Ciberataque en Clínica Dávila: filtración y eventual exposición de 250 GB de datos sensibles

En la última semana de diciembre de 2025, el sector salud en Chile volvió a quedar en el centro del debate por un incidente de ciberseguridad que, según antecedentes difundidos por medios y un oficio del SERNAC, habría implicado la filtración de aprox. 250 GB de información altamente sensible de pacientes de Clínica Dávila: fichas clínicas, diagnósticos, copias de cédulas de identidad y resultados de exámenes de alta sensibilidad (incluidos VIH).

Más allá del “titular”, este tipo de eventos obliga a hacerse dos preguntas incómodas (y urgentes):

1. ¿Qué tan preparadas están las organizaciones para prevenir y contener una intrusión antes de que se convierta en fuga de datos?
2. ¿Qué tan efectivas son las reglas (y su fiscalización) para que la seguridad y la privacidad se gestionen como un deber, y no como un “proyecto pendiente”?

Qué se sabe (y qué NO) a la fecha.

Lo que sí está documentado públicamente por autoridad y medios:

• SERNAC ofició a Clínica Dávila y a Servicios Médicos S.A. para que informen, en 10 días hábiles, una cronología oficial, el número total de afectados, el tipo de datos comprometidos, medidas de seguridad existentes, posible vector de ataque, acciones de contención/erradicación, y cómo se informó a los pacientes (más reclamos recibidos).
• En ese oficio, SERNAC indica que los antecedentes públicos hablan de una intrusión atribuida preliminarmente a un grupo de ransomware llamado “Devman” y una exfiltración de ~250 GB.
• Según reporte periodístico, la clínica habría tomado conocimiento de un “incidente informático provocado por terceros”, activando protocolos y dejando el caso “bajo análisis forense” e informado a autoridades competentes.

Lo que aún no se puede afirmar con certeza (y es clave para un análisis serio):

• El número real de pacientes afectados (SERNAC precisamente lo pidió).
• Si hubo cifrado (ransomware) además de exfiltración, y el alcance técnico exacto (sistemas, ambientes, respaldos, accesos).
• La ruta de intrusión (phishing, credenciales filtradas, vulnerabilidad expuesta, tercero comprometido, etc.).
• En ciberseguridad, la diferencia entre “se cayó un sistema” y “se filtraron datos clínicos” suele estar en detalles técnicos y de gobernanza que solo aparecen en una investigación forense bien hecha.

Por qué la filtración de datos de salud es una “categoría aparte”

Cuando se compromete información clínica, el impacto no es solo reputacional o financiero: es personal, irreversible y potencialmente discriminatorio. Si dentro de los datos hay resultados de VIH u otros antecedentes de salud íntimos, el riesgo se amplifica hacia:

• Extorsión y chantaje (doble/triple extorsión).
• Fraude de identidad (si hay cédulas o datos identificatorios).
• Phishing dirigido (“te escribimos por tus exámenes…”) —un riesgo que incluso se advirtió públicamente en la cobertura del caso.
• Daño psicológico y social para las personas afectadas.

En salud, la pregunta no es “¿se puede recuperar la operación?”, sino también: ¿cómo reparas el daño de una exposición de datos que no se puede “desfiltrar”?

“Ransomware” hoy: el patrón que se repite

Aunque cada incidente es distinto, en muchos casos modernos el “ransomware” es el último acto de una historia que empezó antes:

1. Acceso inicial (credenciales robadas, phishing, servicios expuestos, proveedor).
2. Movimiento lateral y escalamiento (buscan privilegios, respaldos, servidores clave).
3. Exfiltración (copian datos sensibles para extorsión).
4. Impacto operacional (cifrado, interrupciones, degradación de servicios).
5. Extorsión y presión pública (amenaza de publicación, filtración parcial como “prueba”).

Lo importante: si llegaste a exfiltración masiva, fallaron varias capas, no una sola.

Qué deberían estar haciendo hoy las organizaciones (especialmente en salud)

1) Preparación real (no “documentos”)

• Inventario y clasificación de datos (qué es sensible, dónde vive, quién accede).
• Modelo de amenazas: salud = alto valor para criminales.
• Plan de respuesta a incidentes con roles, proveedores y runbooks claros.

2) Controles que cortan cadenas de ataque

• MFA robusta (especialmente para correo, VPN, escritorios remotos, admins).
• Gestión de identidades con mínimo privilegio y revisión periódica.
• Segmentación (no todo debe hablar con todo).
• EDR/XDR + monitoreo 24/7 (capacidad de detectar lateral movement y exfiltración).
• DLP / controles de salida (cuando el “camión de datos” intenta salir).
• Cifrado y gestión de llaves (en reposo y tránsito, con buenas prácticas operativas).

3) Resiliencia operacional

• Backups aislados (inmutables/air-gapped cuando aplique), pruebas de restauración.
• Continuidad operacional para servicios críticos (agendamiento, resultados, atención).
• Gestión de terceros: vendors de laboratorio, imaging, call center, etc. (la cadena es tan fuerte como el eslabón más débil).

4) Comunicación y protección al paciente

Cuando hay riesgo de exposición, parte de la respuesta debe ser “humana”:

• Comunicación clara, verificable y a tiempo (sin tecnicismos vacíos).
• Medidas anti-phishing específicas: canales oficiales, recomendaciones, soporte.
• Evidencia y trazabilidad: qué se supo, cuándo, qué se hizo y qué falta.

El rol de la ley y la fiscalización: de “recomendación” a obligación medible

Este caso es un buen ejemplo de por qué la ciberseguridad está dejando de ser voluntaria.

SERNAC y derechos del consumidor

SERNAC explicitó que la seguridad en el tratamiento de datos personales forma parte de los derechos establecidos en la Ley del Consumidor (LPC), y por eso exige explicaciones y medidas.

Ley Marco de Ciberseguridad (Ley 21.663) y ANCI

Chile ya tiene un marco que busca estructurar, regular y coordinar la ciberseguridad, incluyendo requisitos mínimos para prevención, respuesta y mecanismos de control y responsabilidad.

La ley aplica a servicios esenciales y a quienes sean calificados como operadores de importancia vital.

Y, en términos prácticos, pone sobre la mesa algo clave: protocolos/estándares orientados a gestión de riesgos, contención, y mitigación del impacto sobre continuidad y confidencialidad/integridad.

Además, ya existen actos administrativos (Diario Oficial) vinculados al proceso de calificación de OIV, lo que muestra que la institucionalidad (ANCI) y la “bajada” a mecanismos concretos están en marcha.

Nueva Ley de Protección de Datos (Ley 21.719): el cambio que viene (y no espera)

En paralelo, la Ley 21.719 crea la Agencia de Protección de Datos Personales.

Y, según la guía oficial de implementación, fue publicada el 13 de diciembre de 2024 y entrará en vigencia el 1 de diciembre de 2026, reformando íntegramente la Ley 19.628.

Traducción a lenguaje “empresa”: incidentes como este no solo exponen reputación; van camino a exponer riesgo regulatorio serio, con exigencias de cumplimiento más verificables y sancionables.

La lección más dura (y más útil)

Si algo deja este caso, es que en salud la ciberseguridad no puede ser un “tema TI”: es seguridad del paciente, continuidad del servicio, confianza y cumplimiento.

Y aquí va una verdad simple:
cuando los datos son clínicos, la pregunta no es si habrá intentos de ataque, sino cuándo y si la organización estará lista para evitar que el intento se transforme en daño real.

La entrada Ciberataque en Clínica Dávila: filtración y eventual exposición de 250 GB de datos sensibles se publicó primero en Blog Seguridad América.