El grupo de extorsión cibernética FulcrumSec afirma haber permanecido más de dos meses dentro de la red de Novo Nordisk y extraído al menos 1,3 terabytes de datos: código fuente, información propietaria sobre medicamentos, datos de ensayos clínicos y registros de empleados, médicos y pacientes. Tras exigir 25 millones de dólares de rescate y no cobrar, el grupo amenaza con vender o publicar los datos. Lo informa Reuters el 16 de junio con confirmación parcial de la farmacéutica danesa. Novo Nordisk, conocida mundialmente por Wegovy y Ozempic, reconoció conocer las afirmaciones y aseguró que sus plataformas principales seguían operativas, sin ofrecer detalles sobre el alcance.El modus operandi de FulcrumSecFulcrumSec emergió en octubre de 2025 como grupo de hack-and-leak: acceden silenciosamente, roban datos y amenazan con publicarlos si no hay pago. A diferencia del ransomware clásico, no cifran los sistemas de la víctima ni interrumpen su operación inmediata, lo que les permite pasar más tiempo dentro de la red sin ser detectados.Según el grupo, el acceso a Novo Nordisk se produjo en marzo de 2026 y duró más de dos meses. El 1 de junio enviaron a ejecutivos de la empresa una lista de más de 700.000 archivos como prueba. La farmacéutica respondió 48 horas después usando una dirección aleatoria de Proton Mail, proceso que FulcrumSec describe como verificación de la identidad de la empresa.Los datos robados incluyen, según el grupo: código fuente, información propietaria sobre medicamentos ya comercializados y en desarrollo, datos de ensayos clínicos, información de empleados y médicos, datos operativos de instalaciones de producción, información de sistemas de control industrial, y datos internos de modelos de IA propios. El grupo anunció que no publicaría los registros de 11.500 pacientes pseudonimizados de ensayos clínicos ni los datos de infraestructura crítica de producción, como parte de su declarada «estrategia de reducción de daños».Thomas Willkan, jefe de investigación en la firma Lab-1, que ha rastreado a FulcrumSec, dijo a Reuters que el grupo es «bastante legítimo tanto en capacidades como en afirmaciones». La ola de brechas que afectó a empresas europeas en 2026 muestra el mismo patrón de extorsión y filtración selectiva: los atacantes gestionan la información robada como un activo negociable, no como un botín para publicar inmediatamente.Por qué las farmacéuticas son objetivos de alto valorNovo Nordisk gestiona el escalado más rápido de producción en la historia de la industria farmacéutica —la demanda global de Wegovy y Ozempic excede su capacidad actual— y eso convierte cualquier dato sobre sus instalaciones, proveedores y procesos en información con valor estratégico que va mucho más allá del precio de mercado negro habitual.El elemento más preocupante son los datos de modelos de IA internos que FulcrumSec afirma haber robado. Las farmacéuticas han invertido en IA generativa para acelerar el descubrimiento de fármacos y optimizar ensayos clínicos; esos modelos pueden representar años de ventaja competitiva acumulada.Matt Kimpel, CISO de Magna5, resumió el problema estructural en declaraciones a GovInfoSecurity: «Los incidentes ya no son ransomware puro ni robo de datos puro. La extorsión y el robo de propiedad intelectual se combinan de forma rutinaria.» La permanencia de más de dos meses sin detección —el llamado «dwell time»— es la métrica más reveladora: significa que los sistemas de defensa perimetral están ahí pero el monitoreo de comportamientos anómalos internos no es suficiente.Los ataques con herramientas de IA generativa que automatizaron el compromiso de nueve agencias del gobierno de México en 2026 ilustran cómo actores con recursos limitados pueden amplificar su capacidad operativa usando IA comercial. FulcrumSec puede no estar usando IA directamente, pero las herramientas como WormGPT han reducido la barrera de entrada para ataques de ingeniería social sofisticados que son el primer paso en este tipo de intrusiones.Mi valoraciónLo que más me convence del análisis de este caso es el tiempo de permanencia. Más de dos meses dentro de la red de una farmacéutica de primer nivel sin ser detectado no es un fallo puntual: es una señal de que los programas de detección y respuesta a intrusiones tienen un gap estructural entre la detección perimetral y el monitoreo interno.Lo que más me preocupa son los datos de modelos de IA. Si el robo incluye datos de entrenamiento y arquitecturas de modelos desarrollados internamente, el daño no se remedia con parches ni cambios de contraseña. La ventaja competitiva que representan esos modelos puede tardar años en recuperarse.Lo más estructuralmente significativo es la «estrategia de reducción de daños» del atacante. Que FulcrumSec decida públicamente qué datos no va a publicar —los de pacientes y los de infraestructura crítica— muestra una sofisticación que maximiza el daño reputacional mientras minimiza el riesgo legal y de represalias.La pregunta a 12 meses no es si Novo Nordisk pagará sino qué datos terminarán publicados. Mi predicción: habrá filtración parcial de datos de menor sensibilidad como demostración, y los datos de mayor valor (modelos de IA, fórmulas en desarrollo) se venderán en canales privados.Preguntas frecuentes¿Qué es FulcrumSec y cómo opera?FulcrumSec es un grupo de hack-and-leak que surgió en octubre de 2025. En lugar de cifrar sistemas para cobrar por la clave (ransomware clásico), se infiltran silenciosamente, roban datos y amenazan con publicarlos si no se paga. Este modelo es más difícil de detectar porque no interrumpe la operación inmediata, lo que les permite permanecer meses dentro de la red acumulando información.¿Están en riesgo los pacientes de Novo Nordisk?Los datos de pacientes en ensayos clínicos estaban pseudonimizados: vinculados a identificadores en lugar de nombres directos. FulcrumSec anunció que no publicará esos registros (11.500 pacientes) como parte de su política declarada. La pseudonimización reduce pero no elimina el riesgo: con acceso a bases de datos auxiliares, la reidentificación puede ser posible en algunos casos.¿Por qué las farmacéuticas son objetivos tan atractivos?Por la combinación de propiedad intelectual de altísimo valor (fórmulas, datos de ensayos, modelos de IA) con presión para no reconocer brechas públicamente por razones regulatorias y de confianza del consumidor. Además, los datos de pacientes generan obligaciones legales de notificación que el atacante puede usar como segunda palanca de presión.La noticia FulcrumSec roba 1,3 TB a Novo Nordisk, pide 25 millones y los publica al no cobrar fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.