Gobierno alertó ‘hackeo’ a Inkafarma: Datos de 4 millones de clientes se habrían filtrado

Atención, consumidores. Una alerta emitida por el Centro Nacional de Seguridad Digital del Perú ha revelado que una supuesta base de datos de clientes de la farmacia Inkafarma habría sido filtrada en una web de ‘hackers’. Se estarían vendiendo datos de 3,9 millones de consumidores en la ‘dark web’, sostiene la entidad peruana.

“Se detectó una publicación en un foro de hackers en la que un actor de amenazas afirma que la empresa farmacéutica Inkafarma ha sufrido una vulneración de seguridad y los registros de sus clientes ahora están en la Dark Web. De hecho, indican estar vendiendo la supuesta base de datos de los clientes. Según el actor de amenazas conocido como IntelBrokerBF, la vulneración ocurrió el 6 de febrero de 2025 y afecta aproximadamente a 3,9 millones de registros”, revela el Centro Nacional de Seguridad Digital.

Entre los datos supuestamente expuestos se incluiría información confidencial de los clientes, como números de identificación (DNI), números de teléfono, direcciones de correo electrónico, nombres, fechas de nacimiento y otros detalles personales.

Fuga de Información en Inkafarma

Según el Gobierno (a través del Centro Nacional de Seguridad Digital), se trataría de una fuga de información de una “supuesta base de datos de clientes de Inkafarma está a la venta”, según el documento al que pudo acceder Infobae Perú. Esta habría ocurrido el 6 de febrero, y la institución dio aviso de esta el 7 de febrero.

Así resume los detalles del incidente el Gobierno:

• Industria: Farmacéutica
• Dominio: Inkafarma.pe
• País: Perú
• Fecha de la filtración: 06/02/2025
• Cantidad de registros: 3,9 millones

Asimismo, el experto en hacking, Carlos Cardenas, dio aviso en su cuenta de LinkedIn sobre este suceso, señalando que “los datos están en venta en foros clandestinos, lo que representa un riesgo crítico de fraude, suplantación de identidad y acceso no autorizado a cuentas personales”. También agregó que se habían filtrado inclusive información de transacciones de clientes, Registros de actividad y posibles credenciales.

Respuesta de Inkafarma

Respecto a la información sobre la filtración de los datos no sensibles, Inkafarma emitió un comunicado donde aclararon que dicha información “no corresponde a un evento actual, sino a un incidente ya resuelto”.

Asimismo, destacan que este incidente no afectó la operación de sus servicios. Para terminar reafirmando su compromiso de continuar fortaleciendo nuestras medidas de seguridad.

Recomendaciones en caso de filtrado

De igual manera, el Gobierno ha dado recomendaciones de qué hacer en estos casos:

• Utilizar contraseñas complejas, distintas para cada una de las cuentas, y cambiarlas periódicamente
• Evitar descargar aplicaciones desde fuentes desconocidas, o enlaces sospechosos que puedan redirigir a programas fraudulentos
• Implementar la Autenticación de 2 Factores en todas las plataformas posibles
• No compartir información sensible.

Por el lado del experto Carlos Cardenas, este resaltó las siguientes medidas que podían tomar los consumidores ante el posible filtrado de sus datos.

• Cambiar contraseñas y activar autenticación en dos pasos (2FA)
• No compartir información confidencial con terceros desconocidos
• Estar alerta a intentos de phishing y llamadas sospechosas
• Verificar movimientos financieros y reportar anomalías
• Es fundamental que las empresas refuercen sus estrategias de ciberseguridad para evitar que más usuarios sean vulnerados

Otros casos sonados

Como se sabe, el caso más sonado similar al de Inkafarma ha sido el que afectó a Interbank en octubre de 2024. Como detalló Aspec en su momento: el 30 de octubre, Interbank sufrió un ataque que trajo como resultado la exposición pública de datos de más de 3 millones de clientes, luego que la entidad rompiera las negociaciones con el ‘hacker’ responsable

Los otros casos que también se dieron en 2024, fueron el del filtrado de datos de ciudadanos de Miraflores, así como de la Universidad Peruana de Ciencias Aplicadas (UPC). En el primer caso se trato de 82 mil vecinos del distrito, donde se incluían también información sensible de más de 800 funcionarios públicos, que incluía nombres completos, números de DNI, teléfonos, direcciones y correos electrónicos. En el segundo caso, se habría tratado de 25 gigabytes de información que incluía nombres completos, fotos, códigos, correos electrónicos personales e institucionales, y números de teléfono de la comunidad universitaria.