Imagínate que, de un día para otro, pierdes el acceso a todo lo que mantiene tu trabajo en pie: protocolos internos, contratos, archivos confidenciales, incluso los datos de tu equipo. Eso fue exactamente lo que vivió la compañía estadounidense Inotiv hace unas semanas, tras un ataque de ransomware a la farmacéutica detectado el 8 de agosto de 2025 y comunicado públicamente el día 20. No hablamos solo de sistemas bloqueados o archivos cifrados —que ya es grave—, sino de más de 160.000 documentos sensibles robados. Documentos que eran, en esencia, el esqueleto operativo de la empresa.
El ataque fue obra del grupo Qilin, uno de esos nombres que aparecen cada vez más en el radar de la ciberseguridad sanitaria. ¿Y sabes qué es lo más inquietante? Que, aunque este caso ocurriera en una gran farmacéutica al otro lado del mundo, su lección nos toca muy de cerca. Porque aquí el problema no fue el tamaño de la empresa, sino algo mucho más común: un fallo técnico, una configuración errónea… y la puerta quedó abierta. Y cuando eso pasa, lo que hay dentro ya no es tuyo.
¿Qué se sabe —de verdad— sobre el ataque ransomware a la farmacéutica Inotiv?
El ransomware golpeó a Inotiv el 8 de agosto de 2025, pero el mundo no lo supo hasta casi dos semanas después, cuando la farmacéutica lo notificó oficialmente a la SEC (U.S. Securities and Exchange Commission) el 20 de agosto. ¿Qué pasó en esos doce días de silencio? La empresa activó a sus equipos internos y a expertos externos para contener la amenaza, entender hasta dónde había llegado el daño y preparar una respuesta pública sin margen de error.
Lo que encontraron no fue cualquier cosa: el grupo Qilin no solo bloqueó sistemas, sino que se llevó unos 176 GB de información crítica. Estamos hablando de contratos con socios, protocolos de laboratorio, datos de empleados y documentos que mostraban, sin filtros, cómo operaba la organización por dentro. Una exposición quirúrgica, que no solo afecta a lo técnico, sino a la confianza misma sobre la que se construyen las relaciones en salud..
Posibles estafas con la documentación robada
Ahora imagina esto: los atacantes no solo tienen archivos, tienen contratos reales, órdenes de compra firmadas, facturas con logotipos auténticos y hasta plantillas internas con firmas digitales. No necesitan falsificar nada. Solo copiar, pegar y reenviar. El resultado: fraudes tan bien armados que podrían engañar a cualquiera.
Estafa a farmacias o distribuidores
Piensa en una farmacia o un distribuidor que recibe una factura aparentemente legítima. Mismo diseño, misma numeración, mismos datos. Todo igual… excepto por un detalle clave: el número de cuenta donde piden hacer la transferencia ya no pertenece a la farmacéutica, sino a los delincuentes.
Estafa a clínicas u hospitales
Otra jugada habitual: contactar a clínicas u hospitales con un correo que parece de rutina. ¿Un nuevo contrato? ¿Una actualización de precios? ¿Un pedido de reposición? Si va acompañado de un documento real —con encabezados oficiales, datos internos y un lenguaje que suena familiar— el engaño se cuela sin levantar sospechas, incluso entre profesionales con experiencia.
Phishing disfrazado de comunicación oficial
Y por supuesto, están los correos de phishing con apariencia impecable. Cuando tienes acceso a correos reales, firmas, plantillas y estilos de comunicación interna, crear un mensaje creíble ya no es cuestión de habilidad… es solo cuestión de tiempo.
Cuando los atacantes tienen en sus manos documentos reales, cada pieza robada se convierte en un disfraz perfecto. Y cuanto más realista es el disfraz, más fácil es que alguien baje la guardia.
¿Dónde estuvo el fallo en el ataque a Inotiv?
El único hecho confirmado hasta ahora es este: un actor no autorizado logró acceder a los sistemas de Inotiv y cifró una parte de su infraestructura. Como ya lo había comentado antes, la farmacéutica lo notificó a la SEC y, desde entonces, activaron su estrategia de continuidad, recurriendo a procesos offline y restringiendo el acceso a varias áreas internas para evitar una propagación mayor.
Pero el cómo sigue sin esclarecerse. No se ha dicho si fue phishing, una vulnerabilidad abierta o credenciales comprometidas lo que abrió la puerta. Tampoco está claro si el cifrado parcial fue una cuestión de suerte, o si las redes estaban bien segmentadas. Sabemos que hubo interrupciones en sus sistemas internos, redes y aplicaciones críticas… pero no qué falló exactamente.
Mientras la investigación continúa, hay una pregunta que cualquier organización sanitaria debería hacerse:
¿Tus sistemas críticos están lo suficientemente aislados como para resistir un ataque parcial… o basta con que caiga uno para que caigan todos?
