DavaIndia, una de las mayores cadenas de farmacias de la India, expuso datos sensibles de 17,000 clientes y el control de 883 tiendas por una grave falla de seguridad. Este incidente plantea serias preocupaciones sobre la privacidad.
Una brecha de seguridad masiva en DavaIndia Pharmacy, brazo de Zota Healthcare, permitió a terceros obtener control administrativo total de su plataforma, exponiendo información de más de 17,000 pedidos de clientes y afectando los sistemas de 883 establecimientos. La falla fue corregida tras ser reportada en agosto de 2025.
Según la investigación publicada por TechCrunch, este grave incidente resalta los riesgos de la rápida digitalización sin la debida inversión en ciberseguridad. India, con más de 700 millones de usuarios de internet, se ha convertido en un terreno fértil para el e-commerce, pero también para ciberataques sofisticados que ponen en jaque la información personal de millones de ciudadanos.
Miles de Datos Personales y Controles Internos Quedaron al Descubierto
La magnitud de la exposición es alarmante. El acceso ilegal permitió visualizar cerca de 17,000 pedidos en línea, revelando información personal muy sensible: nombres completos, números de teléfono, direcciones de correo electrónico, domicilios de entrega, montos pagados y, lo más crítico, los productos farmacéuticos adquiridos. Esta última categoría puede inferir condiciones de salud privadas, una violación directa a la confidencialidad. Además, la falla concedió a atacantes potenciales la capacidad de modificar listas de productos en 883 tiendas diferentes, cambiar precios, crear cupones de descuento y alterar las configuraciones de prescripción para ciertos medicamentos, lo que implica un riesgo de salud pública.
¿Cómo Pudo Suceder una Falla de “Super Admin” con Acceso Total?
El investigador de seguridad Eaton Zveare, quien descubrió la vulnerabilidad, explicó a TechCrunch que la raíz del problema radicaba en interfaces de programación de aplicaciones (API) “super admin” inseguras y sin autenticación en el sitio web de DavaIndia. Esto significó que usuarios no autorizados podían crear cuentas de administrador con privilegios extremadamente altos, casi ilimitados. Según los registros del sistema, estas interfaces vulnerables habrían estado activas desde finales de 2024, exponiendo datos durante varios meses. Este tipo de fallos es crítico porque otorga a los atacantes el mismo nivel de control que un desarrollador o un ejecutivo técnico, abriendo la puerta a manipulaciones masivas.
El Gigante Farmacéutico en Plena Expansión con Más de 2,300 Tiendas
Este incidente se produce mientras Zota Healthcare, la empresa matriz, acelera drásticamente la expansión de DavaIndia Pharmacy. Actualmente, la compañía opera más de 2,300 tiendas en toda la India, habiendo anunciado la apertura de 276 nuevos establecimientos solo en enero de este año. Los planes de crecimiento incluyen añadir entre 1,200 y 1,500 tiendas adicionales en los próximos dos años, lo que elevaría su red a casi 4,000 locales. Esta rápida expansión, que ha llevado a DavaIndia a ser una de las cinco cadenas farmacéuticas más grandes del país, subraya la urgencia de integrar robustos sistemas de ciberseguridad desde las etapas iniciales de desarrollo.
¿Qué Implicaciones Reales Tiene la Exposición de Historiales Médicos Privados?
La exposición de datos de pedidos farmacéuticos es especialmente delicada, ya que puede revelar información íntima sobre las condiciones de salud, tratamientos o compras privadas de una persona. A diferencia de otros datos de consumo, un historial de medicamentos puede ser embarazoso o comprometer la privacidad del individuo, llevando a la discriminación o incluso a la extorsión. Zveare enfatizó que la información incluía detalles de más de 3,000 tipos de medicamentos diferentes. Aunque no hay pruebas de que la falla haya sido explotada antes de su corrección, el riesgo latente para las vidas de más de 17,000 personas afectadas es inmenso. Expertos globales en ciberseguridad estiman que el costo promedio de una brecha de datos en el sector salud supera los 10 millones de dólares.
Una Lección Costosa: Inversión en Ciberseguridad que Podría Superar los 50 Millones de Dólares
Para una empresa de la envergadura de Zota Healthcare, con una capitalización de mercado que se aproxima a los 300 millones de dólares, el costo de recuperar la confianza y fortalecer sus sistemas podría ser sustancial, potencialmente requiriendo una inversión de más de 50 millones de dólares en infraestructura de seguridad en los próximos 5 años. La ciberseguridad ya no es un gasto opcional; se ha convertido en una parte esencial de la estrategia de negocio, especialmente para plataformas que manejan datos sensibles. El Foro Económico Mundial ha estimado que el cibercrimen global podría superar los 10.5 billones de dólares anuales para 2025, un incremento del 20% anual en la última década.
Alertado en Agosto de 2025 y Solucionado en Poco Más de 15 Días
Eaton Zveare reportó la vulnerabilidad a CERT-In, la agencia nacional de respuesta a emergencias cibernéticas de la India, en agosto de 2025. La buena noticia es que el fallo fue corregido en cuestión de semanas, estimándose un tiempo de respuesta de entre 15 y 20 días por parte de la empresa. Sin embargo, la confirmación oficial de DavaIndia a las autoridades cibernéticas tardó considerablemente más, llegando a finales de noviembre de 2025, casi tres meses después del reporte inicial. Sujit Paul, CEO de Zota Healthcare, no respondió a las consultas de TechCrunch, dejando un velo de silencio sobre el incidente y las medidas tomadas internamente.
¿Están Nuestras Farmacias Digitales Preparadas para los Riesgos de la Ciberdelincuencia?
Este caso de DavaIndia, que afectó a más de 17,000 usuarios y a la operación de casi 900 tiendas en un país con más de 1.4 mil millones de habitantes, sirve como un crudo recordatorio de la fragilidad de la seguridad digital. En Huánuco y en todo el Perú, donde más del 80% de la población utiliza smartphones y las transacciones en línea, incluidas las de farmacias y telemedicina, crecen a un ritmo del 25% anual, la protección de datos se convierte en una prioridad ineludible. ¿Están las empresas y las autoridades peruanas a la altura del desafío de proteger nuestra información personal en un ecosistema digital que avanza sin tregua y que presenta nuevos riesgos cada 24 horas?
Crédito de imagen: Fuente externa
