La empresa de telesalud Hims & Hers experimentó un incidente de seguridad en febrero, en el que piratas informáticos obtuvieron acceso a su sistema de tickets de atención al cliente de terceros. La infracción, confirmada por la empresa en una presentación ante el Fiscal General de California, comprometió los datos de los clientes enviados a través de solicitudes de soporte.
Detalles de la infracción
Entre el 4 y el 7 de febrero, actores no autorizados se infiltraron en la plataforma, robando un volumen importante de tickets de soporte. Estos tickets contenían nombres de clientes, información de contacto y datos personales no especificados. Si bien Hims & Hers afirma que los registros médicos no estuvieron expuestos directamente, la naturaleza de las interacciones de apoyo a menudo implica compartir detalles confidenciales de la cuenta y consultas de salud personal. Se desconoce el número exacto de personas afectadas, aunque la ley de California exige la divulgación si más de 500 residentes se ven afectados.
Ataque de ingeniería social
Según un portavoz de la empresa, Jake Martin, la intrusión se produjo mediante un ataque de ingeniería social. Esta táctica implica manipular a los empleados para que otorguen acceso al sistema, evitando las medidas de seguridad tradicionales. Los datos robados “incluían principalmente nombres de clientes y direcciones de correo electrónico”, aunque no se ha detallado públicamente el alcance total de la información comprometida. Hims & Hers no ha revelado si los piratas informáticos exigieron un rescate o si hicieron algún contacto adicional.
Tendencia creciente de ataques al sistema de soporte
Los sistemas de atención al cliente son cada vez más el objetivo de piratas informáticos con motivaciones financieras. Estos sistemas almacenan datos valiosos, lo que los convierte en los principales candidatos para el robo de datos y los esquemas de extorsión. En los últimos meses se ha visto un aumento de este tipo de ataques, a medida que los ciberdelincuentes explotan las vulnerabilidades de estas plataformas para extraer información de los clientes para obtener ganancias financieras.
La violación de Hims & Hers subraya la necesidad crítica de protocolos de seguridad sólidos en los sistemas de terceros que manejan datos confidenciales de los clientes. El incidente pone de relieve la facilidad con la que los atacantes pueden aprovechar el error humano para eludir las defensas técnicas.
