El 11 de abril del 2021, el usuario teamkelinsecteam publicó -en un foro popular de hackers- que había comprometido mas de 700 mil registros de clientes y pagos de la cadena de farmacias Salcobrand (Chile) y que están disponibles para la venta a través de telegram.

Aunque no se dieron detalles del ataque, todo pareciera indicar que la filtración corresponde a usuarios registrados y ventas realizadas a través del sitio web de Salcobrand. Sin descartarse que se pudieran incluir registros de usuarios que realizaron compras en la red de farmacias, en las que se necesita entregar el número de identificación (RUT) para obtener beneficios y descuentos.

Los datos filtrados de los usuarios incluye:

• Nombre
• Apellido
• Rut
• Sexo
• Fecha Nacimiento
• Email
• Fecha Registro
• Dermocoaching
• Dieta & Fitness
• Infantil y Mamá
• Belleza
• Bienestar Sexual
• Adulto Mayor
• Cuidado Personal
• Salud y Vitamina

Mientras que los datos de información de pagos incluye:

• Número de orden
• Fecha de orden
• Email cliente
• Rut Cliente
• Total venta
• Webpay
• Redcompra / Tarjeta de crédito / Tarjeta Prepago
• Consalud
• Tarjeta Sbpay
• Tarjeta Salcobran
• Colmena

Respuesta:

A la fecha, farmacias Salcobrand no ha emitido comentarios para confirmar la veracidad de este ataque, ni de la información filtrada. Hasta ahora solamente han emitido comentarios algunos Cazadores de amenazas (Threat Hunting) días después de la filtración. 

Riesgos:

Los riesgos de este ataque son importantes, considerando que se filtró información personal y confidencial de los usuarios, como sus gustos y patrones de compra. Información que pudiera ser utilizada por ciberdelincuentes para crear ataques dirigidos (ej. phishing o ingeniería social); empresas para enviar publicidad dirigida o SPAM; e inclusive ser usada por empresas de seguros o ISAPREs para ofrecer o negar pólizas. Afortunadamente, en la filtración (que se conoce) no se incluye el detalle de los productos comprados, ya que eso pudiera usarse para predecir el estado de salud de una persona. 

Que hacer para protegernos:

1. Como persona: Prepárate a cómo van a pueden usar esa información en tu contra. Por ejemplo: alguien te puede llamar haciéndose pasar por asistente de farmacias Salcobrand, indicándote fechas de compras, para ganar tu confianza y después pedirte tus claves, que descargues un malware o realices transferencias de dinero

2. Como empresa: cifra (encripta) los datos confidenciales de los clientes, para que en caso que se filtren, sean ilegibles; establece medidas de prevención, detección y respuesta de incidentes de seguridad. Y realiza periódicamente pruebas de seguridad para detectar brechas y que se puedan corregir oportunamente. Por ejemplo: a través de pruebas de Seguridad ofensiva y pentesting

Comentarios finales:

Esta fuga de información levanta varias inquietudes: ¿Es realmente necesario entregar tantos datos personales a una farmacia y en cada compra entregar tu número de identificación (RUT)? y ¿las empresas de salud están tomando las medidas de ciberseguridad adecuadas para resguardar los datos de sus clientes y tienen implementados procesos de repuesta ante incidentes de seguridad efectivos?.