Filtración masiva en DentaQuest: el grupo ShinyHunters dice tener los datos médicos de 2,6 millones de personas

Una filtración que mezcla identidad y salud

DentaQuest, la división de seguros dentales de la aseguradora Sun Life que da cobertura a cerca de 35 millones de personas a través de una red de 140.000 dentistas en Estados Unidos, confirmó el pasado 2 de junio que sufrió un acceso no autorizado a sus sistemas. La compañía reconoció el incidente después de que el grupo de ciberdelincuentes ShinyHunters publicara, en uno de sus canales habituales, capturas de pantalla y muestras de lo que aseguran ser 234 gigabytes de información robada, correspondientes a unos 2,6 millones de personas.

Lo que hace especialmente delicado este caso no es solo el volumen de los datos, sino su naturaleza. Según el análisis de BleepingComputer sobre las muestras filtradas, el lote incluye nombres completos, fechas de nacimiento, direcciones, correos electrónicos, números de teléfono, identificaciones emitidas por el gobierno, información de pólizas de seguro médico y, en algunos casos, números de identificación de Medicaid. Es decir, una combinación de datos de identidad (PII) y datos de salud protegidos (PHI) que en manos equivocadas puede usarse tanto para fraude financiero como para suplantación de identidad médica.

Quién está detrás y cómo opera

ShinyHunters no es un nombre nuevo en el mundo de las filtraciones a gran escala. El colectivo —o la etiqueta bajo la que operan distintos atacantes— ha sido vinculado en los últimos años a robos de datos de plataformas tecnológicas, cadenas de retail y, cada vez con más frecuencia, empresas del sector salud y seguros, un terreno especialmente atractivo porque sus bases de datos combinan información financiera, médica y de identidad en un solo paquete.

Su forma habitual de operar consiste en extraer la información, intentar negociar una extorsión directa con la empresa afectada y, si no lo consiguen, sacar los datos a la luz pública o venderlos en foros especializados como prueba de que el ataque fue real. La filtración de capturas de pantalla con muestras verificables —como ha ocurrido en este caso— suele ser parte de esa estrategia de presión.

Datos que ya circulaban antes

Un detalle que añade matices al caso: según comprobaciones cruzadas con Have I Been Pwned (HIBP), aproximadamente el 66% de los registros de este nuevo lote ya habían aparecido previamente en otras filtraciones. Esto no resta gravedad al incidente —los historiales médicos y las pólizas de seguro no suelen estar en esos lotes anteriores—, pero sí sugiere que buena parte de las víctimas son personas cuyos datos básicos de identidad llevan tiempo circulando por el mercado negro, y que esta filtración añade una capa adicional, más sensible, sobre perfiles ya expuestos.

Qué falta por saber

Hasta el 5 de junio, DentaQuest no había notificado formalmente el incidente al Departamento de Salud y Servicios Humanos de Estados Unidos (HHS) ni a las fiscalías generales estatales, un paso obligatorio bajo la normativa HIPAA y las leyes estatales de notificación de filtraciones cuando se confirma el robo de información de salud. Tampoco se ha precisado aún cómo lograron los atacantes acceder a los sistemas, ni si la filtración afecta a clientes de otras filiales de Sun Life además de DentaQuest.

Para las personas que hayan sido clientes de DentaQuest, los expertos en seguridad recomiendan extremar la vigilancia ante correos o llamadas que digan provenir de la aseguradora o de proveedores médicos, activar alertas de fraude en sus informes crediticios y revisar los resúmenes de sus seguros de salud en busca de reclamaciones o consultas que no reconozcan, una señal habitual de suplantación de identidad médica.