El gigante de la telemedicina Hims & Hers ha enviado una alerta a sus clientes confirmando que la compañía ha sido víctima de una brecha de seguridad. Los atacantes lograron acceder a la plataforma de atención al cliente de un tercero, obteniendo de forma ilícita varios tickets de soporte enviados por los usuarios.
Hims & Hers, conocida por ofrecer servicios médicos bajo suscripción para tratar la caída del cabello, la disfunción eréctil, la salud mental y el control de peso, genera ingresos anuales cercanos a los 1.000 millones de dólares. Según la notificación enviada a los organismos reguladores de California, la intrusión tuvo lugar a principios de febrero de 2026.
“El 5 de febrero de 2026, detectamos actividad sospechosa en nuestra plataforma de atención al cliente externa”, señaló la empresa en una carta dirigida a los afectados. “Tomamos medidas inmediatas para asegurar la plataforma e iniciamos una investigación para determinar la naturaleza y el alcance del incidente”. Los resultados revelaron que el acceso no autorizado ocurrió entre el 4 y el 7 de febrero.
El 3 de marzo, la compañía confirmó que los tickets de soporte sustraídos contenían información personal de algunos clientes, como nombres y datos de contacto. Hims & Hers subrayó que este incidente no afectó a los historiales médicos ni a las comunicaciones privadas entre pacientes y médicos.
Un ataque a la cadena de suministro afecta a la plataforma de soporte
Aunque Hims & Hers no ha revelado la identidad de los atacantes, el medio especializado BleepingComputer ha informado que el grupo de ransomware ShinyHunters estaría detrás de la operación. Este grupo ha llevado a cabo recientemente una campaña masiva aprovechando credenciales de inicio de sesión único (SSO) de Okta para acceder de forma ilegal a servicios en la nube y plataformas SaaS con el fin de robar datos.
En este ataque, los piratas informáticos utilizaron cuentas de Okta comprometidas para acceder a la instancia de Zendesk de Hims & Hers, extrayendo millones de tickets de soporte. Recientemente, el minorista de artículos para el hogar ManoMano y la plataforma de streaming Crunchyroll también sufrieron filtraciones de datos de clientes debido a vulnerabilidades similares en la plataforma Zendesk.
Actualmente, Hims & Hers ofrece a todos los afectados un servicio gratuito de monitoreo de crédito durante 12 meses. La empresa recomienda a los usuarios mantenerse alerta ante comunicaciones no solicitadas, extremar la precaución frente a intentos de phishing o ingeniería social, y revisar periódicamente sus estados de cuenta y reportes crediticios para detectar cualquier actividad inusual.
Hasta el momento del cierre de esta edición, Hims & Hers no ha respondido a las solicitudes de comentarios sobre el número exacto de personas afectadas ni sobre las medidas de seguridad adicionales que se implementarán.
