Los hackers entran en el Zendesk de Hims & Hers como Pedro por su casa. Millones de tickets de soporte desaparecidos. Datos personales —nombres, correos, quién sabe qué más— ahora flotando en el submundo de la dark web.
Ampliemos el panorama. Esto no es un negocito familiar que pierde las llaves. Hims & Hers, el gigante de la telemedicina que vende remedios para la calvicie, soluciones para la disfunción eréctil y milagros para bajar de peso, acaba de tragarse una brecha de datos por el talón de Aquiles de su servicio al cliente. Ingresos rozando el billón de dólares. Anuncios por todos lados. Y aun así, aquí estamos.
El último golpe de ShinyHunters
ShinyHunters. Esos chantajistas empedernidos. No rompieron vidrios —demasiado burdo. Comprometieron una cuenta SSO de Okta. ¡Pum! Acceso a Zendesk. Del 4 al 7 de febrero de 2026, aspiraron tickets como si nada. Hims & Hers se dio cuenta el día 5. “Actividad sospechosa”, dicen en su notificación.
“El 5 de febrero de 2026, Hims & Hers, Inc. detectó actividad sospechosa en nuestra plataforma de servicio al cliente de terceros,” reza la carta enviada a los afectados. “Tomamos medidas inmediatas para asegurar la plataforma e iniciamos una investigación.”
Inmediatas. Claro. Para el 3 de marzo confirman: los hackers se llevaron tickets con datos personales. Sin historiales médicos, juran. Nada de charlas con doctores. Solo el desahogo que sueltan los clientes al pedir ayuda por canas prematuras o problemas en la intimidad.
Pero aquí viene lo jugoso —y mi puntada personal: esto apesta a cansancio de Zendesk. ¿Recuerdan ManoMano? La cadena de bricolaje, brecha en febrero vía Zendesk. ¿Crunchyroll? Datos de fans del anime en marzo, misma plataforma. A la tercera no va la vencida. Es un patrón. Las empresas externalizan el soporte, se felicitan por la eficiencia, y ven cómo los hackers lo convierten en un bufé libre. Hims & Hers no es especial. Es el caso C.
¿Por qué Zendesk? ¿Por qué siempre Zendesk?
A ver. Zendesk va bien para el bla bla bla. Llegan tickets, responden los agentes, todos contentos. Hasta que el SSO de Okta se abre de par en par. Inicio de sesión único: genial para logins perezosos, pesadilla para contener daños. Una contraseña floja, un ejecutivo pescado, y ¡zas! —tu pila completa de SaaS queda expuesta.
Hims & Hers se apoyó en eso. A tope. La telemedicina directa al consumidor vive de la confianza. ¿Envías consultas sensibles sobre arrepentimientos con el cutis o bajones mentales? Los clientes esperan una fortaleza. En vez de eso, les das un garaje compartido donde ShinyHunters anda de paseo.
¿Y el lavado de imagen? “No se comprometieron registros médicos.” Bonito. Pero esos tickets son oro para los phishing. “Ey Bob, tu consulta de calvicie —haz clic aquí para la actualización.” ¡Pum! Toma de cuentas. Robo de identidad. La empresa regala 12 meses de monitoreo crediticio como caramelos. Gesto lindo. Tarde.
¿Está condenada la adicción de la telemedicina a terceros?
Respuesta corta: sí, si no espabilan. Hims & Hers explotó con suscripciones. Acceso fácil a doctores, pastillas en el buzón. Pero crecer implica proveedores. Zendesk. Okta. Todo en la nube. A los hackers les encanta el desparramo.
Imaginen este paralelo histórico —principios de los 2000, cuando todos se lanzaban a externalizar call centers en India. ¡Ahorro de costos! Hasta que las fugas de datos coparon titulares. Ahora es SaaS. Mismo guion, remix digital. Predicción audaz: para 2027 veremos regulaciones en telemedicina que exijan soporte interno para temas sensibles. O multas que hagan palidecer esos ingresos billonarios.
¿Clientes? Vigilen todo. ¿Mails no solicitados? A la papelera. ¿Reportes crediticios? Revísenlos semanalmente. Hims & Hers pide atención. Obvio.
Pero desviémonos un segundo — ¿por qué no dan números? BleepingComputer preguntó: ¿cuántos afectados? Silencio. Esa es la verdadera brecha: vacío de transparencia. ShinyHunters alardean de millones. La empresa bal
