Saltar al contenido

2 de abril de 2026 • Dogalyir • 5 min de lectura

Hims & Hers confirma filtración de datos en su sistema de atención al cliente: Lecciones sobre seguridad en plataformas de terceros

Hims & Hers confirma filtración de datos en su sistema de atención al cliente: Lecciones sobre seguridad en plataformas de terceros

En el dinámico mundo de la telemedicina, donde la confianza del paciente es fundamental, cualquier incidente de seguridad puede tener repercusiones significativas. Hims & Hers, reconocida empresa del sector que ofrece servicios de salud sexual, pérdida de peso y tratamientos médicos a distancia, ha confirmado recientemente una violación de datos que afectó su plataforma de atención al cliente administrada por un tercero.

Detalles del incidente de seguridad

Según la notificación oficial presentada ante la oficina del fiscal general de California, los atacantes lograron infiltrarse en el sistema de gestión de tickets de soporte entre el 4 y el 7 de febrero. Este sistema, utilizado para procesar consultas y solicitudes de los usuarios, contenía información personal que los clientes habían compartido al contactar al servicio de atención.

La empresa ha indicado que los datos comprometidos incluyen nombres completos, información de contacto y otros detalles personales que, por razones de seguridad, han sido redactados en la comunicación pública. Aunque Hims & Hers ha aclarado que los registros médicos como tales no se vieron afectados, la naturaleza de las interacciones en sistemas de soporte técnico significa que la información filtrada podría contener referencias indirectas a condiciones de salud, tratamientos o detalles sensibles de las cuentas de los usuarios.

El método del ataque: Ingeniería social

Jake Martin, portavoz de Hims & Hers, explicó a medios especializados que el incidente fue resultado de un ataque de ingeniería social. Esta técnica, cada vez más común en el panorama de ciberseguridad actual, implica manipular psicológicamente a empleados para que revelen credenciales de acceso o concedan permisos a sistemas protegidos. Los ciberdelincuentes se hacen pasar por personas o entidades legítimas para engañar a los trabajadores y obtener lo que necesitan para infiltrarse.

En Dogalyir, comprendemos la importancia de implementar protocolos de seguridad robustos que incluyan formación continua para el personal sobre estas amenazas. La ingeniería social representa uno de los vectores de ataque más difíciles de contener, ya que explota el factor humano en lugar de vulnerabilidades técnicas puras.

El alcance y las implicaciones

Actualmente, se desconoce el número exacto de personas afectadas por esta filtración. La ley de California exige que las empresas notifiquen incidentes que involucren a 500 o más residentes del estado, lo que sugiere que la escala podría ser significativa.

Lo que sí está claro es que los sistemas de atención al cliente y gestión de tickets se han convertido en objetivos valiosos para ciberdelincuentes con motivaciones económicas. Estas plataformas suelen almacenar grandes volúmenes de datos personales que pueden ser utilizados para extorsión, suplantación de identidad o venta en mercados clandestinos de la dark web.

Contexto más amplio de vulnerabilidades en sistemas de soporte

Este incidente no es aislado en el ecosistema tecnológico. El año pasado, Discord experimentó una violación similar que afectó su sistema de tickets de soporte, exponiendo identificaciones gubernamentales de aproximadamente 70,000 personas que habían enviado licencias de conducir y pasaportes para verificar su edad.

Estos casos subrayan un patrón preocupante: las plataformas de terceros, aunque ofrecen eficiencia operativa, pueden convertirse en puntos débiles en la cadena de seguridad si no se gestionan adecuadamente. La externalización de servicios críticos requiere evaluaciones continuas de seguridad, auditorías regulares y planes de respuesta a incidentes bien definidos.

Medidas de protección y mejores prácticas

Para empresas del sector tecnológico y de salud digital, este incidente sirve como recordatorio de varias consideraciones clave:

  1. Evaluación rigurosa de proveedores: Antes de integrar cualquier plataforma de terceros, es esencial realizar evaluaciones exhaustivas de sus protocolos de seguridad, historial de incidentes y medidas de protección de datos.

  2. Principio de mínimo privilegio: Limitar el acceso a datos sensibles solo al personal que realmente lo necesita para realizar sus funciones puede reducir significativamente la superficie de ataque.

  3. Cifrado de extremo a extremo: Implementar cifrado robusto tanto para datos en tránsito como en reposo añade una capa adicional de protección incluso si ocurre una filtración.

  4. Monitoreo continuo: Los sistemas deben incluir herramientas de detección de anomalías que alerten sobre actividades sospechosas en tiempo real.

  5. Plan de respuesta: Tener un protocolo claro y probado para responder a incidentes de seguridad permite minimizar el impacto y restaurar la confianza de los usuarios más rápidamente.

En Dogalyir, trabajamos con empresas del sector salud y tecnológico para desarrollar soluciones que equilibren funcionalidad con seguridad robusta. La arquitectura de sistemas distribuidos, cuando se diseña adecuadamente, puede ofrecer tanto escalabilidad como protección contra este tipo de vulnerabilidades.

El futuro de la seguridad en telemedicina

A medida que la telemedicina continúa expandiéndose, la seguridad de los datos de los pacientes debe evolucionar paralelamente. Las regulaciones como HIPAA en Estados Unidos establecen estándares importantes, pero las amenazas cibernéticas avanzan constantemente, requiriendo enfoques proactivos y adaptativos.

La transparencia en la comunicación tras un incidente, como ha demostrado Hims & Hers al notificar a las autoridades y al público, es fundamental para mantener la confianza. Los usuarios valoran cuando las empresas asumen responsabilidad y toman medidas concretas para prevenir futuros incidentes.

La integración de tecnologías emergentes como la inteligencia artificial para la detección de amenazas, la autenticación biométrica y los sistemas de verificación de identidad descentralizados podría ofrecer nuevas capas de protección en los próximos años. Mientras tanto, la educación continua del personal y la implementación de prácticas de seguridad fundamentales siguen siendo las defensas más efectivas contra ataques de ingeniería social como el que afectó a Hims & Hers.