Portador del “virus del SIDA”, “tendencia suicida”, orientación sexual… Los datos “muy preciso” de casi 15 millones de franceses, todos ellos sujetos al secreto médico, se encuentran en “acceso abierto” en Internet, reveló France 2, el jueves 26 de febrero, en su investigación sobre “l’Œil du 8 p.m.”.
Este viernes 27 de febrero, el Ministerio de Salud confirmó una filtración masiva de datos, resultante de un ciberataque ocurrido a finales de 2025 y que tuvo como objetivo a 1.500 médicos utilizando un software de la empresa Cegedim Santé. Se trata principalmente “datos administrativos” de los pacientes como su nombre o dirección postal. Pero en algunos casos, la información revelada puede “ser datos sensibles”tomado de comentarios escritos por médicos.
Debido a su magnitud y al carácter muy sensible de los datos en cuestión, este ciberataque podría ser uno de los más importantes en el sector sanitario en Francia.
El software médico MLM de Cegedim Santé fue víctima de un hackeo “que data de finales de 2025”informó el Ministerio de Salud. Lo que confirmó la empresa en cuestión, sin estimar el número de afectados: “Después de extensas investigaciones, parece que los datos personales de los pacientes de la flota de software MLM fueron consultados o extraídos ilegalmente. ».
El ministerio no puede decir si “el hacker” quién se atribuyó la responsabilidad de este ataque y cuyo “identidad” Y “nacionalidad” actualmente no están identificados, es “ él mismo originalmente o si obtuvo los archivos como parte de una publicación en la web oscura ».
A pesar de la vaguedad existente sobre el alcance del hackeo, el Ministerio de Salud indicó que casi “En las bases de datos aparecen 15 millones de personas”que se filtró, al tiempo que especifica que “No hay documentos de salud que se hayan difundido, ni recetas, ni resultados de exámenes de biología”. Se trataría esencialmente de datos administrativos como el apellido, el nombre, el número de teléfono o incluso la dirección postal de los pacientes.
Sin embargo, al ministerio le falta “ visibilidad completa sobre el alcance de los datos administrativos”, millones de personas en el punto de mira. Sin embargo, la oficina de la Ministra de Salud, Stéphanie Rist, reconoció que “en menos del 1% de los casos, o 169.000 personas”, datos “sensible” podría haber sido revelado.
Si el ministerio quiere tranquilizarse sobre la naturaleza de los datos personales que circulan libremente en Internet, la investigación de France 2 sugiere la sensibilidad de algunos de ellos. Los periodistas dicen que consultaron una base de datos de “acceso abierto” en la que aparecen las anotaciones personales de los médicos. Podemos leer que los pacientes tienen SIDA, tienen un padre en prisión o incluso que han sido víctimas de violación o incesto. También se mencionan las creencias religiosas y las orientaciones sexuales.
Los periodistas de France 2 también llamaron a algunos pacientes interesados, quienes confirmaron la veracidad de los datos médicos o personales revelados. Es el caso de la diputada de Maine y Loira, Stella Dupont, que declaró a France 2 que la información disponible sobre ella “parecer confiable”. “L’Œil du 8 p.m.” informó que en el grupo había varios altos funcionarios y líderes políticos, al tiempo que precisó que habían decidido mantener sus identidades en secreto.
Cegedim, que cotiza en la Bolsa de París, es un actor importante en el sector del alojamiento de datos médicos en Francia, que gestiona, entre otras cosas, la facturación de los profesionales sanitarios y la plataforma de reserva de citas Maïa, competidora de Doctolib. La empresa proporciona a los médicos un software, My Medical Software (MLM), utilizado por casi 3.800 profesionales en Francia. Según la empresa, 1.500 médicos se han visto afectados por el ciberataque.
Cegedim afirmó haber informado a las autoridades del incidente que se produjo “circunscrito”, presentó una denuncia ante el Ministerio Público y denunció la filtración de datos a la Comisión Nacional de Tecnologías de la Información y Libertades (Cnil).
Este viernes, el Ministerio de Salud señaló la responsabilidad de “proveedor de servicios privado, responsable del procesamiento de datos”indicando haberle ordenado poner “implementado inmediatamente” Medidas correctivas tras este ciberataque. La autoridad insistió en que esta filtración “no resulta de un fallo de los sistemas del ministerio, ni de una infraestructura directamente bajo el control del Estado”.
En septiembre de 2024, la CNIL impuso una multa de 800.000 euros a Cegedim Santé por haber tratado datos sanitarios sin autorización, señalando “la gravedad de los incumplimientos” observado y el “personaje enorme” del tratamiento de los datos de que se trate.
