A través de un oficio secreto, la Agencia Nacional de Ciberseguridad (ANCI) envió una alerta a todos los servicios de salud y hospitales públicos del país, como consecuencia de la sistemática exhibición de datos médicos a través de la plataforma Rutify que —por cerca de 48 horas— mantuvo un sitio web donde se podían consultar antecedentes de pacientes a partir de su RUT. Mediante el documento —al que accedió la Unidad de Investigación de Bío Bío—, el organismo informó que habían tomado conocimiento de “actividad maliciosa sobre sistemas de Historial Clínico Electrónico (HCE) de servicios de salud que estarían siendo objeto de ciberataques”. El escrito de ocho páginas —firmado por la directora nacional subrogante de la ANCI, Michelle Bordachar Benoit— fue creado el jueves 7 de mayo recién pasado, justo después de que este medio publicara un primer artículo donde esta Unidad de Investigación revelaba cómo Rutify estaba logrando acceder a la información.

Lee también... Desentrañando "Rutify": la plataforma hacker que expuso datos médicos y hoy es investigada por la PDI Jueves 07 Mayo, 2026 | 06:00 Al día de hoy la página web ya no está funcionando, sin embargo la divulgación de datos sensibles continuaba hasta la noche de este domingo a través de un BOT que funcionaba en un canal de Telegram, constató este medio. “Una porción pequeña” El sábado 2 de mayo —en entrevista con Radio Bío Bío— la propia directora (s) de la ANCI negó que la información que se estaba divulgando en Rutify (rutificador.

live) fuera consecuencia de un reciente ciberataque. —Se descarta de plano (un ciberataque), hasta ahora no hay infraestructuras comprometidas (…) Nosotros hablamos de “presunto ataque”, porque en realidad todo apunta, y hasta ahora no hay información que permita sostener lo contrario, que esto se trata de datos que ya habían sido filtrados en el pasado —subrayó la abogada de profesión con postítulos en ciberseguridad. Pero no se detuvo allí.

La autoridad fue enfática al intentar explicar lo que había ocurrido, apuntando a que no era más que un compilado de datos de filtraciones del pasado que había sido puesto a disposición de personas, en sus palabras, “normales”. —Publican estos datos (los creadores de Rutify) y dicen que es porque hicieron un nuevo ciberataque, pero en realidad no es más que información que ya estaba disponible en la dark web. A diferencia de los casos anteriores, donde muy pocas personas tienen acceso, en este caso lo pusieron disponible para personas normales —aseguró.

Lee también... Desde ANCI explican qué pasó con la "filtración de datos" y descartan reciente ciberataque Sábado 02 Mayo, 2026 | 14:16 Eso sí, dejó la puerta abierta a que “una porción pequeña” de la información podría ser consecuencia de un acceso no autorizado mediante credenciales de algún empleado estatal. —Se pusieron a probar ruts o correos electrónicos con esas claves que estaban filtradas hace años, y como las personas no cambian las claves, lograron ingresar al usuario de un trabajador público y robar información de una institución pública mediante acceso con claves válidas —deslizó.

Lo propio hizo la ANCI algunos días más tarde, al ser consultada por esta Unidad de Investigación respecto de Rutify. En la oportunidad, sobre la naturaleza de los antecedentes divulgados en los últimos días, reafirmaron que —en la mayoría de los casos— se trató de republicaciones de bases de datos filtradas en el pasado, aunque reconocieron que una parte menor sí correspondió a accesos no autorizados recientes mediante credenciales válidas previamente comprometidas. De acuerdo con el organismo, tras detectar aquello se alertó a la institución afectada y se aplicaron medidas de contención.

Sin embargo, un análisis de Bío Bío Investiga a la arquitectura de Rutify demostró todo lo contrario: se comprobó que la plataforma web estaba conectada a bases de datos privadas de instituciones médicas (ver Desentrañando “Rutify”: la plataforma hacker que expuso datos médicos y hoy es investigada por la PDI) Nuevas medidas Como sea, después de la publicación de ese primer artículo el jueves 7 de mayo, la ANCI tomó nuevas y más drásticas medidas. Esta vez, no dirigidas a un solo organismo. Mediante su oficio secreto, informaron a todos los servicios de salud y hospitales públicos del país que habían tomado conocimiento de que “estarían siendo objeto de ciberataques consistentes en exfiltración de información mediante el uso de credenciales válidas de usuarios, probablemente víctimas de filtraciones anteriores o de malware del tipo InfoStealer”.

