El pasado 18 de diciembre el blog Ciberseguridad en Latinoamérica dio a conocer el robo de datos sensibles de pacientes de la Clínica Dávila por parte del grupo hacker Devman.

En su sitio en la darkweb, el grupo dio a conocer que se tratan de 250 GB de “historiales completos de los pacientes, resultados de las pruebas del VIH y documentos de identidad”. Ante el compromiso de información privada, Clínica Dávila emitió un comunicado público señalando que activaron los protocolos de seguridad, dieron aviso a las autoridades correspondientes y se encuentran realizando un “análisis forense” de la situación. 

Por su parte, el Servicio Nacional del Consumidor (Sernac) ofició a la Clínica Dávila para entregar una cronología de lo sucedido, el número de afectados y reclamos ingresados, entre otros, en un plazo de diez días.

Sin embargo, el grupo Devman ha continuado con las presiones contra la clínica. A través de su página en la darkweb, donde dan a conocer sus ataques, actualizaron la información del robo de datos y presionaron al centro médico para pagar por el rescate.

Patricio Campos, CEO de Resility y especialista en ciberseguridad, recomienda a las víctimas de ransomware “nunca pagar el rescate como primera opción. Más allá de consideraciones éticas, estadísticamente el 60% de las organizaciones que pagan no recuperan todos sus datos, y el 80% sufre un segundo ataque".

“A lo largo de un largo período de espera, y a pesar de la gran cantidad de llamadas telefónicas y correos electrónicos enviados por nuestro equipo al hospital, no hemos visto ninguna acción por parte de la clínica para resolver el problema, sabiendo que las pruebas del VIH podrían cambiar la vida de personas cuyos familiares, amigos y lugares de trabajo...”, publicó Devman.

A ello se sumó una advertencia a través de su cuenta en X: “Esto se publicó el 22/12/2025. En tres días, el 25/12/2025, publicaremos una lista completa de archivos y, el 31/12/2025, filtraremos los 250 GB de historiales médicos”.

No obstante, el sitio en la darkweb de Devman se encuentra actualmente caído y esta redacción no logró dar con un respaldo del blog.

Expertos recomiendan no comprar los datos robados

Los robos de datos, como el sufrido por Clínica Dávila, se conocen como ransomware, una modalidad de hackeo que roba datos de las víctimas y los pone en subasta en la darkweb, sitios no indexados en motores de búsqueda y para los que se requiere acceder a través de navegadores especializados.

A pesar de las amenazas del grupo Devman, expertos recomiendan a las víctimas no comprar ni caer en las extorsiones de los hackers.

En esta línea, Walter Macuada, líder de Consultoría-Ciberseguridad de TSOFT Global, señala que: “Ante un evento como este, lo primero es contener y asegurar la continuidad clínica. Esto implica aislar sistemas, cortar accesos, rotar credenciales y preservar evidencia, mientras la atención sigue en modo contingencia, quizás degradado, pero de manera segura”. 

“En paralelo, debemos cumplir con el deber regulatorio asociado a la Ley Marco de Ciberseguridad. Esto implica que el incidente debe reportarse al CSIRT Nacional — a través de la plataforma y los canales dispuestos por la ANCI — tan pronto sea posible (en las primeras 3 horas)”.

Respecto a la extorsión por parte de los hackers, Macuada recomienda que: “Si los datos se publican, ya escapa de ser sólo un tema técnico. Es un daño directo a las personas y a la reputación. Hay que confirmar qué información se filtró, reducir difusión donde sea posible, y sobre todo avisar de forma clara y útil a los afectados, indicando qué datos, qué riesgos y qué medidas concretas tomar, porque después esto es muy probable que pueda activarse diferentes tipos de ataques hacia los afectados (phishing, suplantación y hasta chantaje)”.

“Otro punto clave es no pagar o ‘comprar’ la restauración de datos. No hay garantía ni de recuperación ni de borrado, y además se considera financiación al crimen. La organización puede exponerte a riesgos legales y de cumplimiento, por ejemplo, por vínculos con lavado de activos o financiamiento del terrorismo, por lo que debe gestionarse con sus áreas legales y las autoridades, no directo  con los ciberdelincuentes”, apunta el experto.

