Una falla de seguridad en DavaIndia Pharmacy, una de las cadenas de farmacias más grandes de India, permitió que personas no autorizadas obtuvieran control administrativo completo de su plataforma digital, exponiendo datos de pedidos de clientes y funciones sensibles de control de medicamentos. El fallo de seguridad en farmacias fue descubierto por el investigador de seguridad Eaton Zveare, quien identificó interfaces de programación de aplicaciones inseguras y reportó el hallazgo a las autoridades de ciberseguridad de India, según reveló TechCrunch de manera exclusiva.
La vulnerabilidad afectó a DavaIndia Pharmacy, el brazo farmacéutico de Zota Healthcare, que opera una extensa red de puntos de venta minorista en toda India. La empresa con sede en Gujarat administra más de 2,300 tiendas DavaIndia en el país, incluyendo 276 nuevos establecimientos anunciados en enero, y planea agregar entre 1,200 y 1,500 locales adicionales en los próximos dos años.
Detalles del fallo de seguridad en farmacias
Zveare informó a TechCrunch que la vulnerabilidad se originó en interfaces administrativas inseguras que permitían a usuarios no autenticados crear cuentas de “super administrador” con privilegios elevados. Con ese nivel de acceso, un atacante podría visualizar miles de pedidos en línea que contenían información de clientes, modificar listados de productos y precios, crear cupones de descuento y cambiar configuraciones que determinaban si ciertos medicamentos requerían receta médica, explicó el investigador.
Basándose en marcas de tiempo del sistema, Zveare señaló que las interfaces administrativas vulnerables parecían estar activas desde finales de 2024. El acceso expuso casi 17,000 pedidos en línea y controles administrativos que abarcaban 883 tiendas, permitiendo cambios en precios de productos, requisitos de prescripción y descuentos promocionales. Adicionalmente, el investigador indicó que el acceso permitía editar contenido del sitio web que podría haberse utilizado para desfiguración o interrupción del servicio.
Riesgos de privacidad en datos farmacéuticos
Los datos de pedidos de farmacias pueden ser particularmente sensibles, ya que pueden revelar información sobre condiciones de salud, medicamentos u otras compras privadas de una persona. La exposición de tales datos, incluso sin evidencia de uso indebido, conlleva riesgos elevados de privacidad y seguridad del paciente en comparación con otra información de consumidores.
“La información del cliente estaba vinculada a sus pedidos”, afirmó Zveare. “Esto incluye nombre, números de teléfono, direcciones de correo electrónico, direcciones postales, monto total pagado y los productos comprados. Dado que se trata de una farmacia, los productos adquiridos podrían considerarse privados e incluso embarazosos para algunas personas”, agregó el investigador.
Respuesta y resolución de la vulnerabilidad
Zveare reportó el problema a CERT-In, la agencia nacional de respuesta a emergencias cibernéticas de India, en agosto de 2025. La vulnerabilidad fue corregida en cuestión de semanas, aunque la confirmación por parte de la empresa tomó más tiempo y fue proporcionada a las autoridades cibernéticas a finales de noviembre, según el investigador.
Sujit Paul, director ejecutivo de Zota Healthcare, no respondió a los correos electrónicos enviados por TechCrunch el mes pasado. Sin embargo, el investigador indicó que no había indicios de que la falla hubiera sido explotada antes de ser corregida.
El incidente ocurre en un momento de rápida expansión para DavaIndia Pharmacy, lo que subraya la importancia de fortalecer las medidas de ciberseguridad a medida que las empresas farmacéuticas amplían su presencia digital. Las autoridades de ciberseguridad en India continúan monitoreando el sector de salud digital para prevenir futuras brechas de seguridad que puedan comprometer datos sensibles de pacientes.