El grupo de ransomware DevMan ha publicado en su sitio de fugas a una entidad chilena del sector salud, identificada como d*v***.cl. En la descripción del ataque, afirman haber robado aproximadamente 250 GB de información sensible, que incluye datos personales de pacientes, resultados de exámenes de VIH y cédulas de identidad.
Los actores detrás de DevMan tienen la particularidad de censurar parcialmente los nombres de sus víctimas con asteriscos (por ejemplo, d*v***.cl), lo que coincide claramente con el dominio davila.cl de la Clínica Dávila.
Identidad de la víctima
 |
| Página web de la clínica Dávila con un aviso importante |
El nombre coincide con el de la Clínica Dávila (davila.cl). Al visitar su sitio web, aparece un aviso con el siguiente mensaje:
Importante: En este momento nos encontramos con intermitencia en nuestros sistemas de agendamiento web y resultadosde exámenes. Para reservar una hora médica puedes llamar al 2 2270 2700. Para revisar resultados de exámenes, puedes retirarlos de forma presencial. También puedes agendar y revisar exámenes en nuestra app Mi Dávila.
 |
| Para reservar hora en Telemedicina no esta disponible |
COMUNICADO - Clínica Dávila
En forma exclusiva al medio TheClinic, la Clinica Dávila dio el siguiente comunicado:
Clínica Dávila tomó conocimiento de un incidente informático provocado por terceros. De inmediato se activaron los protocolos de seguridad establecidos, lo que permitió controlar la situación con rapidez y mantener en todo momento la continuidad en la recepción y atención de pacientes. En estos momentos, la clínica se encuentra operando con normalidad.
El hecho fue debidamente informado a las autoridades competentes y actualmente se encuentra bajo el análisis forense de expertos en la materia. Los resultados de dicha investigación permitirán a la clínica adoptar las acciones correspondientes a la brevedad.
DevManager Habla Molesto
Me puse en contacto con el soporte de Devman a través de Tox Chat; la persona que atendió se identificaba como DevManager. Le envié el enlace de nuestra noticia y le consulté si había existido algún acercamiento o negociación con la clínica. No obstante, comenzó a dirigirme una serie de insultos, lo encontre un poco molesto, enojado, incomodo, irritado.
 |
| Tox Chat Devman Support |
En su red social de X DevManager extorsiona a la Clínica
Si el hospital chileno no paga, crearemos un sitio web con un mapa en vivo de dónde viven los pacientes que dieron positivo en la prueba del VIH. También dedicaremos tiempo a notificar a sus familiares, amigos y lugares de trabajo sobre los resultados de sus pruebas. Esto aplica no solo a los pacientes con VIH.
Devman intenta nuevamente este 22 de diciembre dejar un mensaje a la Clínica
Esto se publicó el 22/12/2025. En tres días, el 25/12/2025, publicaremos el listado completo de archivos y, el 31/12/2025, filtraremos los 250 GB de historiales médicos.
Mensaje de Devman a la ANCI
ANCI Alerta sobre la presencia de Devman
La Agencia Nacional de Ciberseguridad de Chile ha puesto a disposición un informe sobre el actor de amenazas conocido como Devman. Lo puedes ver aquí
24 de diciembre, Sernac Oficia a la Clínica Dávila
El medio The Clinic ha informado que el Servicio Nacional del Consumidor (SERNAC) ha oficiado a la Clínica Dávila requiriendo información sobre el incidente de ciberseguridad atribuido al grupo de ransomware Devman.
Update: Devman muestra archivos de la clínica en foro DarkWeb
 |
| foro en la Darkweb, muestra archivos de la clínica Dávila |
En su descripción, el atacante revela el ataque a la clínica, afirmando que un afiliado proporcionó el acceso mediante FortiVPN. Además, incluye muestras de los archivos robados y el listado completo de archivos.
 |
| Un ejemplo de los archivos robados por devman muestra un examen VIH de la clínica dávila |
Parte del listado de archivos robados por Devman
 |
| Listado de archivos robados por el grupo Devman |
El listado que mostro Devman en el foro DarkWeb contiene aproximadamente 15,606 archivos, entre los formatos conocidos como pdfs, doc, jpeg, xlsx, docx, jpg.
Datos robados por devman según el listado de archivos
Electro Cardio
Fichas Clínicas Hospitalizaciones
Captura de pantalla del secuestro de datos del grupo Devman a la Clínica
En una parte de lo descrito Devmanager dice lo siguiente, esta en ruso - usamos el traductor:
Lo primero que hicimos fue reconstruir el NTDS. Resultó que solo habían restablecido nuestras contraseñas. Vamos, chicos. Como dicen, cuando alguien crea un dominio de administrador en tu red y descarga los datos, es un desastre total. Hay que apagar toda la red y restablecer las contraseñas de todos los administradores y de KRB. Bueno, lo hicimos por ellos, cambiamos las contraseñas de todos sus administradores antes de bloquearlos, y el turno de noche observó cómo los archivos cambiaban sus finales de .pdf y así sucesivamente a .pdf.devma21.
COMUNICADO N°2 - Clínica Dávila
En forma exclusiva al medio Interferencia, la Clinica Dávila dio el siguiente comunicado:
Activamos nuestros protocolos de seguridad y mitigación, incorporamos equipos expertos en ciberseguridad y notificamos a las autoridades correspondientes, con las cuales estamos trabajando estrechamente. Actualmente estamos investigando el alcance de los datos involucrados. En todo momento la clínica ha operado con normalidad como también la atención a los pacientes. Clínica Dávila ejercerá todas las acciones legales que correspondan contra los responsables de este delito y sus consecuencias, y reafirma su compromiso inquebrantable con la protección de la información y la privacidad de sus pacientes.
**Si eres paciente o tienes datos en la clínica: monitorea posibles notificaciones oficiales de brecha de datos.
¿Qué sabemos de Devman?
DevMan es una variante derivada directamente del código de DragonForce, que a su vez se basa en el código fuente filtrado de Conti (uno de los ransomwares más notorios, cuya fuente se filtró en 2022). Emergió en abril de 2025 inicialmente como afiliado de varios grupos RaaS (como Qilin, DragonForce, RansomHub y Apos). Usaba el builder de DragonForce para crear su propio encryptor personalizado. En septiembre/octubre de 2025, evolucionó y lanzó su propia plataforma RaaS, reclutando afiliados y operando de forma independiente, aunque conserva fuertes similitudes técnicas con DragonForce y Conti.
cifra sus datos con .devman, .devman1, .devman21 y su nota de rescate puede ser Readme.devman.txt
Investigadores dejan al descubierto las operaciones de Devman:
hace unos dias investigadores dejaron al descubierto chats del grupo devman, usted puede darse cuenta de como son las operaciones por dentro, a los investigadores felicidades un gran aporte les dejo la url.
PD: Ayer envie un correo a la clínica con algunas preguntas hasta este momento no hubo respuestas.
