Despliegan estrategia de estafa digital con información médica personal de pacientes de EPS Sura

Lo que nunca debió pasar ya se está haciendo realidad en Colombia. De alguna manera, aún no explicada, estafadores  digitales obtienen información médica privada y con estos datos intentan robar a pacientes. 

MuchoHacker.lol pudo verificar un caso donde estafadores, haciéndose pasar por funcionarios de EPS Sura, desplegaron un intento de estafa.  Igualmente se pudo dar seguimiento a otro incidente cuya víctima hizo una denuncia pública en Twitter. 

El primer caso le sucedió a una ciudadana de Medellín. La víctima del intento de estafa recibió por Whastapp una comunicación donde una falsa funcionaria de EPS Sura le indicaba que debía hacer un extraño pago por el uso de un laparoscopio en un procedimiento médico. 

La víctima estaba esperando información de la entidad sobre un procedimiento quirúrgico que debía hacerse y en primera instancia pensó que se trataba de una comunicación oficial de la entidad.  Sin embargo, el inusual pedido de pago encendió las alertas.

El estafador envió por Whastapp una orden de cobro con membrete de la entidad y toda la información técnica del procedimiento que se hará la paciente. Se observa en el documento falso el tipo de operación a realizar.

La víctima compartió con MuchoHacker.lol un documento oficial EPS sura que tenía en su poder y al mismo tiempo el intento de estafa que le enviaron por Whastapp. Los dos tienen información personal médica que solo un médico podría registrar. Igualmente, los dos documentos cuentan todos los datos de registro de un documento de cobro. Se observan fechas, número de registros, datos técnicos del procedimiento y hasta un código de barras.  

¿Cómo un estafador logra tener acceso a información médica privada de una paciente? Es algo que la entidad no ha respondido aunque intentamos comunicarnos con EPS Sura para conocer más sobre este caso, no respondieron. 

El probable falso funcionario de la entidad estaba cobrando 124.000 pesos por el alquiler del dispositivo médico y argumentó que hacía parte del copago que cobran estas entidades. 

La víctima se salvó de ser estafada porque en el documento que tenía de la entidad alcanzó a leer que no debía hacerse copago. Inmediatamente llamó a la entidad y efectivamente descubrió que había sido víctima de un intento de estafa. 

Más denuncias

El otro caso que se conoce se denunció en Twitter el pasado 13 de enero. Tal y como sucedió con la víctima en Medellín supuestos estafadores se comunicaron al celular de la madre del denunciante con la intención de cobrar un copago de una cirugía. 

Sura, a mi mamá le llegó ese mensaje pidiendo el pago del copago, tenial la cédula, operación, celular, etc, cómo tienen tanta información?? Esto me parece muy grave. Porfa en la imagen q pase está el celular para denunciar esa estafa

— Joan Manuel Toro (@jmtoroh) January 13, 2023

Según narra la persona que denuncia atacantes digitales, tenían datos personales como la cédula, tipo de operación y celular. El denunciante también se preguntó cómo es posible que un estafador tenga tantos datos personales.

A diferencia del primer caso EPS Sura le respondió al denunciante mediante una carta y la entidad de salud precisó que “no comparte, entrega o hace circular información con terceros”, sin embargo no respondió cómo los estafadores tienen información privada médica. 

No es posible determinar si estos dos casos pueden estar relacionados con la filtración de datos personales médicos que se encuentran alojados en algún repositorio digital público producto de un ataque digital. Sin embargo, es una posibilidad. 

Es importante precisar que no se conoce de un ataque digital tipo ransomware con robo de información a EPS Sura. 

Otra explicación para este tipo de estafa tiene que ver con la manera como la entidad maneja los datos personales de los pacientes. Pueden existir fallas en los procedimientos. 

Lo que sí es claro es que cualquiera sea la razón ya existen delincuentes digitales que desplegaron una estafa digital de difícil detección que llega en momento de vulnerabilidad de una persona que fácilmente puede darle dinero a un ladrón sin darse cuenta. 

Solo basta hacer una búsqueda en Twitter con la frase  ‘Copago + @epsSura’ para ver que son muchos los casos donde se pudo presentar este tipo de estafa. Incluso, a juzgar por los trinos, ciudadanos no entienden que fueron víctimas de un robo. 

Claramente la EPS Sura sabe de esta situación porque incluso ha intentado hacer una campaña para evitar el pago por fuera de su sistema. Sin embargo, los casos se siguen presentando sin que a nadie le importe. 

Otro caso más donde los datos personales médicos son vulnerados sin que ninguna autoridad haga algo para detenerlo.