Novo Nordisk sufre ciberataque y expone datos de pacientes de ensayos clínicos
La danesa Novo Nordisk, fabricante del fármaco para pérdida de peso Wegovy, confirmó un incidente de ciberseguridad que permitió copiar sin autorización información de sus sistemas internos, incluyendo datos de pacientes que participan en algunos ensayos clínicos, aunque asegura que no ve riesgos inmediatos para los voluntarios.
Novo Nordisk informó que detectó un acceso no autorizado a un número limitado de sistemas internos de TI y que, durante ese episodio, se copiaron externamente determinados datos no públicos, entre ellos información de pacientes de algunos estudios clínicos en marcha.
La compañía, una de las grandes ganadoras del boom global de los medicamentos para obesidad, activó de inmediato un protocolo de respuesta, contrató expertos externos en ciberseguridad y se puso en contacto con las autoridades competentes, al tiempo que intenta contener el impacto reputacional y regulatorio en un momento de alta exposición mediática por las ventas récord de Wegovy.
Qué información fue comprometida y qué dice Novo Nordisk
Según el comunicado oficial, “el incidente afectó una cantidad limitada de información relacionada con pacientes que participan en algunos de nuestros ensayos clínicos”.
Entre las posibles categorías de datos personales involucradas se mencionan el ID del paciente, año de nacimiento, sexo y datos de salud o de inmunogenicidad, entre otros parámetros clínicos, todos ellos codificados y sin vínculo directo con nombres o identificadores evidentes.
La compañía subrayó que “la información no está vinculada directamente a ningún paciente por nombre u otros identificadores directos” y que, por la forma en que se pseudonimiza la base de datos, “el conocimiento de la identidad del paciente requeriría acceso a información adicional, que no formó parte del incidente”.
Con ese argumento, Novo Nordisk sostuvo que “no considera que el incidente implique riesgos inmediatos para los pacientes”, aunque recomendó a los participantes en estudios “reportar cualquier hecho inusual que crean que pueda estar vinculado con el incidente”.
Respuesta tecnológica y continuidad del negocio
Como parte de las medidas de contención, el laboratorio danés decidió “tomar temporalmente ciertos sistemas internos de TI fuera de línea para proteger nuestro entorno” y aclaró que está trabajando para devolverlos a la operación “de manera controlada y segura”, un proceso que, reconocen, llevará tiempo.
Mientras avanza la investigación forense digital, múltiples controles adicionales se han sumado a la infraestructura tecnológica corporativa, desde monitoreo reforzado hasta revisión de accesos, en un contexto en el que la protección de datos de ensayos clínicos se ha vuelto un activo estratégico para toda la industria farmacéutica global.
A pesar del incidente, Novo Nordisk remarcó que “las operaciones centrales de negocio no se ven afectadas y continúan en marcha”, lo que implica que la producción, el suministro de medicamentos y el resto de las actividades comerciales siguen funcionando con normalidad.
La compañía señaló además que está notificando “a las partes impactadas según corresponda”, lo que incluye a organismos reguladores y a los propios participantes de los ensayos, en línea con los estándares internacionales de privacidad de datos y farmacovigilancia.
Ensayos clínicos, datos sensibles y presión regulatoria
Aunque Novo Nordisk no detalló qué programas de desarrollo clínico se vieron afectados ni en qué países se encontraban los pacientes involucrados, el episodio llega en un momento en que la compañía lidera algunos de los estudios más relevantes del mundo en obesidad, diabetes y riesgo cardiovascular, apoyados en el principio activo semaglutida.
En paralelo, los marcos regulatorios de protección de datos —como el Reglamento General de Protección de Datos (RGPD) en Europa— exigen a los laboratorios reportar incidentes y demostrar que aplican medidas técnicas y organizativas adecuadas para preservar la confidencialidad y la integridad de la información clínica, aun cuando los datos estén pseudonimizados.
Para los inversores y decisores del sector salud, este tipo de brechas ponen el foco en la ciberseguridad como un componente crítico de los programas de I+D, donde la exposición de datos sensibles no solo abre la puerta a eventuales sanciones, sino que también puede erosionar la confianza de pacientes y médicos en los grandes estudios que sostienen el negocio de los fármacos innovadores.
En un mercado global donde las terapias para obesidad y enfermedades crónicas mueven miles de millones y concentran la competencia entre gigantes como Novo Nordisk y otros laboratorios, cada incidente de datos se transforma en una prueba más de que la seguridad informática ya es parte central de la propuesta de valor de la industria farmacéutica de alta tecnología.
