La startup Ultrahuman revela una filtración de datos de salud ocurrida el 27 de marzo de 2026. Hackers explotaron las credenciales de un empleado para acceder a una base de datos interna.
Un portátil infectado como punto de entrada
Fue a través de un vector clásico pero eficaz que los atacantes lograron penetrar los sistemas de Ultrahuman. Un empleado de la startup india utilizaba un ordenador portátil comprometido por un malware diseñado para robar credenciales de acceso. Estos datos permitieron a los intrusos acceder a una herramienta interna de análisis, exponiendo así información de bienestar perteneciente a una parte de los usuarios de la plataforma. El incidente ocurrió el 27 de marzo de 2026, más de dos meses antes de que la empresa informara públicamente a sus usuarios.
La empresa indica que detectó la intrusión rápidamente y puso inmediatamente fuera de línea el sistema afectado, revocando todos los accesos. « Nuestros sistemas de alerta de seguridad detectaron el incidente en cuestión de horas y cerramos la vulnerabilidad rápidamente », declaró Mohit Kumar, fundador y CEO de Ultrahuman, en un comunicado enviado a TechCrunch. (Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
Lo que los hackers pudieron consultar
Según la página oficial publicada por Ultrahuman en su sitio web, los atacantes obtuvieron acceso de « solo lectura » al sistema comprometido. Concretamente, la información potencialmente expuesta incluye datos de cuenta, datos de contacto y un historial de transacciones. Sin embargo, las contraseñas, los datos de tarjetas bancarias y la información de pago no se vieron afectados, al igual que los sistemas de producción y los propios dispositivos Ultrahuman Ring.
« El 27 de marzo de 2026, sufrimos un incidente de seguridad, pero los hechos más importantes primero: no se vieron involucradas contraseñas, detalles de tarjetas ni datos de pago, y no hemos encontrado pruebas de uso malintencionado », declaró Kumar en un correo electrónico enviado a los usuarios afectados. (On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
El CEO describió la exposición como la de un recibo de pedido perdido en la calle: información de identificación y contacto visible, pero nada sensible a nivel financiero. La empresa precisa que ha reforzado sus políticas de control interno y la seguridad de los endpoints en los dispositivos de los empleados tras el incidente.
La magnitud del incidente y las zonas grises
Según las cifras comunicadas por Ultrahuman, aproximadamente el 0,1% de sus usuarios se vieron afectados. La startup contaba con unos 700.000 usuarios activos mensuales en marzo de 2026, lo que eleva el número de personas afectadas a al menos 700. La empresa no ha negado este cálculo, pero se ha negado a divulgar una cifra precisa.
Las zonas grises siguen siendo importantes. Ultrahuman no ha indicado si se exfiltraron o solo se consultaron datos biométricos, ni si los atacantes se pusieron en contacto con la empresa. La startup tampoco ha aclarado exactamente a qué se refiere la noción de « datos de bienestar » en este contexto concreto, lo que complica la evaluación del riesgo real para los usuarios afectados. La empresa reconoció además haber pospuesto la notificación a los usuarios mientras auditaba el alcance exacto del incidente e identificaba los datos concretamente afectados. Se notificó a los reguladores competentes en el marco de este proceso.
El correo electrónico de alerta enviado a los usuarios les invita a permanecer vigilantes ante intentos de phishing, una precaución habitual tras este tipo de incidentes, ya que los datos de contacto expuestos pueden utilizarse para campañas de suplantación de identidad dirigidas.
Una cuestión estructural para todo el sector
Este incidente trasciende el caso particular de Ultrahuman e ilustra una vulnerabilidad inherente al mercado de los wearables de salud. Los fabricantes de anillos y relojes conectados, desde Oura hasta Samsung y Fitbit, centralizan por definición datos biométricos muy personales en sus servidores: datos de sueño, frecuencia cardíaca, variabilidad cardíaca, temperatura cutánea, seguimiento del ciclo menstrual. Esta centralización implica que un acceso no autorizado, ya provenga de un empleado, un gobierno o un grupo malintencionado, siempre es técnicamente posible.
Fundada en 2019 en Bengaluru, Ultrahuman se ha ido imponiendo en este competitivo mercado gracias a su Ring Air, un competidor directo del Oura Ring, y más recientemente con el Ring Pro, dotado de sensores mejorados y una mayor autonomía. La startup ha recaudado unos 103 millones de dólares hasta la fecha, con el apoyo de inversores como Nexus Venture Partners, Steadview Capital y Blume Ventures. La empresa se presenta con un enfoque centrado en la protección de la privacidad, una postura puesta a prueba por este incidente. Cabe señalar que los dos actores, Ultrahuman y Oura, ya se habían enfrentado en 2024 en un caso de violación de patente ante la Comisión de Comercio Internacional de Estados Unidos, un litigio que puso de manifiesto algunas prácticas comerciales cuestionables de la startup india.
La confianza de los usuarios en las plataformas de salud conectada se basa en la capacidad de estas empresas para proteger datos que se encuentran entre los más íntimos. Este incidente recuerda que una herramienta interna de análisis, a menudo considerada periférica en la arquitectura de seguridad de una empresa, puede constituir un punto de entrada suficiente para exponer información personal a gran escala. Los usuarios de Ultrahuman afectados tienen todo el interés en vigilar posibles intentos de contacto fraudulento en las próximas semanas y consultar la página informativa oficial publicada por la empresa para obtener detalles sobre los datos que les conciernen.