Sede de la Aemps. 4u3zz
Cuando ocurre un ciberataque sonado, la primera pregunta que se trata de responder desde la opinión pública es: ¿qué daños ha causado?
Es decir, se trata de cuantificar las consecuencias de lo ocurrido, en algún tipo de magnitud, desde cuántas personas han visto comprometidos sus datos personales hasta cuánto ha impactado (si es que lo ha hecho) en el negocio.
Se trata de una respuesta totalmente comprensible, especialmente si hablamos de empresas incluidas en los sectores considerados como críticos, según la reciente Ley de Ciberseguridad.
Pero, en el fondo, esta concepción carece de respuestas fundamentales que puedan ayudar a una industria a mejorar.
Las preguntas que de verdad deberíamos plantearnos son: ¿no sería más inteligente anticiparse, en lugar de reaccionar solo cuando un ciberataque tiene éxito? ¿No será mejor prevenir que curar?
Esta reflexión me parece de vital importancia en estos momentos, especialmente tras el reciente ciberataque sufrido la semana pasada por la Agencia Española de Medicamentos y Productos Sanitarios (AEMPS).
No hay duda de que ha sido un nuevo aviso, claro y contundente, acerca de la creciente vulnerabilidad del ecosistema farmacéutico (del sanitario, si se prefiere) frente a las incipientes amenazas digitales.
Ha sido un nuevo aviso, claro y contundente, acerca de la creciente vulnerabilidad del ecosistema farmacéutico.
Porque, a pesar de que sus servicios no tardaron mucho en volver a ser restaurados (lo cual es muy positivo), el incidente ha puesto en pausa trámites esenciales, afectando no solo a la industria sino también a pacientes y profesionales sanitarios.
Un dato para ilustrarlo: según Check Point, el sector sanitario es ya el tercero que más ciberataques sufre a nivel mundial, con un incremento del 47% solo en 2024.
Estos ataques tienen el potencial de paralizar la producción de fármacos, filtrar datos personales de pacientes o interrumpir ensayos clínicos.
En el caso de una agencia reguladora como la AEMPS, hablamos de un repositorio crítico de autorizaciones, expedientes confidenciales, procesos de vigilancia y trazabilidad de medicamentos. Creo que no cabe duda de que su seguridad es una cuestión de salud pública.
El incidente coincide, además, con el debate político sobre la inversión en defensa y seguridad digital. Desde 2021, el Gobierno ha incrementado la dotación para ciberseguridad sanitaria, pero como ha demostrado el caso AEMPS, los riesgos evolucionan más rápido que las inversiones.
Por eso, se requiere no solo más presupuesto, sino también un cambio cultural que sitúe la ciberseguridad al nivel estratégico que merece. Especialmente, porque a estas alturas podemos asegurar sin temor a equivocarnos que los próximos conflictos bélicos (y alguno que otro presente) serán prácticamente ciberguerras.
Los riesgos evolucionan más rápido que las inversiones.
A todo ello se suma el impacto de la inteligencia artificial, cada vez más presente en diagnóstico, desarrollo de fármacos o atención al cliente.
No deja de ser paradójico que un 24% de las empresas (en general) ya esté utilizando IA para tareas relacionadas con la privacidad... pero que este avance tecnológico no se vea traducido en una serie de principios éticos y de diseño con la privacidad por bandera.
En el sector farmacéutico, donde los datos tratados pueden incluir información genética o historial clínico sensible, esto resulta especialmente crítico.
Ante este panorama, la pregunta ya no es si el sector está expuesto, sino si está preparado. Y la respuesta, lamentablemente, sigue siendo negativa en demasiados casos.
La mayoría de las organizaciones farmacéuticas en España carece de estrategias integrales de ciberseguridad. A menudo, las medidas se limitan a cumplir con la ley, sin anticiparse a escenarios disruptivos o sin integrar la ciberseguridad en el ciclo completo de desarrollo, aprobación y comercialización de un medicamento.
Quizás, la mejor noticia en este escenario es que la conciencia sobre estos riesgos está creciendo. El incidente de la AEMPS ha vuelto a situar a la ciberseguridad en la palestra del debate público y político. Y hay oportunidades concretas que pueden y deben aprovecharse.
Necesitamos más expertos altamente capacitados en privacidad, auditoría, ética digital y ciberseguridad.
En primer lugar, la formación y certificación profesional: necesitamos más expertos altamente capacitados en privacidad, auditoría, ética digital y ciberseguridad aplicada a entornos regulados.
En segundo lugar, la evaluación continua de riesgos. Porque no basta con una auditoría anual; se requiere una monitorización continua y un análisis de impacto específico para entornos como el farmacéutico.
Algo que está relacionado con la tercera oportunidad: la gobernanza transversal. La ciberseguridad no es (o no debería ser) competencia exclusiva del departamento de TI. Debe estar presente en el comité de dirección y en el plan estratégico de la organización.
Sobre todo, porque los ciberataques seguirán aumentando en sofisticación, frecuencia e impacto en los próximos años. Lo que está en juego no es solo la confidencialidad de los datos, sino la seguridad de los tratamientos, la confianza en el sistema y, en última instancia, la salud de millones de personas.
Hoy, más que nunca, proteger el sector farmacéutico es proteger una parte esencial de una infraestructura crítica. El momento de actuar es ahora.
***Chris Dimitriadis es director de Estrategia Global de ISACA.