Roban 250 GB de datos confidenciales de pacientes de Clínica Dávila

Debido a un grave incidente de ciberseguridad, el Servicio Nacional del Consumidor (Sernac) ofició a Clínica Dávila y Servicios Médicos S.A. con el objetivo de recabar antecedentes sobre una filtración de datos que comprometería la privacidad de sus pacientes.

Según informó el organismo fiscalizador, la clínica habría sido víctima de una intrusión masiva a sus activos digitales, atribuida preliminarmente a un grupo de ransomware extranjero denominado Devman. Este ataque habría derivado en la exfiltración de aproximadamente 250 GB de información sensible y reservada.

De acuerdo con lo señalado por el Sernac, entre los datos presuntamente filtrados se encuentran fichas clínicas completas, diagnósticos médicos, resultados de exámenes de alta sensibilidad —incluidos exámenes de VIH—, copias de cédulas de identidad de pacientes y bases de datos operativas de la institución.

Antecedentes solicitados y plazo de respuesta

Frente a la gravedad de los hechos, el Sernac solicitó a Clínica Dávila la entrega de una serie de antecedentes clave en un plazo de 10 días hábiles, con el fin de esclarecer lo ocurrido y determinar eventuales responsabilidades.

Entre los requerimientos se incluye una versión oficial de los hechos, una cronología detallada del incidente de ciberseguridad y el número total de pacientes afectados, desagregado según el tipo de información comprometida. Asimismo, el organismo exigió conocer las medidas de seguridad vigentes al momento del ataque, el vector de entrada utilizado por los ciberdelincuentes y las acciones adoptadas para contener y erradicar la intrusión.

Comunicación a pacientes y eventuales acciones legales

El oficio también contempla la solicitud de antecedentes sobre los mecanismos de comunicación utilizados para informar a los pacientes afectados, así como el número de reclamos recibidos hasta ahora. Además, se pidió detallar las medidas preventivas implementadas para evitar nuevos incidentes y la postura de la clínica frente a una eventual responsabilidad civil y administrativa.

El Sernac recalcó que la seguridad en el tratamiento y resguardo de los datos personales constituye un derecho fundamental de los consumidores, conforme a lo establecido en la Ley del Consumidor. En ese contexto, advirtió que, de no cumplirse con la entrega de la información solicitada dentro del plazo estipulado, se reserva el derecho de ejercer las acciones judiciales y administrativas correspondientes para proteger a los consumidores afectados.