El grupo de hackers afirma haber violado Novo Nordisk y exigió $25 millones.

      Un grupo de ciberextorsión que se hace llamar FulcrumSec dijo el lunes que había robado aproximadamente 1.3 terabytes de datos de Novo Nordisk, el fabricante danés de los medicamentos para la pérdida de peso Wegovy y Ozempic, y había exigido 25 millones de dólares para mantenerlo en privado. Novo Nordisk no pagó. El grupo, según su propio relato, ahora está buscando compradores.

      Los números en una violación como esta son fáciles de recitar y difíciles de sentir. Un terabyte y un tercio son muchos archivos; la cifra más reveladora es el tiempo. FulcrumSec afirma que pasó más de dos meses dentro de las redes de la empresa antes de que alguien lo sacara, que es la parte de la historia que debería preocupar más a una junta que la nota de rescate. Dos meses no es un golpe y fuga.

      Lo que el grupo dice que tomó se lee como un índice de todo lo que una empresa farmacéutica menos querría perder: código fuente, información propietaria sobre medicamentos tanto lanzados como no lanzados, datos de ensayos clínicos, registros de empleados, médicos y pacientes, detalles de instalaciones de fabricación, y material que el grupo describió como relacionado con los modelos de IA internos de la empresa.

      La amplitud es el punto. Esto no fue una sola base de datos dejada expuesta, sino, según el relato de FulcrumSec, un largo recorrido por el edificio.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Suscríbete ahora! Novo Nordisk confirmó que había detectado acceso no autorizado a ciertos sistemas internos de TI y dijo que estaba respondiendo al incidente. La empresa no ha corroborado el volumen de datos que el grupo afirma, ni ha verificado de forma independiente las categorías específicas de material robado, y en el momento de escribir esto, los detalles descansan en gran medida en las propias declaraciones de FulcrumSec.

      Después de que la empresa rechazara la demanda, el grupo dijo que estaba explorando ventas privadas de algunos de los datos, incluido material relacionado con medicamentos particulares.

      FulcrumSec es un nombre relativamente nuevo. Surgió en octubre de 2025 y desde entonces ha seguido el ahora estándar libro de jugadas de los equipos de doble extorsión: entrar, exfiltrar en silencio, luego amenazar con la publicación en lugar de molestarse en cifrar.

      El modelo funciona porque los datos robados de atención médica e investigación tienen un valor duradero en los mercados criminales, útiles para el fraude, el robo de identidad y el phishing dirigido mucho después del robo inicial, una dinámica que TNW ha rastreado a través de una serie de violaciones en el sector de la salud.

      La negativa a pagar es la apuesta que la mayoría de los profesionales de seguridad aconsejarían y la que garantiza la siguiente fase. Pagar financia el próximo ataque y no ofrece ninguna garantía real de que los datos serán eliminados; negarse significa que el material probablemente se filtrará o se venderá.

      La cuestión de si prohibir los pagos de rescate por completo es una pregunta que ha dividido a la industria de la ciberseguridad durante años, y casos como este son exactamente la razón.

      Por ahora, Novo Nordisk se encuentra en la incómoda posición de haber tomado la decisión defendible y aún enfrentar las consecuencias. El rescate fue rechazado. Los datos, si FulcrumSec está diciendo la verdad, están en el mercado.