En abril de 2026 informamos en este blog que el gigante global de dispositivos médico Medtronic —con presencia en nuestro país—, detectó actividad inusual en parte de sus sistemas informáticos corporativos e inició una investigación con apoyo de especialistas externos en ciberseguridad para establecer su alcance. Tras concluir el análisis forense, la compañía determinó que un actor no autorizado tuvo acceso a determinados sistemas de la compañía en los Estados Unidos entre el 13 y el 19 de abril, motivo por el cual comenzó a notificar a las personas cuya información podría haberse visto comprometida.

En cartas enviadas a los potenciales afectados en los Estados Unidos, la empresa indica que la información aparentemente expuesta incluye datos como nombre completo, información de contacto, fecha de nacimiento, número de Seguro Social e información relacionada con la salud. Según explica la empresa, estos datos son recopilados para proporcionar actualizaciones sobre sus productos y cumplir con los respectivos requisitos regulatorios.

En la notificación compartida por la Fiscalía General del estado de California, y remitida a los clientes, Medtronic indicó que la investigación determinó que «entre el 13 y el 19 de abril de 2026, un actor no autorizado accedió a determinados sistemas corporativos de TI de Medtronic”.

La empresa también buscó despejar inquietudes respecto de la seguridad de sus dispositivos médicos. En una actualización sobre el incidente, la empresa afirmó que “no hemos detectado ningún impacto en la seguridad de los productos ni en la seguridad de los pacientes, incluyendo la capacidad de cualquier dispositivo Medtronic para operar de forma segura y administrar la terapia prevista.” Asimismo, la empresa afirmó que no se había “detectado ningún impacto en nuestras operaciones de fabricación y distribución ni en nuestra capacidad para satisfacer las necesidades de pacientes y clientes”.

Aunque en abril el grupo de extorsión ShinyHunters afirmó haber sustraído más de nueve millones de registros y publicó a Medtronic en su portal de filtraciones de la red oscura, la compañía no atribuyó públicamente el incidente a ese grupo en las notificaciones enviadas a los afectados. Asimismo, sostuvo que, hasta el momento de emitir las comunicaciones, no tenía evidencia de que la información comprometida hubiera sido publicada o expuesta en Internet.

Como medida de mitigación, Medtronic informó que ofrecerá a las personas afectadas 24 meses de monitoreo de crédito, monitoreo de la dark web y servicios de restauración de identidad sin costo. Además, indicó que implementó medidas de seguridad adicionales, continúa trabajando con expertos externos en ciberseguridad y mantiene la colaboración con las autoridades y reguladores competentes.