Módulos Temas Día

Ciberataque: La última amenaza de salud para las farmacéuticas

Las empresas que gastan miles de millones para probar drogas de vanguardia se arriesgan a que sus resultados preliminares sean robados o secuestrados por delincuentes profesionales o ciberterroristas, algunos de ellos patrocinados por estados.

ciberataques

FOTO 4 | Una variante del malware conocido como Petya empezó a extender sus tentáculos a finales de junio con un ciberataque en Kiev, Ucrania. El malware GoldenEye, una cepa de Petya, se extendió a la infraestructura eléctrica del país así como también a sus aeropuertos y oficinas gubernamentales. Al principio se creyó que era un ransomware (cuando un hacker toma control de tu computadora a cambio del pago de un rescate), porque lo que hace es congelar tu computadora y mostrar una nota de rescate en tu pantalla. La nota exige el pago de US$300 en bitcoins a cambio de liberar la computadora infectada. El ataque se parece a lo que hacía el ransomware WannaCry, el cual afectó a más de 230,000 computadoras en más de 150 países en mayo. Sin embargo, terminó no siendo un ransomware porque el sistema de pagos que los hackers establecieron es prácticamente inoperante.

difusion

Cuando Karenann Terrell se despierta todas las mañanas, lo primero que piensa es si su empleador está siendo atacado.

Terrell, la nueva directora digital y de tecnología de GlaxoSmithKline Plc, supervisa la ciberseguridad del gigante farmacéutico británico. A medida que los piratas informáticos intensifican sus ataques contra las empresas de salud, la ejecutiva trata de evitar que roben todo, desde datos de pacientes hasta secretos de medicamentos.

"Proteges información sobre tus empleados, pacientes, proveedores de atención médica y la propiedad intelectual de un negocio multimillonario", dijo en una entrevista. "Soy la línea de defensa".

Lo que está en juego no podría ser mayor. Las empresas que gastan miles de millones para probar drogas de vanguardia se arriesgan a que sus resultados preliminares sean robados o secuestrados por delincuentes profesionales o ciberterroristas, algunos de ellos patrocinados por estados.

Si bien es suficientemente malo que los hackers roben números de cuentas bancarias o correos electrónicos, es aún peor cuando exponen datos de salud comprometedores, lo que puede minar seriamente las relaciones personales y profesionales.

"En muchos sentidos, los datos de atención médica se consideran mucho más privados que los datos financieros. Es mucho más difícil volver a ponerlos bajo llave", dijo John Halamka, director de información del Beth Israel Deaconess Medical Center en Boston, un centro afiliado a Harvard. "¿Cómo se obtiene un reembolso por su estado del VIH siendo público?"

Desde junio, cuando un ataque generalizado azotó a varias compañías, incluida la gigante farmacéutica estadounidense Merck & Co., los fabricantes de medicamentos informaron intentos más frecuentes y sofisticados de penetrar en sus servidores. Biogen Inc., Amgen Inc. y Celgene Corp. han dicho en informes regulatorios recientes que los ataques cibernéticos están creciendo en intensidad y son cada vez más difíciles de detectar.

Acceso no autorizado
Becton Dickinson and Co., firma de tecnología médica de Estados Unidos, dijo en una presentación de noviembre que encontró acceso no autorizado a sus sistemas y está destinando recursos significativos para defenderse. La compañía informó en diciembre que comenzó una asociación con agencias gubernamentales, grupos industriales e investigadores para aumentar la seguridad de los productos.

"Las amenazas y los adversarios no van a desaparecer", dijo Rob Suárez, director de seguridad de productos de Becton. "Hay una escalada continua".

Las compañías de salud están ampliando la búsqueda de defensores fuera de su sector. Glaxo trajo a Terrell de Wal-Mart Stores Inc. en julio para supervisar la estrategia digital y de datos de la farmacéutica. Después de sufrir un ataque el verano pasado, que calificó de "paralizante", Reckitt Benckiser Group Plc contrató a Seth Cohen de PepsiCo Inc. para convertirse en su director de información. Otras compañías están actualizando el software, trabajando con rivales para evitar daños y buscando miembros de la junta con experiencia en seguridad.

No hacerlo puede ser costoso: cada violación en el sector de la salud cuesta más de US$5 millones en promedio, según Bank of America Corp. Reckitt Benckiser dijo que el ataque de junio tuvo un efecto de 90 millones de libras (US$ 128 millones) en las ventas, mientras que Merck dijo que interrumpió las operaciones globales desde la fabricación hasta la investigación y que su previsión de beneficios para 2017 hubiera sido más alta si no fuera por el ataque. En octubre, la farmacéutica dijo que esperaba algún impacto residual, principalmente en el primer semestre de 2018, en tanto toma medidas de protección adicionales.

Nuevas normas
Las pérdidas de datos podrían volverse más costosas cuando entren en vigencia nuevas normas europeas en mayo. El Reglamento General de Protección de Datos exige multas de hasta el 4% de los ingresos anuales en todo el mundo para las compañías que no cumplen con los requisitos y les da a los consumidores más control sobre cómo se usa su información.

"El impacto financiero ya ha sido alto, y si los reguladores van a multar a las empresas además de eso, pueden tomarlo como un indicador potencial de que hay un riesgo bastante mayor para este sector", dijo Beijia Ma, estratega de Bank of America en Londres.

Más de la mitad de quienes respondieron una encuesta a ejecutivos farmacéuticos, biotecnológicos y de dispositivos médicos dijeron el año pasado que están priorizando las inversiones en software y encriptación, según la consultora KPMG LLP. Los piratas informáticos respaldados por gobiernos son considerados la mayor amenaza, según la encuesta.

"Hay muchos, muchos más ataques exitosos y más datos robados que nunca; un crecimiento exponencial en la pérdida de datos y la corrupción de datos", dijo Michael Ebert, especialista en cibernética de KPMG. Entre las empresas europeas, dijo, ha habido una "pérdida de propiedad intelectual que no se ha divulgado por completo".

Si bien los hospitales tienen una gran cantidad de información sobre pacientes, no pueden pagar el mismo nivel de protección que sectores como los servicios financieros, dijo Halamka, el ejecutivo de Beth Israel. Los hackers que buscan datos personales van a "ir a donde haya mucha información y no tan buena seguridad", dijo.

Leer comentarios ( )