y también se inició una revisión de las vulnerabilidades en la infraestructura de red. Como pasos adicionales, la compañía declaró su intención de implantar nuevas herramientas de protección y actualizar las políticas internas en materia de seguridad de la información.
La demora de casi un año en notificar a los afectados suscitó críticas especialmente duras, ya que en ese periodo los atacantes pudieron usar sin obstáculos los datos robados para cometer fraudes y suplantaciones de identidad. Esta lentitud priva de facto a las víctimas de la posibilidad de bloquear cuentas a tiempo, cambiar contraseñas o avisar a las aseguradoras.
Durante ese tiempo, los datos personales pudieron terminar en la dark web, aparecer en bases de datos de vendedores de identidades y utilizarse para abrir líneas de crédito, solicitudes médicas u otras operaciones en nombre de personas reales. La práctica de notificar con tanta tardanza no sólo socava la confianza en las organizaciones médicas, sino que también agrava las consecuencias de la filtración, convirtiendo un incidente aislado en una amenaza de largo plazo para miles de pacientes.
Además, a los pacientes afectados ni siquiera se les ofrecieron los servicios habituales en este tipo de situaciones, como el monitoreo del historial crediticio o la protección contra el robo de identidad. En su lugar, la compañía solo recordó la posibilidad de obtener un informe de crédito gratuito al año y recomendó que controlaran por su cuenta sus operaciones financieras.
Esta decisión fue una excepción poco habitual para incidentes de esta magnitud en Estados Unidos, donde con frecuencia se brindan a los afectados medidas de apoyo ampliadas a través de agencias externas.
Las huellas digitales son tu debilidad, y los hackers lo saben