Una vulnerabilidad en un software dental expuso los historiales médicos de pacientes

TechCrunch

Dental practice software maker fixes bug that exposed patients' medical records | TechCrunch
Zack Whittaker
TechCrunch
inglés
Estados Unidos
en-us
Fecha de consulta:1777826546
Fecha de publicación fuente: 2026-04-30T15:15:41Z
Fecha de publicación fuente: 1777562141000
Fecha de actualización fuente: 2026-04-30T17:39:48Z
https://techcrunch.com/2026/04/30/dental-practice-software-maker-fixes-bug-that-exposed-patients-medical-records

Un paciente descubrió que cambiando un número en la URL accedía a documentos de otros usuarios. Practice by Numbers corrigió el error tras la alerta de TechCrunch, y planea actualizar su web para notificar fallos.

Practice by Numbers corrige un fallo que exponía historiales médicos

Un fallo de seguridad en el portal de pacientes del software Practice by Numbers permitió acceder a documentos médicos de otros usuarios. El paciente Joseph R. Cox descubrió el error al revisar sus propios registros y alertó a TechCrunch tras no recibir respuesta de la empresa. La vulnerabilidad ya ha sido corregida.

El fallo: números de documento secuenciales en la URL

El paciente Joseph R. Cox detectó que al cambiar el número de documento en la dirección web mientras cargaba uno de sus archivos, podía acceder a documentos de otros pacientes. Los números eran secuenciales, lo que facilitaba la adivinación de otros archivos médicos. La vulnerabilidad exponía información personal, historiales médicos y documentos de identidad.

Intento de notificación sin respuesta

Cox intentó alertar a Practice by Numbers por correo electrónico, pero la dirección de la empresa devolvía los mensajes como no entregables. También contactó a uno de los fundadores en LinkedIn sin obtener respuesta. El paciente recurrió a TechCrunch como último recurso para que la empresa corrigiese el error.

Repercusión y actores implicados

TechCrunch notificó a Practice by Numbers el 13 de abril. La empresa retiró el portal de pacientes para corregir el fallo y lo restauró el 17 de abril. El cofundador y director de tecnología, Chris Lau, confirmó la reparación y afirmó que se notificó a menos de 10 pacientes cuyos datos quedaron expuestos. Lau indicó que no había evidencia de actividad previa relacionada con la vulnerabilidad, lo que sugiere que Cox fue el primero en descubrirla.

Antecedentes: otros fallos sin canal de denuncia

El caso refleja una tendencia reciente en la que consumidores encuentran fallos de seguridad en productos de empresas, pero carecen de un canal claro para notificarlos. En abril de 2026, Express corrigió un error en su web que exponía datos de clientes, después de que un usuario lo identificase sin encontrar forma de alertar a la compañía. En diciembre de 2025, Home Depot ignoró informes de un investigador sobre una brecha en sus sistemas internos hasta que TechCrunch contactó con la empresa.

Implicaciones: la empresa planea actualizar su web

Practice by Numbers no confirmó si su portal de pacientes había pasado una auditoría de seguridad antes de su lanzamiento. Rohit Garg, cofundador y presidente, declaró que la empresa planea actualizar su web para permitir la notificación de fallos de seguridad, sin ofrecer un calendario. La gestión de este incidente subraya la importancia de establecer canales de denuncia accesibles para evitar la exposición de datos sanitarios.

Post Views: 6