Novo Nordisk contacta a las autoridades por una presunta filtración de datos de 1 TB

Novo Nordisk contacta a las autoridades por una presunta filtración de datos de 1 TB

El gigante farmacéutico Novo Nordisk ha confirmado que está en contacto con las autoridades pertinentes después de que un grupo de piratas informáticos afirmara haber robado y publicado más de un terabyte de datos de la compañía. El fabricante de medicamentos, conocido principalmente por sus tratamientos para la diabetes y la pérdida de peso, afirma que está supervisando sus sistemas y manteniendo sus operaciones normales mientras investiga el incidente denunciado.

La situación plantea preguntas urgentes sobre cómo las empresas farmacéuticas y de atención médica gestionan los datos sensibles, y qué pueden hacer los pacientes y empleados cuando las organizaciones en las que confían se convierten en objetivos.

Lo que Novo Nordisk ha declarado hasta ahora

La respuesta de Novo Nordisk ha sido mesurada. La compañía confirmó tener conocimiento de las afirmaciones y declaró que está colaborando con las autoridades como parte de su respuesta. Más allá de reconocer que un grupo de piratas informáticos supuestamente publicó datos, Novo Nordisk no ha proporcionado una confirmación detallada sobre qué información se vio afectada exactamente ni cómo pudo haberse producido la filtración.

Este tipo de divulgación cuidadosa y limitada es habitual en las primeras etapas de un incidente cibernético corporativo. Las empresas se enfrentan a presiones contrapuestas: la obligación legal de notificar a las partes afectadas, la necesidad operativa de investigar antes de hacer declaraciones definitivas y el riesgo reputacional de comunicar en exceso o de parecer minimizar un hecho grave. El resultado suele ser un período de espera que deja a las personas potencialmente afectadas sin respuestas claras.

Tal como se ha informado por separado, este incidente presenta características propias de una campaña de extorsión cibernética, en la que los atacantes roban datos y amenazan con publicarlos si no se cumplen sus exigencias. Este patrón se ha vuelto cada vez más común en todos los sectores, pero adquiere un peso especial en el ámbito sanitario y farmacéutico, donde los datos implicados pueden incluir historiales clínicos, identificadores de pacientes e investigación patentada.

Para un contexto más amplio sobre las afirmaciones que rodean esta filtración, incluidos los detalles reportados sobre los tipos de datos supuestamente implicados, Novo Nordisk sufre una filtración de 1,3 TB: Datos de ensayos clínicos robados ofrece información adicional.

Por qué las filtraciones de datos farmacéuticos son especialmente graves

La mayoría de la gente asocia las filtraciones de datos con información financiera, contraseñas o cuentas de redes sociales. Una filtración que afecta a una gran empresa farmacéutica conlleva consecuencias diferentes y potencialmente más duraderas.

Las empresas farmacéuticas poseen diversas categorías de datos sensibles: registros de participantes en ensayos clínicos, historiales médicos, datos personales de empleados, investigación patentada sobre desarrollo de fármacos y, en algunos casos, información sobre los profesionales sanitarios que interactúan con la empresa. A diferencia del número de una tarjeta de crédito robada, que puede cancelarse y sustituirse, los datos de salud son permanentes. Pueden utilizarse para fraudes de seguros, suplantación de identidad o ataques de phishing dirigidos que aprovechen el conocimiento del historial médico de una persona.

El sector sanitario se ha convertido cada vez más en un objetivo prioritario para los grupos de extorsión precisamente por esta sensibilidad. Las consecuencias son tan elevadas que las organizaciones pueden sentirse presionadas a pagar las exigencias, y los reguladores de muchas jurisdicciones tratan las filtraciones de datos de salud con especial seriedad. Una dinámica similar se produjo en la filtración de iRhythm relacionada con aplicaciones en la nube de terceros, donde la información de salud de los pacientes quedó expuesta a través de sistemas ajenos a la infraestructura directa de la empresa.

Lo que esto significa para usted

Si usted es un paciente que ha participado en ensayos clínicos de Novo Nordisk, ha utilizado sus medicamentos o si su proveedor de atención médica ha interactuado con la empresa, la posibilidad de que sus datos estuvieran incluidos en el presunto robo merece tomarse en serio, incluso antes de que lleguen las notificaciones oficiales.

Esto es lo que puede hacer ahora mismo:

• Vigile el phishing. Los grupos de extorsión que publican datos robados suelen venderlos o distribuirlos a otros actores delictivos. Es posible que note un aumento de correos electrónicos o mensajes que hagan referencia a sus condiciones de salud, medicamentos o datos personales. Trate cualquier contacto no solicitado sobre su salud con un mayor escepticismo.
• Revise los estados de cuenta de su seguro médico. Las reclamaciones fraudulentas que utilizan datos de salud robados pueden aparecer meses después de una filtración. Busque servicios que no haya recibido o proveedores que no haya visitado.
• Esté atento a las notificaciones oficiales. Dependiendo de dónde viva, es posible que Novo Nordisk esté legalmente obligada a notificar a las personas cuyos datos se vieron afectados. Los organismos reguladores de la UE en virtud del RGPD y de los EE. UU. en virtud de la HIPAA (cuando corresponda) establecen plazos de notificación. Esté pendiente de cualquier comunicación oficial de la empresa o de las autoridades sanitarias pertinentes.
• Utilice credenciales seguras y únicas. Si tiene alguna cuenta en Novo Nordisk o en un portal sanitario relacionado, cambie su contraseña y active la autenticación multifactor de inmediato.
• Considere realizar una auditoría de privacidad. Este incidente es un buen motivo para revisar qué datos comparte con cualquier organización, farmacéutica o de otro tipo, y para minimizar el intercambio de datos innecesario siempre que sea posible.

El patrón más amplio que conviene observar

Novo Nordisk no es un caso aislado. Las grandes empresas farmacéuticas y de atención médica se han enfrentado a una creciente ola de intentos de extorsión cibernética y robo de datos en los últimos años. Estas organizaciones poseen enormes volúmenes de información sensible, a menudo a través de complejas cadenas de suministro globales, redes de socios y sistemas informáticos heredados que pueden ser difíciles de proteger de manera uniforme.

Lo que hace notable este incidente es la magnitud del presunto robo y la implicación de las autoridades en lo que probablemente sean múltiples jurisdicciones, dadas las operaciones globales de Novo Nordisk. El resultado de esta investigación probablemente servirá de referencia para que otras empresas del sector aborden su propia postura de seguridad de los datos.

Para los particulares, la principal conclusión es que la protección de la privacidad no puede delegarse por completo en las organizaciones que poseen sus datos. Desarrollar hábitos personales en torno a la minimización de datos, la higiene de credenciales y la vigilancia frente a la ingeniería social es cada vez más esencial, tanto si trabaja en el sector tecnológico como si simplemente recibe atención médica. Manténgase atento a las actualizaciones oficiales de Novo Nordisk y de los organismos reguladores pertinentes a medida que esta situación siga evolucionando.