Pensar que a tu clínica no le va a pasar es la vulnerabilidad más aprovechada por los atacantes.
Cuando oímos que una gran farmacéutica ha sido atacada, el pensamiento automático suele ser: “eso está muy lejos de mi realidad”. Pero lo cierto es que lo que ocurrió allí es solo una versión a gran escala de lo que podría pasar en cualquier clínica más pequeña. La diferencia es de presupuesto y volumen, no de información.
Porque en una clínica, los datos no son menos sensibles. Al contrario: historiales clínicos, informes de laboratorio, radiografías, facturación a aseguradoras, datos de contacto de pacientes… Todo eso tiene un valor enorme para quien sabe cómo explotarlo. Y muchas veces, ese valor está más expuesto porque los recursos para protegerlo son menores y la urgencia del día a día deja poco tiempo para pensar en ciberseguridad.
Si en Inotiv los ciberdelincuentes cifraron sistemas y robaron contratos, en una clínica el equivalente sería:
- Expedientes de pacientes
- Informes de diagnóstico
- Correos con proveedores
- Sistemas de facturación
Y con eso en sus manos, los fraudes, estafas y chantajes que vimos antes podrían ejecutarse igual… solo que esta vez, el impacto lo sentirías tú, tu equipo y tus pacientes.
Tres preguntas que vale la pena hacerse hoy mismo
- ¿Sabes qué tipo de información clínica sería más valiosa para un atacante si entrara a tus sistemas?
- ¿Tienes claro qué sistemas seguirían funcionando si tuvieras que apagar todo por un incidente?
- ¿Hay alguien en tu equipo que sabría cómo actuar si un archivo con un logo familiar resulta ser falso?
Si alguna de estas respuestas te genera duda… es el momento perfecto para actuar. Con calma, pero sin dejarlo para después.
Cómo puedes proteger tu clínica de un ataque ransomware similar al de esta farmacéutica
Cuando hablamos de ransomware, no se trata conceptos de ciberseguridad lejanos a tu clínica. Se trata de algo mucho más concreto: entender qué pasos sencillos pueden marcar la diferencia en el día a día de una clínica.
1. Contraseñas: el candado más básico
Empezamos por lo más simple. Si aún tienes equipos con claves como “admin123” o con la que venía de fábrica… tienes una puerta abierta. No se trata de complicarse, sino de usar contraseñas únicas para cada acceso, y añadir —siempre que se pueda— un segundo factor, como un código que llegue al móvil.
2. Actualizaciones: no son caprichos
Muchas veces se piensa: “si funciona, mejor no tocarlo”. Pero esas actualizaciones que aparecen de vez en cuando están ahí por algo: corrigen errores que los atacantes ya conocen y buscan explotar. Si no las instalas, los dejas pasar.
3. Copias de seguridad: aisladas, no solo guardadas
Hacer copias es importante, sí. Pero tener una copia fuera de línea, desconectada de la red, es lo que marca la diferencia. Porque si el ransomware entra y las copias están en el mismo sistema… se cifran también. Una copia aislada puede parecer un detalle, pero es lo que te permite volver a empezar sin tener que pagar ni negociar.
4. Formación: no todo depende de TI
No hace falta que todos sean expertos, pero sí que el personal sepa identificar un correo raro, un archivo sospechoso o cuándo avisar. En muchas clínicas, el primer clic equivocado no viene del técnico, sino de alguien en recepción o en administración. Y con un clic basta para que empiece todo.
Esterilización digital: para evitar infección por ciberataque
Proteger tu clínica frente al ransomware se parece mucho a esterilizar el instrumental antes de una intervención. Puede parecer exagerado… hasta que un día no lo haces. Nadie reutiliza material sin esterilizar porque el riesgo es evidente. Pues con la ciberseguridad pasa lo mismo: las contraseñas, las copias, las actualizaciones… son esa esterilización digital que no se nota, pero que evita infecciones digitales con consecuencias reales.
La Directiva NIS2 no es casualidad: la Comisión Europea reconoce oficialmente el riesgo para clínicas y hospitales
El caso de Inotiv es un aviso. No solo para farmacéuticas, sino para cualquier centro de salud. Tus datos también son valiosos. Y la Directiva NIS2, vigente desde 2023, lo deja claro: si eres una clínica en Europa, tienes la obligación de formar a tu personal, reforzar tus sistemas y seguir protocolos, igual que sigues normas de higiene clínica.
Porque una infección digital también puede paralizar tu actividad, poner en riesgo a tus pacientes y dañar tu reputación.
Y si algo te gustaría recordar de todo esto, que sea esto:
La ciberseguridad no es un lujo. Es una rutina invisible que solo se nota cuando falta.
Cierra bien las puertas. Y también los puertos. Ciberprotégete.
Si te interesa saber cómo podría afectar a tu clínica no tener al personal formado para prevenir ataques, te recomiendo leer el siguiente artículo de mi blog.
