Un ciberdelincuente bajo el alias “Janson2025” anunció en un foro clandestino la venta de 400,000 líneas con datos de pacientes, médicos y aseguradoras vinculados al Grupo Hospital Español.
Publimetro México detectó la publicación y contrastó la muestra: los campos coinciden con expedientes reales fechados entre 2023 y junio de 2024, señal de que la brecha podría continuar abierta.
¿Qué tipo de información fue filtrada?
Para comprobar que la información es real, el atacante filtró una muestra de datos con nombres completos, CURP, RFC, teléfonos, correos, pólizas, diagnósticos (“SOSPECHA COVID”), notas internas (“TIPO DE SEGURO: GASTOS MÉDICOS”), indicaciones de operación (“REPORTAR AL CALL CENTER ENVÍO DE INFO CADA 24 HRS”) y claves de médicos tratantes. Aparecen además códigos de siniestro, montos autorizados y estatus de cuenta, suficiente para fraudes quirúrgicos o facturación fantasma.
Antecedente: la filtración de febrero en Pachuca
En febrero de 2025 apareció en el foro BreachForums —actualmente cerrado— otro post firmado por el usuario “Barbara”, quien ofrecía miles de registros presuntamente extraídos del Hospital Español de Pachuca. Afirmaba haber “clonado los backups del servidor” y difundió fragmentos con cabeceras idénticas a las que hoy se venden: campos como c_rfc, c_fcambio y los sellos de carga de usuarios internos LRAMIREZ y CLADIAZM.
Aquella filtración pasó casi desapercibida; no obstante, el hecho de que, cinco meses después, reaparezca una base mayor con el mismo patrón sugiere dos escenarios: o el atacante nunca perdió acceso y fue vaciando la información por etapas, o las credenciales comprometidas siguen funcionando porque la brecha original nunca se remedió.
El Grupo Hospital Español y sus siete sedes
Fundado en 1888 por la comunidad hispana en la capital del país, el Hospital Español comenzó como un pequeño sanatorio de beneficencia para atender a migrantes peninsulares y sus familias. Con el paso de los años se consolidó como uno de los conglomerados de salud privada más antiguos de Latinoamérica.
Actualmente administra siete hospitales de alta especialidad —CDMX, Pachuca, Puebla, Veracruz, Tampico, Torreón y San Luis Potosí— conectados a una red corporativa con servidores centrales en Ciudad de México.
La interconexión tecnológica —diseñada para agilizar trámites y reducir costos— también implica que una sola intrusión puede propagarse a todas las sucursales, lo que explica la dispersión geográfica de los registros filtrados.
Riesgos para pacientes y aseguradoras
Con esta información un criminal puede:
- Presentar reclamaciones falsas ante aseguradoras usando pólizas auténticas.
- Extorsionar a familias con detalles íntimos de internaciones o cirugías.
- Usar CURP y RFC para abrir créditos o líneas telefónicas.
- Vender recetas apócrifas o medicinas controladas suplantando a los médicos listados.
