¿Qué ocurrió en Hims & Hers?
La empresa de telemedicina Hims & Hers confirmó que su plataforma externa de atención al cliente fue vulnerada por delincuentes informáticos entre el 4 y el 7 de febrero de 2026. Los atacantes lograron penetrar el sistema de tickets gestionado por un proveedor externo y sustrajeron una gran cantidad de registros de soporte, que contenían información personal proporcionada por los usuarios al solicitar ayuda.
Modo de ataque y datos comprometidos
Según el comunicado presentado ante la Fiscalía General de California, los agresores emplearon una técnica de ingeniería social, engañando a empleados para que concedieran acceso a la infraestructura del sistema de tickets. La información robada incluía nombres, direcciones de correo electrónico y otros datos personales que la empresa optó por omitir en la notificación pública. Aunque Hims & Hers asegura que los expedientes médicos no fueron afectados, la naturaleza de los tickets puede revelar detalles sensibles sobre tratamientos, historial de salud y preferencias de los pacientes.
Alcance y repercusión
Hasta el momento no se conoce el número exacto de usuarios cuya información quedó expuesta, aunque la normativa californiana obliga a notificar cuando la brecha afecta a 500 o más residentes. La empresa no confirmó si los hackers exigieron un rescate ni si se ha recibido alguna comunicación de los perpetradores.
Un objetivo cada vez más atractivo
Los sistemas de soporte al cliente y de gestión de tickets se están convirtiendo en blancos habituales para los cibercrimenes motivados por el lucro. En 2025, Discord sufrió una filtración similar que expuso identificaciones gubernamentales de aproximadamente 70.000 usuarios que habían enviado licencias de conducir o pasaportes para verificar su edad. Estas brechas subrayan la necesidad de reforzar la seguridad de los proveedores externos y de implementar controles estrictos de acceso.
Lecciones para el sector de la telehealth
El caso de Hims & Hers muestra que, más allá de proteger los registros médicos, las empresas de salud digital deben vigilar cuidadosamente los canales de comunicación con el cliente. La información que se comparte en una solicitud de soporte, aunque parezca inocua, puede ser utilizada para montar ataques de suplantación de identidad o para extorsionar a la compañía.
En conclusión, la vulneración de Hims & Hers refuerza la alerta sobre la exposición de datos en plataformas de atención al cliente y pone de relieve la importancia de las prácticas de seguridad proactivas, la capacitación constante del personal y la auditoría regular de los proveedores externos.