¡Expuestos! Miles de expedientes médicos de adultos mayores en México al alcance de hackers

Una grave vulnerabilidad de seguridad ha expuesto información altamente sensible de más de 8 mil pacientes y trabajadores de la empresa Paz Mental, dedicada al cuidado y rehabilitación de adultos mayores con operación en diversos estados de la República Mexicana.

La exposición, que fue reportada por el investigador de ciberseguridad JayeLTee desde diciembre de 2024, sigue sin ser atendida, dejando 67 GB de registros clínicos, datos personales y financieros al alcance de posibles ciberdelincuentes.

Después de semanas de intentos fallidos para contactar a la empresa y alertar sobre el problema —principalmente al tratarse de datos accesibles de forma pública— JayeLTee notificó a Publimetro México, quien verificó la exposición de la información para confirmar la gravedad del incidente.

¿Qué datos están comprometidos?

La información expuesta incluye datos clínicos y personales de miles de personas, entre ellos:

• Historias médicas completas: Diagnósticos de fisioterapia, evaluaciones psiquiátricas, trastornos médicos y hallazgos médicos detallados.
• Datos personales de pacientes: Nombres completos, números de teléfono, direcciones y, en algunos casos, incluso su religión.
• Registros de decisiones médicas: Información sobre autorización o no de resucitación, con datos de familiares responsables.
• Información de pacientes extranjeros: Datos de ciudadanos de Colombia y otras nacionalidades que han recibido atención de la empresa.
• Información de empresas asociadas: Documentos de compañías como Vitality Mérida en Yucatán y Nueva EPS en Colombia, lo que sugiere una filtración de datos en cadena.
• Fotografías de incidentes médicos: Imágenes sensibles que parecen haber sido enviadas como pruebas para valoraciones médicas.
• Registros financieros: Comprobantes de pago con nombres de pacientes, montos, vendedores y direcciones, con registros que incluyen a miles de personas.
• Identificaciones escaneadas: Credenciales de elector de clientes, lo que facilita fraudes de identidad.
• Datos de médicos y enfermeras: Cédulas profesionales, identificaciones, CURP, firmas digitalizadas (potencialmente utilizables para falsificación de documentos médicos), cartas de no antecedentes penales, actas de nacimiento y más.
• Información laboral del personal: Datos de contratación, horarios trabajados y detalles de más de 8,484 empleados.
• Fotografías del personal: Imágenes de enfermeras y doctores de diferentes agencias.
• Reportes de seguimiento de pacientes: Información detallada sobre su estado de salud, tratamientos y evolución médica.
• Información parcial bancaria: Datos que podrían ser usados en ataques de phishing.

Un peligro real: Riesgo de fraude, extorsión y suplantación de identidad

El acceso a esta cantidad de información sensible es un peligro latente. Expertos en ciberseguridad han advertido que este tipo de filtraciones son aprovechadas por grupos criminales para extorsionar a empresas, suplantar identidades y cometer fraudes financieros.

En el peor de los casos, esta base de datos podría ser utilizada por estafadores para engañar a los pacientes y sus familiares, haciéndose pasar por la clínica o por profesionales de la salud.

“La falta de protección en servidores puede derivar en robo de datos médicos, fraude, extorsión y ransomware, además de poner en peligro la atención médica. Además, incumplir con normativas como la Ley General de Protección de Datos Personales y la NOM-024-SSA3-2012 podría acarrear sanciones legales y económicas”, explicó a Publimetro México el instructor certificado de ciberseguridad y fundador de SILIKN, Víctor Ruiz.

El también líder del Capítulo Querétaro de la Fundación OWASP (Open Web Application Security Project), advirtió que el daño reputacional y la pérdida de confianza en los servicios de salud también son consecuencias preocupantes: “A pesar de que estas vulnerabilidades han sido reportadas en algunos casos, la falta de acciones correctivas expone a pacientes y profesionales a un alto riesgo”.

Denuncias ignoradas: Nadie responde a la alerta de ciberseguridad

Desde diciembre de 2024, JayeLTee intentó sin éxito reportar la vulnerabilidad a diversas instancias, incluyendo:

1. Correos oficiales de Paz Mental: info@pazmental.mx
2. Firmas de ciberseguridad: Totalsec, IQSEC, Global CyberSec, Netrix
3. Autoridades gubernamentales: Guardia Nacional (delitocibernetico_gn@gn.gob.mx, cnac@gn.gob.mx)

Sin embargo, la única respuesta obtenida fue un mensaje automatizado de la Guardia Nacional que requería una autenticación adicional para leer el correo, lo que hizo imposible verificar si atendieron la denuncia.

El investigador también intentó comunicarse con varias empresas de seguridad listadas en el sitio CSIRT México, pero muchas direcciones de correo ya no funcionaban o rechazaron su mensaje.

“Intenté reportarlo en inglés y en español, envié múltiples correos a distintas entidades y nadie ha respondido. No puedo seguir esperando, esta información está en riesgo y necesita ser protegida antes de que sea demasiado tarde”, señaló JayeLTee en un mensaje a Publimetro México.

Paz Mental y su aplicación móvil: Un posible eslabón en la brecha de seguridad

El investigador sospecha que la exposición de datos podría estar relacionada con las plataformas digitales que utiliza Paz Mental. Entre los hallazgos se incluyen referencias a las aplicaciones Asistia Nurse y Ana Care, disponibles en la Play Store. Esto sugiere que la filtración podría provenir de un mal manejo de bases de datos en la infraestructura digital de la empresa.