Hims & Hers, la empresa de telesalud especializada en medicamentos para pérdida de peso y salud sexual, ha confirmado una brecha de seguridad que afectó a su plataforma de atención al cliente gestionada por un tercero. Según un aviso presentado ante la oficina del fiscal general de California el jueves, los hackers robaron información personal de clientes contenida en tickets de soporte enviados al equipo de servicio al cliente entre el 4 y el 7 de febrero.
La compañía indicó que los ciberdelincuentes accedieron sin autorización a su sistema de ticketing de terceros durante ese período y sustrajeron grandes volúmenes de solicitudes de soporte. Estos tickets contenían datos personales que los clientes habían enviado al contactar con el servicio de atención al cliente de Hims & Hers.
Datos Comprometidos en la Brecha de Seguridad
El aviso de brecha de seguridad especificó que los hackers obtuvieron nombres de clientes e información de contacto, además de otros datos personales no especificados que la empresa decidió mantener redactados en la carta oficial. Sin embargo, Hims & Hers aseguró que los registros médicos de los clientes no se vieron afectados por el incidente.
A pesar de esta aclaración, la naturaleza de los sistemas de atención al cliente implica que los datos robados podrían contener información sensible sobre las cuentas de los usuarios, detalles personales y referencias a su atención médica. Jake Martin, portavoz de Hims & Hers, declaró a TechCrunch que la compañía fue víctima de un ataque de ingeniería social, en el cual los hackers engañaron a empleados para obtener acceso a los sistemas.
Alcance del Ataque de Ingeniería Social
Hasta el momento se desconoce el número exacto de individuos afectados por la filtración de datos. No obstante, bajo la legislación de California, las empresas están obligadas a divulgar incidentes de seguridad que involucren a 500 o más residentes del estado, lo que sugiere que la magnitud del ataque supera ese umbral.
El portavoz de la compañía indicó que los datos robados “incluían principalmente nombres de clientes y direcciones de correo electrónico”. Sin embargo, la empresa no especificó qué otros tipos de información fueron sustraídos cuando TechCrunch solicitó detalles adicionales. Además, Hims & Hers se negó a confirmar si ha recibido comunicación de los hackers, como una demanda de rescate económico.
Tendencia Creciente de Ataques a Sistemas de Soporte
En meses recientes, los sistemas de atención al cliente y plataformas de ticketing se han convertido en objetivos prioritarios para hackers con motivaciones financieras. Estos ciberdelincuentes acceden a bases de datos que contienen información de clientes y luego extorsionan a las empresas exigiendo pagos de rescate a cambio de no divulgar o vender los datos robados.
Un caso similar ocurrió el año pasado cuando Discord sufrió una brecha de seguridad que afectó su sistema de ticketing de atención al cliente. Ese incidente expuso identificaciones gubernamentales de aproximadamente 70,000 personas que habían enviado licencias de conducir y pasaportes para verificar su edad en la plataforma.
Implicaciones para la Seguridad de Datos en Telesalud
El incidente subraya las vulnerabilidades que enfrentan las empresas de telesalud cuando dependen de proveedores externos para gestionar información sensible de clientes. Los ataques de ingeniería social continúan siendo una de las tácticas más efectivas para comprometer sistemas corporativos, ya que explotan el factor humano en lugar de debilidades técnicas.
Hims & Hers ahora enfrenta el desafío de reforzar sus protocolos de seguridad y evaluar sus relaciones con proveedores terceros de servicios críticos. La compañía deberá notificar individualmente a todos los clientes afectados según los requisitos legales estatales, mientras las autoridades de protección de datos podrían iniciar investigaciones adicionales sobre el incidente. La respuesta de la empresa en las próximas semanas, incluyendo medidas de seguridad adicionales y posibles compensaciones a clientes afectados, determinará el impacto a largo plazo en su reputación y confianza del consumidor.