SERNAC solicita antecedentes a Clínica Dávila por incidente de ciberseguridad
El organismo ofició al recinto asistencial tras un ataque informático que habría expuesto información médica y datos personales de pacientes, incluyendo antecedentes de alta confidencialidad.
El Servicio Nacional del Consumidor (SERNAC) ofició a Clínica Dávila y a Servicios Médicos S.A. para requerir información sobre un incidente de ciberseguridad que habría afectado a sus sistemas informáticos y comprometido datos personales y sensibles de pacientes atendidos en el recinto de salud.
De acuerdo con antecedentes conocidos públicamente, la clínica habría sido víctima de un ataque informático atribuido preliminarmente a un grupo extranjero de ransomware identificado como Devman. El incidente habría permitido el acceso no autorizado y la extracción de una gran cantidad de información almacenada en los sistemas de la institución.
Alcance del incidente y requerimientos del organismo
Según la información disponible, la intrusión habría derivado en la exfiltración de cerca de 250 gigabytes de datos, entre los que se encontrarían fichas clínicas, diagnósticos médicos, resultados de exámenes de alta confidencialidad, además de copias de cédulas de identidad y bases de datos operativas del recinto asistencial.
Frente a estos hechos, el SERNAC solicitó a la clínica que, en un plazo de 10 días hábiles, entregue una versión oficial de lo ocurrido, acompañada de una cronología detallada del incidente. Asimismo, requirió informar el número de pacientes eventualmente afectados, desagregando el tipo de datos comprometidos en cada caso.
El organismo también exigió antecedentes sobre las medidas de seguridad vigentes al momento del ataque, las acciones adoptadas para contener y mitigar la intrusión, los mecanismos utilizados para informar a los pacientes afectados y las medidas preventivas implementadas para evitar nuevos incidentes similares.
Desde el SERNAC recordaron que la protección de los datos personales forma parte de los derechos establecidos en la Ley del Consumidor y advirtieron que, en caso de no recibir la información solicitada, el organismo podrá ejercer las acciones administrativas o judiciales que correspondan para la protección de los consumidores afectados.
