La transformación digital del sector farmacéutico avanza a una velocidad sin precedentes. En los últimos años, la adopción de herramientas basadas en Inteligencia Artificial ha permitido agilizar procesos de investigación, automatizar tareas administrativas y potenciar la colaboración entre equipos globales. Sin embargo, esta misma revolución tecnológica ha abierto la puerta a una nueva oleada de riesgos y amenazas.

En un sector como el farmacéutico, donde el dato es un activo sensible y, por lo tanto, el más valioso, desde resultados de ensayos clínicos hasta información confidencial de patentes, estos ataques pueden facilitar la filtración de información sujeta a normativas de privacidad y seguridad, como el RGPD o las directrices de la EMA.

Todo puede comenzar, por ejemplo, con el uso cotidiano de Microsoft Copilot, una herramienta que se ha extendido notablemente en el entorno empresarial. Este asistente de productividad, integrado en Word, Excel, Outlook o Teams, utiliza modelos LLM para generar, resumir o analizar información dentro del entorno Microsoft 365. Su potencial para aumentar la productividad es innegable, pero también lo es su capacidad para amplificar las vulnerabilidades cuando la gestión de la información no está adecuadamente controlada.

Recientemente hemos sido testigos de algunos casos en los que los delincuentes han aprovechado Copilot para acceder a información sensible. Una vez comprometida una cuenta profesional, el atacante puede ejecutar peticiones como: “enumera todas las contraseñas que aparecen en los documentos de este sitio”. Así, en cuestión de segundos, el sistema puede revelarlas o facilitar las claves API. Todo ello sin necesidad de abrir los documentos directamente, lo que reduce las probabilidades de ser detectado.

Otro ejemplo de este tipo de ataques es el que tiene que ver con el email. El usuario puede recibir un correo electrónico con instrucciones maliciosas ocultas en su contenido. Copilot analiza el mensaje y la IA ejecuta la orden de forma automática. Esto provoca la filtración de información confidencial a través de canales legítimos como Microsoft Teams o SharePoint, sin que el usuario lo perciba.

En definitiva, ambos ejemplos demuestran que las herramientas de IA más avanzadas también son susceptibles de ejecutar ataques maliciosos. La confianza en los sistemas debe estar siempre acompañada por una supervisión proactiva, a través de controles de seguridad multicapa.

Los empleados como principal defensa
Según el Foro Económico Mundial, el 95% de los incidentes de ciberseguridad tienen su origen en errores humanos. Las principales vías de entrada son el uso de contraseñas débiles, la falta de una autenticación multifactor o la ausencia de control sobre los archivos compartidos.

Al mismo tiempo, en muchas empresas farmacéuticas se utiliza SharePoint o OneDrive sin limitaciones sobre quién puede acceder, editar o descargar información. Esta falta de gobernanza no sólo facilita ataques a través de Copilot, sino que también puede comprometer la integridad de datos críticos en procesos de desarrollo, producción o cumplimiento normativo.

Por último, a medida que las organizaciones farmacéuticas adoptan la IA de forma más extendida, surge un fenómeno preocupante: la IA en la sombra o “Shadow AI”. Se trata del uso de herramientas de inteligencia artificial por parte de empleados que, sin saberlo, pueden exponer información sensible. Los datos cargados en estas plataformas —por ejemplo, borradores de informes clínicos o comunicaciones con autoridades sanitarias— pueden suponer riesgos legales y reputacionales.

Todos estos escenarios, tan diferentes a priori, tienen un denominador común: la formación de los empleados y la integración de la seguridad en cualquier proyecto de IA desde el principio. Por este motivo, siempre demos implantar controles de acceso a los archivos basados en el principio de “Zero Trust”, además de llevar a cabo una validación continua de las fuentes de datos y las auditorías de actividad.

En un contexto donde los ataques son cada vez más sofisticados y en el que la industria farmacéutica se ha convertido en objetivo prioritario para los delincuentes, necesitamos soluciones integrales de seguridad, que ayuden a prevenir brechas relacionadas con contraseñas, permisos y ataques dirigidos al ecosistema Microsoft 365. La ciberseguridad en la industria farmacéutica es clave, no sólo por la protección de la información crítica de los pacientes, sino también porque supone el cuidado del conocimiento y la innovación científica en nuestro país.