La empresa farmacéutica danesa Novo Nordisk informó un incidente que permitió el acceso no autorizado a una cantidad limitada de datos almacenados en sistemas internos. La compañía señaló que la información afectada correspondía a participantes de algunos ensayos clínicos y que los datos expuestos no incluían identificadores directos que permitieran reconocer a los pacientes.
Novo Nordisk, compañía farmacéutica danesa conocida por desarrollar medicamentos como Ozempic y Wegovy, reveló que detectó un incidente de seguridad informática que involucró acceso no autorizado a un número limitado de sistemas internos. Según la empresa, el incidente derivó en la copia externa sin autorización de determinados datos no públicos, incluidos datos personales relacionados con participantes de algunos ensayos clínicos.
La organización indicó en un comunicado de prensa que, “tras tener conocimiento del incidente, iniciamos una investigación con la ayuda de expertos externos en ciberseguridad y estamos en contacto con las autoridades competentes”. Además, señaló que “como parte de nuestra respuesta, hemos implementado diversas medidas de seguridad, incluyendo la desconexión temporal de ciertos sistemas informáticos internos para proteger nuestro entorno. Estamos trabajando para reactivar los sistemas afectados de forma controlada y segura; sin embargo, reconocemos que este proceso requiere tiempo”. La compañía precisó que sus operaciones principales continúan funcionando con normalidad y que el incidente no ha afectado la continuidad de su negocio.
De acuerdo con la información entregada por Novo Nordisk, los datos comprometidos corresponden a categorías como identificadores de pacientes utilizados en estudios clínicos, información sobre participación en ensayos, sexo, año de nacimiento, biomarcadores, datos de salud e inmunogenicidad y determinados factores de estilo de vida, incluyendo tabaquismo, consumo de alcohol e índice de masa corporal. La empresa señaló que no todos los registros afectados contienen necesariamente la totalidad de estas categorías.
La farmacéutica destacó que la información involucrada estaba seudonimizada y que no incluía nombres ni otros identificadores directos. En ese contexto, afirmó que “esta información no está directamente vinculada a ningún paciente por nombre ni por otros identificadores directos”. La compañía añadió que los datos necesarios para asociar esos registros con personas específicas no formaban parte del incidente.
Además de los participantes de ensayos clínicos, la empresa comunicó que el incidente también afectó a un número no revelado de profesionales sanitarios. Entre los datos expuestos de este grupo podrían encontrarse nombres, números de registro profesional, direcciones de correo electrónico, números telefónicos, información de WhatsApp y ubicaciones laborales. Como medida preventiva, Novo Nordisk recomendó extremar la atención ante mensajes o comunicaciones inesperadas que pudieran ser utilizados en campañas de phishing o suplantación de identidad.
Respecto de los riesgos para los participantes de estudios clínicos, la compañía sostuvo que “no consideramos que el incidente permita a ningún tercero identificar a participantes de nuestros ensayos clínicos”. Asimismo, indicó que no existe necesidad de que los pacientes adopten acciones específicas derivadas de este evento.
No obstante, la empresa recomendó a los participantes mantenerse atentos ante cualquier situación inusual. En una carta a pacientes de Novo Nordisk la compañía comunicó que “recomendamos que nuestros pacientes permanezcan vigilantes y nos informen si encuentran algo inusual que crean que podría estar relacionado con el incidente.