En esa línea, añadieron que “en virtud de las investigaciones realizadas por el CSIRT Nacional [Equipo de Respuesta ante Incidentes de Seguridad Informática, por su sigla en inglés], la Agencia estima que el riesgo de ciberataques y especialmente de exfiltración de información mediante el mecanismo ya señalado es latente para el sector salud”. De ahí que recordaran a través del escrito que un sistema puede verse expuesto a ser atacado si es accesible desde internet y si no tiene configurado un segundo factor de autenticación. Instrucción inmediata En consecuencia, amparándose en una facultad que les otorga la ley, la ANCI hizo llegar una serie de instrucciones particulares con el fin de mitigar el riesgo asociado a la amenaza detectada, impedir una eventual expansión hacia otros sistemas informáticos y prevenir nuevos episodios de características similares.

En definitiva, requirió a todos los servicios de salud que operen plataformas expuestas a internet y que almacenen información sensible de pacientes a implementar de manera inmediata las siguientes medidas: 1. -Bloquear el acceso desde IPs públicas a todo sistema que almacene o permita la consulta de datos personales sensibles por parte de funcionarios. En virtud de lo anterior, solo se debe permitir el acceso desde redes internas de los establecimientos que los utilizan.

Si fuera necesario conectarse desde redes externas, esto debe realizarse a través del uso de la VPN Institucional. 2. -En caso de que sea imprescindible mantener el acceso desde Internet, el acceso deberá limitarse exclusivamente a IPs chilenas e implementar 2FA sobre los accesos al sistema o integrar ClaveÚnica como único método de acceso a ellos.

3. -Mantener monitoreo de seguridad por medio de WAF o firewall con perfiles de seguridad adecuados para este tipo de plataformas, habilitando el acceso solamente a los puertos 80 y 443. 4.

-Forzar un cambio general de contraseñas, el cual debe ser realizado desde equipos institucionales, en caso de sospecha de mal uso de credenciales. 5. -Prohibición de uso de dispositivos personales para conectarse a plataformas institucionales desde dispositivos personales.

Si existen mecanismos tecnológicos disponibles para forzar esta prohibición en el Servicio, deberán ser usadas. “Carácter secreto” Por último, en el oficio enviado a los servicios de salud y hospitales públicos, la Agencia instruyó que, en un plazo máximo de 48 horas corridas, las instituciones remitieran información detallada sobre las plataformas tecnológicas que utilizan, con el objetivo de determinar el nivel de exposición del sistema público de salud frente a eventuales vulnerabilidades. El requerimiento incluye sistemas desarrollados internamente y también aquellos contratados a proveedores externos, tanto para funciones clínicas como administrativas y de gestión.

Según el documento, cada organismo debía informar las IP y dominios asociados a sus plataformas, las URL de acceso, la cantidad aproximada de usuarios con permisos y, en caso de existir servicios externalizados, identificar a los proveedores involucrados, el tipo de soporte prestado y la vigencia de dichos servicios. La ANCI también advirtió que cualquier dificultad para cumplir con las medidas ordenadas debía ser comunicada en un plazo de 24 horas desde el despacho de la instrucción, mediante correo electrónico y explicando las razones que impedían o dificultaban su implementación. En el mismo oficio, la Agencia recordó que el incumplimiento de estas instrucciones podría constituir una infracción a la Ley Marco de Ciberseguridad, haciendo hincapié en que los jefes superiores de cada organismo son personalmente responsables de adoptar medidas para prevenir, reportar y resolver incidentes de seguridad informática.

Finalmente, la entidad precisó que todos los antecedentes recopilados en el marco de esta instrucción tendrían carácter secreto y de circulación restringida, conforme a lo establecido en la legislación vigente.