El grupo de ransomware DevMan ha publicado en su sitio de fugas a una entidad chilena del sector salud, identificada como d*v***.cl. En la descripción del ataque, afirman haber robado aproximadamente 250 GB de información sensible, que incluye datos personales de pacientes, resultados de exámenes de VIH y cédulas de identidad.
Los actores detrás de DevMan tienen la particularidad de censurar parcialmente los nombres de sus víctimas con asteriscos (por ejemplo, d*v***.cl), lo que coincide claramente con el dominio davila.cl de la Clínica Dávila.
Identidad de la víctima
 |
| Página web de la clínica Dávila con un aviso importante |
El nombre coincide con el de la Clínica Dávila (davila.cl). Al visitar su sitio web, aparece un aviso con el siguiente mensaje:
Importante: En este momento nos encontramos con intermitencia en nuestros sistemas de agendamiento web y resultadosde exámenes. Para reservar una hora médica puedes llamar al 2 2270 2700. Para revisar resultados de exámenes, puedes retirarlos de forma presencial. También puedes agendar y revisar exámenes en nuestra app Mi Dávila.
 |
| Para reservar hora en Telemedicina no esta disponible |
COMUNICADO - Clínica Dávila
En forma exclusiva al medio TheClinic, la Clinica Dávila dio el siguiente comunicado:
Clínica Dávila tomó conocimiento de un incidente informático provocado por terceros. De inmediato se activaron los protocolos de seguridad establecidos, lo que permitió controlar la situación con rapidez y mantener en todo momento la continuidad en la recepción y atención de pacientes. En estos momentos, la clínica se encuentra operando con normalidad.
El hecho fue debidamente informado a las autoridades competentes y actualmente se encuentra bajo el análisis forense de expertos en la materia. Los resultados de dicha investigación permitirán a la clínica adoptar las acciones correspondientes a la brevedad.
DevManager Habla Molesto
Me puse en contacto con el soporte de Devman a través de Tox Chat; la persona que atendió se identificaba como DevManager. Le envié el enlace de nuestra noticia y le consulté si había existido algún acercamiento o negociación con la clínica. No obstante, comenzó a dirigirme una serie de insultos, lo encontre un poco molesto, enojado, incomodo, irritado.
 |
| Tox Chat Devman Support |
En su red social de X DevManager extorsiona a la Clínica
Si el hospital chileno no paga, crearemos un sitio web con un mapa en vivo de dónde viven los pacientes que dieron positivo en la prueba del VIH. También dedicaremos tiempo a notificar a sus familiares, amigos y lugares de trabajo sobre los resultados de sus pruebas. Esto aplica no solo a los pacientes con VIH.
Mensaje de Devman a la ANCI
ANCI Alerta sobre la presencia de Devman
La Agencia Nacional de Ciberseguridad de Chile ha puesto a disposición un informe sobre el actor de amenazas conocido como Devman. Lo puedes ver aquí
**Si eres paciente o tienes datos en la clínica: monitorea posibles notificaciones oficiales de brecha de datos.
¿Qué sabemos de Devman?
DevMan es una variante derivada directamente del código de DragonForce, que a su vez se basa en el código fuente filtrado de Conti (uno de los ransomwares más notorios, cuya fuente se filtró en 2022). Emergió en abril de 2025 inicialmente como afiliado de varios grupos RaaS (como Qilin, DragonForce, RansomHub y Apos). Usaba el builder de DragonForce para crear su propio encryptor personalizado. En septiembre/octubre de 2025, evolucionó y lanzó su propia plataforma RaaS, reclutando afiliados y operando de forma independiente, aunque conserva fuertes similitudes técnicas con DragonForce y Conti.
cifra sus datos con .devman, .devman1, .devman21 y su nota de rescate puede ser Readme.devman.txt
Investigadores dejan al descubierto las operaciones de Devman:
hace unos dias investigadores dejaron al descubierto chats del grupo devman, usted puede darse cuenta de como son las operaciones por dentro, a los investigadores felicidades un gran aporte les dejo la url.
PD: Ayer envie un correo a la clínica con algunas preguntas hasta este momento no hubo respuestas.
.png)