En la misma línea, Patricio Campos, CEO de Resility y especialista en ciberseguridad, recomienda a las víctimas de ransomware “nunca pagar el rescate como primera opción. Más allá de consideraciones éticas, estadísticamente el 60% de las organizaciones que pagan no recuperan todos sus datos, y el 80% sufre un segundo ataque. Los recursos invertidos en pagar ransomware son mejor utilizados en restauración desde backups verificados y mejora de defensas”.

“La publicación de datos no es el fin de la crisis”, apunta Campos, “es el inicio de una fase de gestión de largo plazo. Las organizaciones que mejor navegan este escenario son aquellas que asumen responsabilidad, actúan con transparencia y demuestran compromiso tangible con la protección de sus usuarios afectados”.

“La realidad es que la mayoría de las organizaciones descubren en este momento que su plan de respuesta a incidentes era más aspiracional que operativo. El caso de Clínica Dávila será un referente en el sector salud chileno sobre la importancia de ejercicios de simulación y planes documentados”, comenta.

Ahora bien, un punto crítico para Campos es que: “Los 250 GB publicados por Devman no desaparecerán. Comenzarán a redistribuirse en foros, marketplaces y eventualmente indexarse en motores de búsqueda”.  Para ello, “es fundamental contratar servicios de monitoreo que rastreen la diseminación de estos datos y emitan alertas cuando aparezcan en nuevos contextos. Esto permite respuestas preventivas, como advertir a pacientes sobre intentos de extorsión secundaria”.

“La publicación de datos no es el fin de la crisis”, apunta Campos, “es el inicio de una fase de gestión de largo plazo. Las organizaciones que mejor navegan este escenario son aquellas que asumen responsabilidad, actúan con transparencia y demuestran compromiso tangible con la protección de sus usuarios afectados”.

“El SERNAC advirtió sobre ‘acciones judiciales y administrativas’. Con 250 GB de datos de salud filtrados, las demandas colectivas son prácticamente inevitables. Además, la Ley 21.719 establece sanciones significativas para incumplimientos en protección de datos personales. La organización debe constituir reservas financieras, contratar defensa legal especializada y preparar evidencia de diligencia debida en ciberseguridad previa al incidente”, concluye el CEO de Resility.

Quién es Devman

El blog Ciberseguridad en Latinoamérica identifica al grupo Devman como “una variante derivada directamente del código de DragonForce, que a su vez se basa en el código fuente filtrado de Conti (uno de los ransomwares más notorios, cuya fuente se filtró en 2022)”.

Devman surgió como un grupo hacker de habla rusa en abril de 2025, inicialmente como afiliado de varios grupos Ransomware como Servicio, en inglés Ransomware as a Service (RaaS), un modelo de ciberdelincuencia que vende código dañino o malware a otros hackers para robar información.

Entre septiembre y octubre de 2025, “Devman evolucionó y lanzó su propia plataforma RaaS, reclutando afiliados y operando de forma independiente, aunque conserva fuertes similitudes técnicas con DragonForce y Conti”, apunta el blog.

Ahora bien, el blog Ctrl-Alt-Int3l publicó el artículo Cómo no ejecutar una operación RaaS, en la que crítica el modo de accionar de Devman. Es más, el autor del blog asegura haberse infiltrado en los chats del grupo, que lanzó en septiembre un llamado a “conviértete en nuestro afiliado esta semana”.

Del análisis de los chats, el artículo apunta a que “a pesar del sitio web, los datos de las víctimas aún no se han cargado ni son accesibles de forma significativa; en la actualidad, funciona más como un tablón de anuncios que como una plataforma de filtraciones”.

“Y lo que es más importante, desde el inicio de la marca «devman», las recurrentes deficiencias de los administradores de sistemas y el descuido de la OPSEC [Seguridad Operativa] han expuesto repetidamente la infraestructura y los canales de coordinación. En un ecosistema RaaS basado en la confianza, las operaciones inestables y las frecuentes violaciones de los sistemas de comunicación degradan la confianza de los afiliados”, concluye.