Clínica de rayos X en Florida tarda un año en informar a los pacientes que hackers robaron sus datos médicos

El proveedor de rayos X con sede en Florida, Doctors Imaging Group (DIG), confirmó un ciberataque mayor que expuso información personal y médica sensible de más de 170,000 personas, casi un año después de que ocurrió la brecha.

Según una declaración publicada en el sitio web de la empresa, el acceso no autorizado ocurrió entre el 5 y el 11 de noviembre de 2024, cuando los atacantes copiaron datos de la red interna de DIG. La violación no se confirmó completamente hasta el 29 de agosto de 2025, después de que una revisión forense identificó los archivos específicos comprometidos y las personas afectadas.

Posteriormente, la compañía notificó a los reguladores estadounidenses, incluido el Departamento de Salud y Servicios Humanos (HHS).

Datos expuestos

En su notificación a los pacientes, DIG afirmó haber respondido con rapidez al incidente, iniciando una investigación, evaluando la seguridad de su red y enviando cartas por correo a los individuos afectados.

Según el aviso (PDF), la investigación determinó que los archivos robados contenían una amplia gama de datos personales, médicos y financieros. Entre los campos comprometidos se encontraban:

• Nombres completos, direcciones y fechas de nacimiento
• Números de registro médico y cuentas de paciente
• Información de pólizas de seguro de salud
• Detalles de diagnósticos, tratamientos y reclamaciones
• Números y tipos de cuentas financieras
• Números de Seguro Social (SSN)

DIG declaró que “toma el [ciberataque] y la seguridad de la información bajo nuestro cuidado muy en serio” y se comprometió a revisar y fortalecer sus políticas y herramientas para reducir el riesgo de futuros incidentes.

Sin embargo, la empresa no ofreció servicios gratuitos de monitoreo de crédito ni protección de identidad a los individuos afectados, una práctica común entre las organizaciones tras este tipo de brechas.

En su lugar, DIG aconsejó a los pacientes vigilar sus estados financieros, solicitar informes de crédito gratuitos anualmente y considerar la colocación de alertas de fraude o congelamientos de crédito con las principales agencias de crédito de EE. UU.

Los críticos han señalado el retraso prolongado en la divulgación y la falta de medidas de protección ofrecidas como aspectos preocupantes. La violación salió a la luz casi un año después del ataque, y DIG aún no ha especificado si el incidente está relacionado con un grupo de ransomware conocido u otro tipo de actor malicioso.

La atención médica en la mira

Las brechas de datos a gran escala son comunes en el sector sanitario de Estados Unidos, que a menudo es blanco de ataques debido al alto valor de los registros personales y financieros.

Aunque el número de personas afectadas —171,862— es considerable, se encuentra dentro del rango de muchos otros incidentes en la industria.

Solo en 2025, cientos de proveedores médicos han reportado ataques de ransomware o filtraciones de datos, afectando a millones de pacientes. La combinación de datos sensibles, sistemas de TI obsoletos y operaciones críticas continúa dejando a hospitales y centros de imagen en la línea de fuego.

El incidente resalta la necesidad urgente de monitoreo continuo, planes rápidos de respuesta ante brechas y medidas obligatorias de protección de identidad para los pacientes afectados.

Cómo se usa la información médica robada para cometer fraudes

La información médica y personal de este tipo es altamente valiosa en los mercados clandestinos y foros de la dark web, a menudo alcanzando precios más altos que los datos de tarjetas de crédito robadas.

Algunos ejemplos de cómo los atacantes monetizan y explotan estos datos incluyen:

Reventa en la dark web:
Los perfiles médicos completos —a veces llamados “fullz”— pueden venderse por entre 60 y 250 dólares cada uno, frente a los pocos dólares que cuesta una tarjeta de crédito robada. Estos registros se agrupan y venden a estafadores que buscan información de identidad completa de múltiples víctimas.

Robo de identidad médica:
Los criminales pueden usar los datos de pacientes robados para presentar reclamaciones de seguros falsas, obtener tratamientos médicos o medicamentos bajo el nombre de la víctima o enviar solicitudes de reembolso fraudulentas. Las víctimas suelen descubrirlo solo cuando reciben facturas inexplicables o rechazos de su seguro.

Fraude financiero y fiscal:
Con números de Seguro Social e información bancaria, los ciberdelincuentes pueden abrir líneas de crédito, solicitar préstamos o presentar declaraciones de impuestos falsas para robar reembolsos. Este tipo de fraude puede durar años, ya que los datos médicos tienden a permanecer estáticos, a diferencia de las contraseñas o tarjetas de crédito, que pueden cambiarse fácilmente.

Phishing e ingeniería social:
Los atacantes también utilizan los datos robados para crear campañas de phishing dirigidas, enviando correos o llamadas que se hacen pasar por proveedores médicos, aseguradoras o incluso agencias gubernamentales. Estas estafas suelen engañar a las víctimas para que revelen más credenciales o realicen pagos.

Extorsión y chantaje:
En casos graves, los actores de amenazas pueden extorsionar a las víctimas o a las organizaciones amenazando con divulgar información médica sensible, una táctica cada vez más común entre los grupos de ransomware que atacan al sector sanitario.

Recomendaciones

Como regla general, nunca reutilices las mismas credenciales (especialmente contraseñas) para varias cuentas. Si uno de esos servicios se ve comprometido, los atacantes pueden —y probablemente lo harán— usar esa contraseña robada para hackear el resto de tu vida digital.

Usa contraseñas únicas y difíciles de adivinar para cada cuenta en línea. Considera utilizar un gestor de contraseñas para simplificar el proceso.

Cualquiera que se haya visto afectado por una violación de datos debería considerar un servicio de monitoreo de identidad.
Bitdefender Digital Identity Protection te permite saber si tus datos han sido comprometidos o filtrados en línea, qué riesgos enfrentas y cómo protegerte.