**Breach en Novo Nordisk expone datos sensibles de pacientes de ensayos clínicos**

## Introducción

La multinacional farmacéutica danesa Novo Nordisk, líder mundial en la producción de insulina y tratamiento de enfermedades crónicas, ha confirmado una brecha de seguridad que afecta a información sensible de pacientes involucrados en ensayos clínicos. El incidente pone de relieve los crecientes riesgos que enfrentan las compañías del sector salud frente a ciberataques sofisticados, así como la criticidad de proteger datos especialmente protegidos bajo normativas como el Reglamento General de Protección de Datos (GDPR) y la inminente Directiva NIS2.

## Contexto del Incidente

El incidente salió a la luz tras la notificación oficial de Novo Nordisk a las autoridades de protección de datos y a los afectados. La compañía ha señalado que la filtración se produjo a raíz de un acceso no autorizado a sistemas de un proveedor externo, encargado de gestionar parte de la información relacionada con ensayos clínicos. Según las primeras investigaciones, los datos comprometidos corresponden a pacientes que participaron en pruebas realizadas en Europa y Norteamérica, aunque la compañía no ha revelado el número exacto de afectados.

Este incidente no es un caso aislado en el sector farmacéutico: en los últimos años, ataques dirigidos contra organizaciones sanitarias y de investigación biomédica han aumentado un 60% según datos de la ENISA, situándolas como uno de los objetivos prioritarios para grupos de ransomware y ciberespionaje industrial.

## Detalles Técnicos

Hasta el momento, Novo Nordisk ha confirmado que el acceso no autorizado se produjo mediante la explotación de una vulnerabilidad en el entorno de uno de sus proveedores de servicios de TI, concretamente en una plataforma de intercambio seguro de archivos. Fuentes no oficiales apuntan a la posible explotación de la vulnerabilidad CVE-2023-34362, relacionada con el software MOVEit Transfer, ampliamente utilizado en el sector y objeto de campañas masivas de exfiltración de datos desde mediados de 2023.

La táctica identificada se enmarca dentro del framework MITRE ATT&CK en las siguientes fases:

– **Initial Access (T1190: Exploit Public-Facing Application)**
– **Privilege Escalation (T1068: Exploitation for Privilege Escalation)**
– **Collection (T1114: Email Collection; T1005: Data from Local System)**
– **Exfiltration (T1041: Exfiltration Over C2 Channel)**

Entre los indicadores de compromiso (IoC) asociados se encuentran direcciones IP utilizadas previamente en ataques del grupo ransomware Cl0p, así como hashes de archivos relacionados con exploits de MOVEit Transfer. A nivel de herramientas, se ha detectado el uso de frameworks como Cobalt Strike para el movimiento lateral y Metasploit para la explotación inicial.

## Impacto y Riesgos

La información comprometida incluye datos especialmente sensibles: nombres, fechas de nacimiento, detalles médicos, códigos de identificación de ensayos y, en algunos casos, información de contacto y resultados clínicos. Este tipo de información no solo es altamente valiosa en mercados de la dark web, sino que podría ser utilizada en ataques de spear phishing, extorsión o incluso manipulación de resultados de investigación.

Según estimaciones preliminares, el incidente podría afectar a cientos de participantes, aunque la cifra exacta permanece bajo investigación. Además de los riesgos directos para los pacientes, la exposición de información confidencial relacionada con ensayos clínicos puede tener implicaciones económicas notables y afectar la propiedad intelectual de la compañía. Las sanciones administrativas bajo el GDPR pueden alcanzar hasta el 4% del volumen de negocio global anual, lo que para Novo Nordisk podría traducirse en multas de hasta cientos de millones de euros en caso de negligencia comprobada.

## Medidas de Mitigación y Recomendaciones

Novo Nordisk ha implementado medidas inmediatas, incluyendo la desconexión de los sistemas afectados, la rotación de credenciales y la colaboración con equipos forenses externos para delimitar el alcance del ataque. Además, se recomienda a las organizaciones del sector:

– Actualizar de inmediato todas las instancias de MOVEit Transfer y otras plataformas de transferencia de archivos.
– Monitorizar logs de acceso y tráfico inusual, especialmente hacia dominios y direcciones IP asociadas a la campaña.
– Implementar segmentación de red y políticas de mínimos privilegios para proveedores externos.
– Revisar acuerdos de tratamiento de datos con terceros y reforzar cláusulas de seguridad y notificación temprana ante incidentes.
– Realizar simulacros de respuesta a incidentes y formación continua para empleados y colaboradores.

## Opinión de Expertos

Andrés Jiménez, CISO en una importante farmacéutica europea, señala: “Este tipo de brechas pone en evidencia la necesidad de una gestión rigurosa de riesgos en la cadena de suministro digital. El eslabón más débil puede comprometer toda la seguridad de los datos, especialmente en sectores regulados”. Por su parte, expertos de la Agencia Española de Protección de Datos recalcan la importancia de las evaluaciones de impacto y las auditorías periódicas de proveedores tecnológicos.

## Implicaciones para Empresas y Usuarios

El incidente de Novo Nordisk subraya la urgencia de reforzar la seguridad en entornos de colaboración con terceros y la gestión de datos especialmente protegidos. Las empresas deben anticiparse a la entrada en vigor de la Directiva NIS2, que exige controles más estrictos y responsabilidades ampliadas para operadores de servicios esenciales, incluyendo el sector sanitario. Para los usuarios, este tipo de brechas refuerza la importancia de exigir transparencia y derechos efectivos de control sobre sus datos personales.

## Conclusiones

La brecha de datos en Novo Nordisk es un recordatorio de los desafíos que enfrenta el sector salud en materia de ciberseguridad, especialmente en un contexto de digitalización acelerada y colaboración internacional. Más allá del daño reputacional y económico, la protección de datos sensibles debe ser una prioridad estratégica para todas las organizaciones que manejan información crítica. Solo una aproximación integral, que combine tecnología, procesos y cultura organizativa, permitirá minimizar el riesgo y cumplir con las exigencias regulatorias actuales y futuras.

(Fuente: www.bleepingcomputer.com)