site-logo
site-logo
site-logo
Informes-Shieldworkz

Informe

Incidente cibernético de Novo Nordisk

¡No es necesario registrarse!

Dentro de la brecha de Novo Nordisk: hechos confirmados frente a las afirmaciones de los actores de amenazas

El 11 de junio de 2026, Novo Nordisk confirmó que atacantes habían accedido a un número limitado de sistemas de TI internos y copiado datos no públicos externamente, incluidos registros de ensayos clínicos seudonimizados y detalles de contacto de profesionales de la salud. Días después, un grupo de extorsión que se hace llamar FulcrumSec reclamó un botín mucho mayor en su sitio de filtraciones, aproximadamente 1.3 terabytes en más de 700,000 archivos, que abarcaban código fuente, datos de compuestos de medicamentos y modelos de IA/ML utilizados en el descubrimiento de fármacos.


A pesar de todo esto, un hecho se mantuvo al margen: la manufactura nunca se detuvo. La planta de Kalundborg, el sitio de producción de insulina más grande del mundo, siguió funcionando. La distribución siguió moviéndose. Esa es la parte de este incidente que toda organización que dependa de OT debería estudiar de cerca, porque demuestra lo que un límite de IT/OT bien segmentado puede ofrecer bajo una presión real.


Shieldworkz desarrolló un análisis completo de incidentes de la brecha de Novo Nordisk que hace lo que la mayoría de las coberturas de brechas omiten: separa lo confirmado de lo que es meramente afirmado, en cada etapa, y explica lo que ambos significan si eres responsable de una planta, una red eléctrica, una tubería o cualquier entorno donde el tiempo de inactividad no es una opción.

Por qué este informe importa

La mayoría de las coberturas de brechas de seguridad se limitan a preguntar: «¿fue hackeada la empresa?». Esa no es la pregunta que le importa a quien tiene la responsabilidad de una planta, una red eléctrica o una línea de producción. La pregunta real es más precisa: ¿hubo algo en este incidente que afectara a los sistemas, datos o credenciales conectados a las operaciones físicas? Y si no fue así esta vez, ¿qué habría hecho falta para que ocurriera? Las declaraciones confirmadas de Novo Nordisk responden a parte de eso. Las afirmaciones de los actores de amenazas completan el resto, y la brecha entre ambas es exactamente donde se encuentran las verdaderas lecciones.

La exposición confirmada ya es grave. Novo Nordisk ha confirmado el acceso no autorizado y que se copiaron externamente datos seudonimizados de ensayos clínicos y registros identificables de profesionales de la salud, lo cual es suficiente por sí solo para activar la notificación regulatoria y poner en riesgo la confianza de los pacientes y los proveedores.

La exposición alegada es un orden de magnitud mayor y no está verificada. FulcrumSec alega tener aproximadamente 1.3 terabytes en más de 700,000 archivos, incluidos códigos fuente, registros compuestos y modelos de IA/ML. Un segundo actor, no corroborado, ha alegado una intrusión independiente con su propia exigencia de rescate. Ninguna de las dos afirmaciones ha sido confirmada forensemente.

Una línea en las afirmaciones de los atacantes merece atención de OT. FulcrumSec ha hecho referencia a datos relacionados con "tecnología operativa y software utilizado para interactuar con sensores y equipos". No está confirmado y no describe un acceso a sistemas de control en tiempo real, pero señala un riesgo estructural: los planos de ingeniería y el código de interfaz de sensores suelen guardarse en la TI corporativa ordinaria, simplemente porque ahí es donde los ingenieros guardan su trabajo.

La extorsión sin cifrado es el modelo aplicable aquí, no la excepción. No se ha confirmado ni se ha reclamado ningún cifrado de archivos o carga útil destructiva por parte de ninguno de los actores. Esto es robo de datos y presión pública, un modelo de amenaza diferente al de la mayoría de los planes de respuesta a incidentes en los que están basados.

Los actores identificados y las técnicas mapeadas brindan a los defensores información práctica sobre la cual actuar. Se identifican los actores de amenazas, se mapean sus TTP declaradas a MITRE ATT&CK y se documentan sus objetivos, lo cual resulta útil para cualquier sector que ejecute I+D clínica, datos de procesos patentados o canales de ingeniería impulsados por IA.

Por qué debería descargar este informe

Esto no es un comunicado de prensa reciclado con el logotipo de un actor de amenazas pegado arriba. Se gana la lectura por razones específicas:

Rastrea el supuesto punto de acceso inicial: credenciales de la nube y del control de código fuente que supuestamente estaban incrustadas en el JavaScript del lado del cliente en subdominios de staging olvidados, un punto ciego que la mayoría de las herramientas de escaneo de secretos pasan por alto.

