Brecha de datos en Samsung Health Care

La violación afectó diferentes categorías de datos dependiendo de si la persona era un cliente o un tipo diferente de usuario. Para los clientes, los datos comprometidos pueden incluir nombre y apellido, contraseña encriptada, dirección de correo electrónico, número de teléfono, dirección física, país y el nombre y tipo de su institución. Estos son los detalles que normalmente se proporcionan durante el registro de la cuenta o al solicitar una consulta a través del sitio web comprometido. Samsung enfatiza que no se accedió a datos personales sensibles y que no se vieron afectados otros servicios o sistemas de Samsung.

La violación ocurrió el 11 de noviembre de 2025, cuando un hacker desconocido obtuvo acceso ilegítimo al sistema. Los datos habían sido transmitidos a NineFive Co., Ltd., un proveedor de servicios de Samsung responsable de gestionar el sitio web como procesador de datos. Durante un cambio de servidor realizado por NineFive, una base de datos que normalmente habría estado encriptada fue temporalmente desencriptada, haciéndola vulnerable a accesos no autorizados. Aunque parte de la información personal estaba encriptada dentro del sistema operativo, como nombres, números de teléfono y contraseñas, esta instantánea específica de la base de datos no lo estaba.

Samsung afirma que las investigaciones están en curso y que no hay evidencia que indique que los datos hayan sido transmitidos ampliamente a terceros. La empresa está monitoreando la situación y trabajando con expertos en ciberseguridad y autoridades. Tan pronto como Samsung se dio cuenta de la violación, desconectó los servidores afectados e implementó salvaguardias técnicas adicionales para prevenir accesos futuros.

Todos los individuos afectados han sido informados por correo electrónico, que incluye una descripción de qué datos fueron afectados en su caso específico y qué acciones de protección deberían considerar. Samsung continuará monitoreando los desarrollos y proporcionará actualizaciones según sea necesario.

Samsung subraya que el incidente no ha creado riesgos significativos para los clientes, pero aun así aconseja un comportamiento cauteloso. Los usuarios deben permanecer atentos a intentos de contacto no solicitados, ya sea por teléfono, correo electrónico o correo postal, que soliciten información personal o los dirijan a iniciar sesión en sitios desconocidos. Samsung recuerda a los usuarios que nunca solicita información sensible por correo electrónico.

Se aconseja a las personas no hacer clic en enlaces sospechosos ni descargar archivos adjuntos de remitentes desconocidos. Como precaución, Samsung recomienda cambiar las contraseñas y asegurarse de que cada cuenta en línea utilice una contraseña fuerte y única.

Dado que las direcciones postales pueden haber sido accedidas, los usuarios deben examinar cuidadosamente las cartas sospechosas y contactar a Samsung si reciben correspondencia dudosa que afirme provenir de la empresa. Asimismo, si se comprometió una dirección de correo electrónico, los usuarios deben estar alerta a intentos de phishing disfrazados de comunicaciones legítimas.

Según el Reglamento General de Protección de Datos (RGPD), las personas tienen derecho a saber qué datos se han recopilado sobre ellas, a solicitar correcciones o eliminación, a restringir el procesamiento o a obtener sus datos para uso personal. Samsung proporciona un formulario en línea para enviar tales solicitudes a través de https://www.europe-samsung.com/gdpr/webform/es. Los usuarios deben seleccionar la acción deseada, completar el formulario y enviarlo. Alternativamente, pueden contactar a Samsung a través de los canales indicados en la política de privacidad del sitio web.

El equipo de protección de datos de Samsung procesará las solicitudes de manera rápida y responderá por correo electrónico. Sin embargo, algunos datos personales no pueden ser eliminados cuando una obligación legal o un interés legítimo requieren su retención.

Samsung retiene los datos personales solo durante el tiempo necesario para cumplir con el propósito para el cual fueron recopilados, por ejemplo, gestionar la solicitud de servicio de un usuario o finalizar la investigación de la violación. Los períodos de retención legal obligatorios, como los relacionados con la tributación o el derecho comercial, siguen aplicándose.

Los usuarios que tengan preocupaciones adicionales pueden contactar directamente al Delegado de Protección de Datos de Samsung en la dirección proporcionada. Samsung también ofrece soporte al cliente a través de números de teléfono designados y la dirección de correo electrónico dataprotection.sesa@samsung.com, con especialistas disponibles de lunes a viernes de 9 AM a 6 PM. Las solicitudes de compensación son reconocidas, pero Samsung señala que la revisión del incidente aún está en curso y que tales reclamaciones no pueden ser evaluadas por el momento.