Alerta digital: una de las farmacias más grandes de India, DavaIndia, expuso datos de casi 17,000 clientes y controles internos cruciales; la falla estuvo activa desde finales de 2024.
DavaIndia Pharmacy, brazo de Zota Healthcare con más de 2,300 locales en India, sufrió una grave brecha. Un fallo permitió control administrativo total de su plataforma, exponiendo 17,000 pedidos y funciones clave desde 2024, según TechCrunch este 13 de febrero de 2026.
Según la investigación publicada por TechCrunch, el investigador Eaton Zveare detectó la vulnerabilidad crítica. Este incidente subraya la fragilidad de sistemas digitales: más de 30,000 ciberataques diarios ponen en jaque la privacidad de millones y la seguridad de empresas en expansión.
Falla Crítica de Seguridad Expuso 17,000 Pedidos y Datos Personales
La brecha en DavaIndia Pharmacy, una de las mayores cadenas de India, permitió a terceros obtener control administrativo completo. Eaton Zveare descubrió interfaces API “super admin” inseguras. Con este acceso, un atacante podía ver más de 17,000 pedidos, modificar precios, generar miles de cupones y alterar configuraciones de recetas. Expuso nombres, teléfonos, correos, domicilios y montos pagados, afectando directamente a unos 35,000 individuos y potencialmente a los 5 millones de clientes de la red con 2,300 locales.
¿Qué Implicaciones Tiene la Exposición de Datos de Salud?
La exposición de datos de farmacia es delicada, revelando condiciones de salud y medicamentos, potencialmente vergonzosos. Zveare enfatizó que “la información del cliente estaba vinculada a sus pedidos”, incluyendo productos sensibles. Un ataque podría haber comprometido privacidad y seguridad financiera. El costo promedio por registro expuesto en salud es de 499 dólares, sumando un potencial de 8.5 millones de dólares en pérdidas para los 17,000 pedidos filtrados.
El Costo Oculto del Rápido Crecimiento Empresarial
Zota Healthcare expande DavaIndia Pharmacy rápidamente, con más de 2,300 tiendas y planes de añadir entre 1,200 y 1,500 más en dos años. Este crecimiento del 60% anual descuida la ciberseguridad, evidenciado por los 240 días que la falla estuvo activa desde finales de 2024 hasta su reporte en agosto de 2025.
¿Cómo Funcionó Exactamente Esta Vulnerabilidad Crítica?
Zveare explicó que la falla se originó en interfaces de administración inseguras, permitiendo a usuarios no autenticados crear cuentas “super admin” con altos privilegios en 15 minutos. Este acceso al 100% del sistema permitía ver datos confidenciales, modificar productos y precios en 883 tiendas, crear descuentos y cambiar requisitos de prescripción, con graves consecuencias para la salud pública.
Impacto Operacional y Potenciales Sanciones Millonarias
El acceso permitía editar el sitio, posible para desfiguraciones o interrupciones. Aunque no hay explotación detectada, la posibilidad es alarmante. Zota Healthcare podría enfrentar multas regulatorias: en Europa, las brechas acarrean sanciones de hasta 20 millones de euros o el 4% de la facturación global anual. La reputación, valorada en 200 millones de dólares para DavaIndia, sufre un golpe que podría tomar 3 años en recuperarse.
Meses de Silencio tras el Reporte Inicial
Zveare informó a CERT-In en agosto de 2025. La vulnerabilidad se corrigió en semanas, pero la confirmación de la empresa se demoró hasta finales de noviembre, casi 3 meses después. Esto plantea preguntas sobre la agilidad en la gestión de crisis de ciberseguridad.
¿Qué Medidas de Protección Deberían Tomar los Usuarios?
Aunque corregida, el CEO de Zota Healthcare, Sujit Paul, no respondió a correos de TechCrunch del último mes. Esta falta de transparencia genera incertidumbre sobre futuras medidas de seguridad. Para los más de 15 millones de usuarios, este incidente es un recordatorio de la necesidad de estar vigilantes con su información, cambiar contraseñas y monitorear actividades, pues la ciberseguridad es una batalla constante. ¿Priorizarán las empresas la seguridad al mismo nivel que su crecimiento acelerado?
Crédito de imagen: Fuente externa
