Datos médicos y personales de 3.8 millones de pacientes de fabricante de dispositivos médicos robados por grupo de extorsión
Medtronic, fabricante de marcapasos, bombas de insulina y otros dispositivos médicos con operaciones en México, confirmó que un grupo de extorsión accedió a sus sistemas en abril de 2026 y robó datos de 3.8 millones de personas, incluyendo nombres, fechas de nacimiento, datos de contacto e información médica. El grupo retiró a Medtronic de su sitio de filtraciones — señal de probable pago de rescate — y Medtronic dice no tener evidencia de que los datos se publicaron. El riesgo persiste.
Qué ocurrió
El grupo de extorsión ShinyHunters accedió a los sistemas de TI corporativos de Medtronic entre el 13 y 19 de abril de 2026, y robó datos de 3,834,294 personas. Medtronic fabrica marcapasos, bombas de insulina, monitores de glucosa y otros dispositivos médicos, y opera en México y toda América Latina. Los datos comprometidos incluyen nombres, datos de contacto, fechas de nacimiento y datos de salud. ShinyHunters publicó a Medtronic en su sitio de filtraciones reclamando 9 millones de registros, pero luego retiró el listado — patrón habitual cuando la empresa paga el rescate. Medtronic dijo no tener evidencia de que los datos fueron publicados en internet.
Quién está expuesto
Para personas
Pacientes y usuarios de productos Medtronic cuyos datos estaban en los sistemas corporativos de la empresa. Medtronic opera globalmente, incluyendo México y América Latina. Si usas o usaste un dispositivo Medtronic — marcapasos, bomba de insulina, monitor de glucosa, neuroestimulador — es posible que tus datos estén entre los comprometidos.
Para organizaciones
Hospitales, clínicas e instituciones de salud que tengan contratos o relación comercial con Medtronic y cuyos datos de contacto o acuerdos comerciales estuvieran registrados en los sistemas afectados.
Impacto potencial
Los datos de salud son especialmente valiosos para la ingeniería social porque generan confianza inmediata: alguien que sabe tu nombre, tu fecha de nacimiento y que tienes un marcapasos de Medtronic tiene todo para hacerse pasar por tu proveedor de seguros o tu médico. Los escenarios de daño posibles incluyen:
Fraude de identidad médica: solicitar procedimientos, medicamentos o equipos médicos a nombre del paciente, usando sus datos reales como respaldo.
Ingeniería social dirigida: llamadas o mensajes que citan datos médicos específicos para generar confianza y obtener accesos adicionales — contraseñas, datos bancarios, autorizaciones de pago.
Acceso a servicios financieros: en combinación con nombre y fecha de nacimiento, los datos de salud pueden usarse para acreditar identidad ante instituciones que no verifican presencialmente.
El que ShinyHunters haya retirado el listado reduce (pero no elimina) el riesgo de que los datos circulen abiertamente. La información ya fue accedida — lo que ocurra con ella depende de si el grupo cumplió o no el acuerdo de no distribuirla.
Leer fuente original →