Un grupo de ciberdelincuentes identificado como «Devman» publicó en la dark web información sustraída de la Clínica Dávila, luego de no recibir el pago que exigía por el rescate de los archivos robados. El ataque, ocurrido el 18 de diciembre, comprometió 250 gigabytes de datos personales y médicos, incluyendo fichas clínicas, diagnósticos y resultados de exámenes de alta sensibilidad.
De acuerdo con los antecedentes disponibles, el incidente afectó a pacientes del recinto y la empresa Servicios Médicos S.A., dependiente del mismo grupo. Parte de la información filtrada incluiría copias de cédulas de identidad y resultados de exámenes de VIH, según se constató en las publicaciones que el grupo liberó en foros de la red oculta.
Amenazas del grupo Devman
El grupo hacker, de origen rusohablante, difundió un mensaje en el que confirmó la filtración y aseguró haber ingresado a los sistemas mediante una red privada virtual (VPN) con usuario y contraseña idénticos, lo que les permitió acceder al controlador de dominio y descargar cientos de gigabytes de información. En su comunicado, los atacantes advirtieron que continuarían liberando archivos hasta el 5 de enero de 2026, plazo que fijaron para que la clínica reconsiderara el pago del rescate.
Otra de las amenazas es aún peor. A través de X, en un mensaje advirtieron que si Clínica Dávila no paga, crearían una Web con un mapa en vivo con la información de los pacientes que hayan dado VIH positivo, además de «tomarse algún tiempo de» avisarle a sus familiares, amigos y empleos, respecto a sus resultados.
Expertos en ciberseguridad consultados por medios locales recomiendan no acceder a las exigencias, debido a la baja probabilidad de recuperar los datos sin consecuencias. Devman, en respuesta, cumplió con su amenaza y publicó parte de las fichas médicas como prueba del robo.
Medidas contra y por la Clínica Dávila
El Servicio Nacional del Consumidor (Sernac) ofició a la Clínica Dávila para obtener información detallada del incidente, incluyendo la cronología del ataque, el número de pacientes afectados y las medidas de seguridad implementadas. El organismo recordó que la protección de datos personales forma parte de los derechos establecidos en la Ley del Consumidor.
En una declaración pública, la clínica confirmó que detectó «un incidente informático provocado por terceros» y aseguró haber activado de inmediato sus protocolos de seguridad y mitigación. También indicó que incorporó equipos expertos en ciberseguridad y notificó a las autoridades competentes. El recinto continúa operando con normalidad y mantiene en curso un análisis forense para determinar el alcance de la vulneración. Además, informó que ejercerá acciones legales contra los responsables una vez concluidas las investigaciones.
