Filtraciones de datos en el gigante farmacéutico indio exponen miles de registros de clientes

Una vulnerabilidad de seguridad significativa en uno de los minoristas farmacéuticos más grandes de la India ha expuesto datos sensibles de clientes y operaciones a posibles accesos no autorizados. El incidente que involucra a DavaIndia Pharmacy, operada por Zota Healthcare, revela cómo la rápida expansión empresarial puede a veces eclipsar las medidas críticas de ciberseguridad. La investigación de TechCrunch descubrió que la red de farmacias india dejó sus sistemas administrativos prácticamente desprotegidos, permitiendo que cualquier persona con conocimientos técnicos básicos obtuviera control total sobre la información de los clientes y las operaciones de la tienda.

Cómo el acceso administrativo no seguro dejó vulnerable la información de los clientes

El investigador de seguridad Eaton Zveare descubrió que la plataforma de DavaIndia contenía APIs de “superadministrador” mal protegidas que no requerían autenticación para acceder. Esta falla crítica significaba que cualquier individuo podía crear cuentas de administrador de alto nivel y obtener acceso sin restricciones a toda la operación de la farmacia. Una vez dentro, un actor malicioso podía manipular casi todos los aspectos del negocio.

El alcance del daño potencial era extenso. Los atacantes podrían haber accedido a miles de pedidos de clientes que contenían información personal de salud, modificado precios y disponibilidad de productos, generado códigos promocionales fraudulentos y, lo más peligroso, alterado los requisitos de prescripción para medicamentos—posibilitando la venta de drogas restringidas sin la verificación adecuada. Las interfaces administrativas vulnerables habían estado accesibles desde finales de 2024, dejando el sistema expuesto durante varios meses.

Durante este período de exposición, aproximadamente 17,000 pedidos en línea y controles administrativos para 883 ubicaciones de farmacias en toda la India permanecieron comprometidos. Esto significaba que las reglas de prescripción, las estructuras de precios y las ofertas promocionales podrían haber sido modificadas sin detección ni autorización.

El crecimiento de la cadena farmacéutica india superó las medidas de seguridad

La empresa matriz de DavaIndia, Zota Healthcare, ha estado experimentando una expansión rápida mientras esta vulnerabilidad permanecía sin resolver. Con sede en Gujarat, la compañía opera actualmente más de 2,300 farmacias en todo el país. Recientemente lanzó 276 nuevas ubicaciones a principios de 2025 y tiene planes agresivos para abrir entre 1,200 y 1,500 tiendas en los próximos dos años.

Esta trayectoria de crecimiento resalta un patrón común en las empresas en rápida escala: la expansión de infraestructura a veces ocurre más rápido que la implementación y mantenimiento adecuados de los protocolos de seguridad.

La naturaleza sensible de las filtraciones de datos farmacéuticos

Los registros de farmacia de los clientes representan alguna de las informaciones más privadas disponibles en línea. A diferencia de otras transacciones minoristas, las compras de medicamentos pueden revelar condiciones de salud detalladas, tratamientos de salud mental, manejo de enfermedades crónicas y otra información médica profundamente personal. El incidente de filtración en la India expuso exactamente este tipo de datos.

Según el análisis de Zveare, los datos de pedidos comprometidos incluían nombres de clientes, números de teléfono, direcciones de correo electrónico, direcciones físicas, montos de pago y registros detallados de compras. “Esta información podría ser altamente personal o incluso embarazosa para algunas personas”, explicó Zveare, señalando que los productos farmacéuticos a menudo indican condiciones de salud sensibles que los usuarios prefieren mantener en confidencialidad.

Descubrimiento y resolución del incidente en la farmacia india

Zveare reportó de manera privada sus hallazgos a las autoridades de ciberseguridad de la India y a CERT-In (el equipo nacional de respuesta a incidentes de ciberseguridad de la India) a mediados de 2025. La vulnerabilidad fue solucionada en semanas posteriores al informe inicial. Sin embargo, la confirmación oficial por parte de DavaIndia solo fue proporcionada a las autoridades a finales de ese año, según la cronología de Zveare.

TechCrunch intentó contactar a Sujit Paul, CEO de Zota Healthcare, para obtener comentarios, pero no recibió respuesta. Zveare confirmó que actualmente no hay evidencia de que la falla de seguridad haya sido explotada de manera maliciosa antes de su corrección, aunque la mera existencia de la vulnerabilidad representa una brecha significativa en la confianza de los clientes.

Este incidente subraya la importancia crítica de las evaluaciones de seguridad durante períodos de rápido crecimiento, y la necesidad de que las empresas—especialmente aquellas que manejan datos sensibles de farmacia y salud—mantengan protocolos de autenticación robustos y auditorías de seguridad regulares.