Según la nueva información publicada por TechCrunch, una vulnerabilidad de seguridad de DavaIndia Pharmacy, la sucursal farmacéutica de Zota Healthcare en India, ha permitido a personas ajenas tomar el control total de su plataforma, filtrando datos de pedidos de clientes y funciones de control de medicamentos sensibles.
Según el experto en investigación de seguridad Eaton Zveare, descubrió la vulnerabilidad después de identificar que las interfaces de programación de aplicaciones (API) de "administradores de alto nivel" no eran seguras en el sitio web de DavaIndia y compartió información detallada con las agencias de seguridad cibernética de la India.
Este error se ha solucionado y Zveare ha anunciado sus hallazgos.
Esta información se da a conocer en un contexto en el que Zota Healthcare está expandiendo rápidamente las operaciones minoristas de DavaIndia Pharmacy. Esta empresa con sede en Gujarat opera más de 2.300 tiendas DavaIndia en toda la India, incluidas 276 nuevas tiendas anunciadas en enero de 2026, y planea agregar entre 1.200 y 1.500 tiendas más en los próximos dos años.
Zveare dijo a TechCrunch que esta vulnerabilidad proviene de una interfaz de administración insegura, que permite a los usuarios no verificados crear cuentas de "administradores de nivel superior" con alta autoridad.
Según los investigadores, con ese nivel de acceso, los atacantes pueden ver miles de pedidos en línea que contienen información del cliente, modificar listas de productos y precios, crear cupones de descuento y cambiar las configuraciones de las regulaciones para ver si algunos medicamentos necesitan receta o no.
Basándose en el cronograma del sistema, Zveare dijo que las interfaces de administración vulnerables parecen haber estado funcionando desde finales de 2024. Dijo que el acceso ha revelado casi 17,000 pedidos en línea y controles de administración que se extienden por 883 tiendas, lo que permite cambiar los precios de los productos, solicitar recetas y descuentos promocionales. Zveare dijo que el acceso permite editar el contenido del sitio web, lo que podría utilizarse para sabotear o interrumpir las operaciones.
Los datos de las recetas pueden ser particularmente sensibles, ya que pueden revelar información sobre el estado de salud, los medicamentos u otras transacciones comerciales privadas de una persona. La divulgación de tales datos, incluso sin evidencia de abuso, también entraña un mayor riesgo para la privacidad y la seguridad del paciente que la otra información del consumidor.
La información del cliente está vinculada a sus pedidos. Esto incluye nombres, números de teléfono, direcciones de correo electrónico, direcciones de correo, cantidades totales pagadas y productos comprados. Dado que se trata de una farmacia, la información sobre los productos comprados puede considerarse información privada e incluso poner en aprietos a algunas personas", dijo Zveare.
El Sr. Zveare dijo que había informado de este problema a CERT-In, la agencia nacional de respuesta de emergencia de seguridad cibernética de la India, en agosto de 2025. La vulnerabilidad se corrigió en unas pocas semanas, aunque la confirmación de la empresa tomó más tiempo y solo se proporcionó a las agencias de seguridad cibernética a finales de noviembre de 2025.
