Lo que comenzó como una serie de publicaciones anónimas en un oscuro foro ruso de cibercriminales terminó revelando una pesadilla que nadie parecía ver: la exposición de información altamente sensible de miles de pacientes mexicanos.
La filtración, que apareció originalmente en el foro clandestino XSS, mostraba fragmentos de datos médicos aparentemente aislados, pero fue solo el hilo suelto que llevó al descubrimiento de un directorio hospitalario completamente abierto al público, con expedientes clínicos, autorizaciones, estudios y hasta datos fiscales disponibles para cualquiera.
El hallazgo es escalofriante: los documentos exponen nombres completos, CURP, direcciones, teléfonos, diagnósticos, historiales clínicos, resultados de pruebas de VIH, datos de aseguradoras, fotografías de pacientes (incluidos menores de edad), autorizaciones firmadas e incluso archivos PDF con recibos de cobranza detallando servicios médicos prestados.
La magnitud de la exposición apunta a que la información ya podría haber sido robada, sobre todo porque uno de los casos publicados por los atacantes en XSS —sitio que recientemente fue incautado— coincide con un nombre real vinculado a esa institución.
El origen: filtraciones en el foro XSS de cibercriminales rusos
Todo inició con dos publicaciones realizadas por el actor malicioso “d4adc3ll” en el foro XSS, una de las plataformas más conocidas del cibercrimen en ruso. Las muestras incluían datos personales y médicos de al menos tres personas mexicanas: un niño de 2 años, un adulto con ficha completa de CURP y contacto, y otro con contraseña de sistema laboral.
Al principio todo apuntaba a filtraciones aisladas, pero durante el análisis de los datos —realizado por el autor de esta publicación, Ignacio Gómez Villaseñor, en colaboración con el analista de ciberseguridad Nicolás Azuara, director de Nico Tech Tips— surgió un hallazgo clave: uno de los nombres expuestos figuraba como trabajador del Hospital Almater, en Mexicali, Baja California, cerca de la zona fronteriza con Estados Unidos.
Esa pista llevó a una indagatoria técnica que reveló lo impensable: un directorio abierto dentro del sistema web del hospital contenía miles de documentos organizados por carpetas como “cobranza”, “notas de egreso”, “estudios clínicos” e “imágenes de pacientes”.
En ellos había archivos con nombres como “VIH”, “maternidad”, “análisis de sangre” o “nota de alta”, con datos actualizados hasta julio de 2025. Tan solo en la carpeta de cobranza se identificaron más de 400 archivos PDF, y dos de ellos revelan que tan solo en abril hubo más de 400 pacientes atendidos.
Las evidencias obtenidas muestran también autorizaciones con firmas e identificaciones oficiales escaneadas, en algunos casos también de menores de edad. Las carpetas relacionadas con estudios clínicos tienen documentos con nombres completos de pacientes y el tipo de prueba realizada, lo cual eleva el riesgo de usos maliciosos de esta información.
La caída del foro que podría no evitar una megafiltración de datos médicos
Este hallazgo ocurre en paralelo a una operación internacional que sacudió al mundo del cibercrimen: el 22 de julio, Europol confirmó la detención en Kiev del administrador de XSS, un operador con casi 20 años de experiencia en el ecosistema delictivo digital. Las autoridades lo vinculan con más de 50 mil usuarios cibercriminales y ganancias que superan los 7 millones de euros, es decir, más de 152 millones de pesos mexicanos.
Pero aunque el foro fue incautado y desmantelado por agencias de Francia, Ucrania y Europol, nada garantiza que la información filtrada —ni la publicada ni la que se encuentra expuesta en sitios vulnerables como el del Hospital Almater— haya sido contenida. Es más, expertos alertan que podría estar ya circulando en otros foros, servicios de mensajería o inclusive en venta dentro de grupos criminales en México.
Actualmente, el directorio del hospital sigue expuesto, sin protección ni autenticación. Cualquier persona con el enlace podría descargar cientos de documentos confidenciales.