Un fallo de seguridad en una de las mayores cadenas de farmacias de India permitió que actores externos obtuvieran control administrativo total sobre la plataforma de comercio electrónico, según una investigación publicada. La compañía afectada es DavaIndia, el brazo farmacéutico de Zota Healthcare, que durante la expansión de su red puso en producción interfaces que resultaron ser vulnerables. El incidente fue detectado por el investigador Eaton Zveare, quien alertó a las autoridades competentes y describió el mecanismo de la falla.
El problema se centró en paneles con privilegios elevados: a través de APIs inseguras un atacante podía crear cuentas de super admin sin autenticación adecuada. Ese acceso permitía interactuar con órdenes, precios y reglas sobre medicamentos que requieren receta. Aunque la vulnerabilidad ya fue corregida tras el reporte, el episodio subraya riesgos críticos en plataformas que manejan datos de clientes y funciones sensibles de negocio.
Alcance técnico y datos expuestos
Según el investigador, las interfaces administrativas permitían a usuarios no autenticados generar cuentas de super admin, lo que ofrecía capacidades como ver y descargar miles de pedidos en línea. Entre la información sensible encontrada estaban nombres, números de teléfono, correos electrónicos, direcciones de envío, montos pagados y los productos adquiridos. En un sector como el farmacéutico, esos registros pueden revelar condiciones de salud o tratamientos, convirtiéndolos en datos especialmente delicados.
Detalles temporales y alcance numérico
Los metadatos del sistema sugieren que las interfaces vulnerables estuvieron activas desde finales de . El investigador estimó que la exposición alcanzó cerca de 17.000 pedidos y controles administrativos correspondientes a 883 tiendas. A nivel operativo, el acceso permitía editar listados de productos, modificar precios, crear cupones y cambiar la configuración que define si un medicamento requiere prescripción. Aunque no se identificó evidencia pública de explotación antes del parche, la posibilidad de manipulación representaba un riesgo real para la integridad del servicio y la privacidad de los usuarios.
Respuesta, notificación y contexto corporativo
Zveare reportó la vulnerabilidad a la agencia nacional de respuesta ante emergencias cibernéticas de India, CERT-In, en agosto de . El fallo fue corregido en cuestión de semanas; sin embargo, la confirmación formal por parte de la empresa llegó posteriormente a las autoridades, en noviembre. Desde el punto de vista comunicacional, el director ejecutivo de Zota Healthcare, Sujit Paul, no respondió a solicitudes de comentario realizadas por medios. El investigador indicó que no halló señales de uso malicioso antes del cierre de la falla.
Expansión de la red y riesgos asociados
El incidente ocurre mientras Zota Healthcare aceleraba la apertura de tiendas bajo la marca DavaIndia. La empresa declaró operar más de 2.500 locales —un hito alcanzado el 11 de febrero de según comunicados— con modelos de tienda tanto de operación directa (COCO) como franquiciadas (FOFO). La rápida escalada de puntos de venta y la necesidad de gestionar inventarios y pedidos a gran escala pueden incrementar la complejidad y el riesgo en los sistemas administrativos si no se implementan controles robustos desde el diseño.
Lecciones prácticas y recomendaciones
Este caso ofrece aprendizajes aplicables a equipos técnicos y líderes de negocio. En primer lugar, la protección de los paneles administrativos y las APIs debe ser prioritaria: exigir autenticación multifactor, aplicar control de acceso basado en roles y registrar todas las acciones con logs detallados son medidas esenciales. Además, las organizaciones deben incorporar pruebas de seguridad continuas, programas de recompensa por reporte de fallos y separaciones estrictas entre entornos de desarrollo y producción.
En segundo lugar, la gestión de incidentes y la transparencia son claves: contar con un plan de respuesta, canales de notificación a autoridades y afectados, y comunicación clara hacia usuarios y stakeholders ayuda a mitigar impactos reputacionales y legales. Finalmente, en sectores regulados como salud, los costos de una brecha no solo son económicos: incluyen pérdida de confianza, riesgos para la privacidad de pacientes y potenciales sanciones regulatorias.
Conclusión
La exposición en DavaIndia evidencia cómo fallos en interfaces internas pueden convertirse en puertas de acceso a información sensible y funciones críticas. Proteger las capas administrativas, auditar continuamente y mantener comunicación fluida con autoridades de ciberseguridad son pasos ineludibles para cualquier empresa que maneje datos de salud. La experiencia sirve de recordatorio: la seguridad debe ser una prioridad desde el diseño hasta la operación diaria, especialmente en organizaciones en expansión.