Asocia la supuesta cadena de ataque con MITRE ATT&CK: lo que brinda a los equipos de detección una hipótesis comprobable, con cada paso etiquetado honestamente como supuesto, no confirmado.

Separa los hechos confirmados de las afirmaciones del actor de amenazas en cada etapa: para que nada se informe a una junta directiva o regulador como resuelto cuando no es así.

Dedica una sección completa al único reclamo adyacente a OT: en este incidente, explicando detalladamente por qué merece escrutinio en lugar de pánico o desestimación.

Concluye con una hoja de ruta defensiva secuenciada: desde los próximos 30 días hasta más de 9 meses, que cubre la higiene de secretos, la gestión de accesos y la gobernanza de TI/OT a largo plazo.

Conclusiones clave del informe

Esta fue una filtración confirmada de confidencialidad de datos, no un incidente confirmado de ransomware u OT/ICS. Novo Nordisk confirmó la exposición de datos de ensayos clínicos y profesionales de la salud (HCP), y declaró que la fabricación y la distribución no se vieron afectadas.

El alcance reclamado es significativamente más amplio que el alcance confirmado. El código fuente, los datos compuestos y los modelos de IA figuran con fuerza en las reclamaciones, pero siguen sin verificarse.

La extorsión por robo de datos sin cifrado es ahora una táctica dominante. Los planes de respuesta diseñados únicamente bajo la premisa de "los sistemas se cifran, restaurar desde la copia de seguridad" no cubren este modelo de amenaza.

Los secretos en el código del lado del cliente en subdominios olvidados son un verdadero punto ciego. Los dominios de producción se monitorean; el entorno de pruebas creado hace dieciocho meses normalmente no.

Los activos de IA y ML ahora son objetivos considerados la joya de la corona. Los pesos del modelo, los datos de entrenamiento y la infraestructura de tuberías se tratan como equivalentes, o incluso más valiosos que, los datos clínicos y de compuestos.

La continuidad operativa y la confidencialidad de los datos no representan el mismo riesgo. Novo Nordisk tuvo una brecha de confidencialidad muy grave y, al mismo tiempo, un incidente sin afectación a nivel operativo. Tratar el hecho de que "la producción nunca se detuvo" como una prueba de que "estamos bien" es un error que su registro de riesgos no debería cometer.

Cómo apoya Shieldworkz su camino hacia la ciberresiliencia de TO

Leer un reporte de incidentes detallado es útil. Saber si la misma brecha existe en su propio entorno es lo que realmente cambia su postura de riesgo, y ahí es donde entra Shieldworkz.

Shieldworkz protege los sistemas industriales que mantienen en funcionamiento las plantas, las redes eléctricas y la infraestructura crítica. Nuestra metodología OThello Assess ofrece evaluaciones completas de seguridad de OT en menos de 24 horas, para que obtenga una respuesta real, no una suposición, sobre si su límite de IT/OT se mantiene de la manera que usted cree.

Más allá de las evaluaciones, nuestro equipo ofrece programas de cumplimiento de NIS2 e IEC 62443, Centros de Operaciones de Seguridad de OT con personal completo, avisos de inteligencia de amenazas adaptados a cada sector y compromisos de preparación regulatoria en NERC CIP, SOCI, Saudi OTCC/ECC y la Ley de Ciberseguridad de Singapur, respaldados por una de las operaciones de inteligencia de amenazas de OT e IoT más grandes del mundo.

Conozca la brecha entre lo confirmado y lo declarado, obtenga el análisis completo

El Análisis de Incidentes de Novo Nordisk de Shieldworkz está disponible para su descarga sin costo para los operadores industriales y los tomadores de decisiones de seguridad, y abarca la cronología confirmada, la cadena de ataque alegada, el mapeo de ATT&CK, la evaluación completa del impacto empresarial y una hoja de ruta defensiva secuenciada desde los próximos 30 días hasta el próximo año.

Descargue el reporte (no se requiere registro). También tendrá la opción de programar una consulta de 30 minutos sin compromiso con un especialista en seguridad de TO de Shieldworkz, donde podremos analizar los hallazgos del reporte en función de su sector específico, infraestructura y postura de seguridad actual.

Traiga sus propias preguntas a la conversación: ¿Dónde residen realmente sus datos relevantes de TO? ¿Quién podría acceder a ellos a partir de un compromiso de TI ordinario? ¿Funcionaría su segmentación de la misma manera que parece haber funcionado la de Novo Nordisk?

Para comprender de qué manera la brecha confirmada de Novo Nordisk y las afirmaciones no verificadas adyacentes a OT podrían afectar a su entorno, reserve hoy mismo una sesión informativa sobre inteligencia de amenazas con nuestros expertos.