Atacs a la cadena de subministrament digital en assaigs clínics

De Eduard Bardaji el 10.9.2025

ataques-cadena-suministro-digital

La digitalització dels assaigs clínics ha transformat la recerca biomèdica, facilitant la recopilació i anàlisi de dades, així com la col·laboració entre múltiples actors. Tanmateix, aquesta interconnexió ha incrementat l’exposició a ciberatacs, especialment aquells dirigits a la cadena de subministrament digital. Aquests atacs no només comprometen la integritat de les dades, sinó que també posen en risc la seguretat dels pacients i la reputació de les institucions implicades.

Què és la cadena de subministrament digital en assaigs clínics?

La cadena de subministrament digital en assaigs clínics inclou tots els sistemes, plataformes i serveis tecnològics que participen en la gestió, emmagatzematge i anàlisi de dades clíniques. Entre els seus components s’inclouen:

  • Plataformes de captura de dades electròniques (EDC): eines utilitzades per recopilar i gestionar dades dels assaigs clínics.

  • Sistemes de gestió d’assaigs clínics (CTMS): plataformes que coordinen i supervisen el progrés dels assaigs.

  • Sistemes de gestió de dades de laboratori (LIMS): programari que gestiona la informació generada als laboratoris durant els assaigs.

  • Infraestructures al núvol: serveis que emmagatzemen i processen grans volums de dades clíniques.

  • Dispositius mèdics connectats i IoT: equips que recullen dades en temps real dels pacients durant els assaigs.

La interconnexió d’aquests sistemes crea múltiples punts d’entrada per a possibles atacants. Un compromís en qualsevol enllaç de la cadena pot generar efectes en cascada, afectant la integritat de les dades i la continuïtat de l’assaig clínic.

Nueva llamada a la acción

Panorama actual dels atacs a la cadena de subministrament digital

Segons l’informe de SecurityScorecard de 2025, més del 70 % de les organitzacions van experimentar almenys un incident cibernètic significatiu relacionat amb tercers l’any passat. A més, menys de la meitat de les organitzacions monitoritzen més del 50 % de la seva cadena de subministrament estesa per detectar amenaces cibernètiques.

En l’àmbit de la salut, la FDA ha alertat sobre els riscos per a la salut pública derivats d’una ciberseguretat deficient en la fabricació de productes mèdics, instaurant la necessitat d’establir estàndards més estrictes.

Casos rellevants

  • Atac a Miljödata (Suècia, 2025): un atac de ransomware a un proveïdor de sistemes TI va afectar aproximadament 200 municipis i governs regionals a Suècia, interrompent serveis crítics i comprometent dades personals.

  • Filtració de dades mèdiques a l’Argentina (2025): el hackeig a Informe Médico va exposar més de 665,000 estudis mèdics, destacant la vulnerabilitat dels sistemes de gestió de dades en el sector salut.

Tipus d’atacs a la cadena de subministrament digital en assaigs clínics

Ransomware

Els atacs de ransomware poden paralitzar les plataformes EDC i CTMS, interrompent la recopilació i l’anàlisi de dades. Durant el 2025 s’ha observat un augment en la sofisticació d’aquests atacs, dirigits específicament a proveïdors de serveis al núvol utilitzats en assaigs clínics.

Nueva llamada a la acción

Phishing i suplantació d'identitat

Els atacants utilitzen tècniques d’enginyeria social per enganyar els empleats dels assaigs clínics, obtenint accés a sistemes crítics. Aquestes tàctiques s’han tornat més sofisticades, fent servir intel·ligència artificial per crear comunicacions falses que imiten patrocinadors o autoritats reguladores.

Nueva llamada a la acción

Compromís de dispositius mèdics connectats

Els dispositius IoT utilitzats en assaigs clínics poden ser explotats per accedir a dades sensibles. La manca d’actualitzacions de seguretat i la connectivitat constant augmenten la seva vulnerabilitat als atacs cibernètics.

Manipulació de dades en trànsit

Els atacants poden interceptar i modificar dades durant la seva transmissió entre sistemes, comprometent la integritat dels resultats de l’assaig i, potencialment, afectant la seguretat dels pacients.

Conseqüències dels atacs a la cadena de subministrament digital

Impacte en la integritat de les dades

L’alteració o pèrdua de dades pot invalidar els resultats d’un assaig clínic, retardant-ne el progrés i afectant l’aprovació de nous tractaments per part de les autoritats reguladores.

Riscos per a la seguretat dels pacients

L’exposició de dades personals sensibles pot posar en risc la privacitat dels pacients i, en casos extrems, la seva seguretat física si les dades s’utilitzen de manera malintencionada.

Dany reputacional i financer

Les organitzacions afectades per ciberatacs s’enfronten a sancions regulatòries, pèrdua de confiança per part dels pacients i patrocinadors, i costos associats a la recuperació de sistemes i dades.

Estratègies de mitigació i protecció

Implementació d’arquitectura Zero Trust

Adoptar un model de seguretat Zero Trust, que assumeix que cap entitat, interna o externa, és de confiança per defecte, pot ajudar a protegir els sistemes crítics dels assaigs clínics. Aquest enfocament inclou la verificació contínua d’identitat i la segmentació de xarxes.

Gestió de riscos de tercers (TPRM)

Avaluar i monitoritzar contínuament la seguretat dels proveïdors és essencial. Eines com Censinet RiskOps™ permeten realitzar avaluacions de riscos i monitoratge en temps real dels proveïdors.

Xifrat de dades i autenticació multifactor

Implementar xifrat d’extrem a extrem per protegir les dades en trànsit i en repòs, juntament amb autenticació multifactor, pot reduir significativament el risc d’accessos no autoritzats.

Formació i conscienciació del personal

Capacitar els empleats en pràctiques de ciberseguretat i realitzar simulacres d’atacs pot millorar la resposta davant incidents i reduir el risc d’errors humans.

Els atacs a la cadena de subministrament digital en assaigs clínics representen una amenaça significativa per a la integritat de les dades, la seguretat dels pacients i la continuïtat de la recerca biomèdica. És imperatiu que les organitzacions adoptin enfocaments proactius i col·laboratius per enfortir la ciberseguretat en tots els enllaços de la cadena de subministrament. La implementació d’estratègies com Zero Trust, la gestió de riscos de tercers i la formació contínua del personal són passos fonamentals per mitigar aquests riscos i garantir l’èxit dels assaigs clínics en l’entorn digital actual.
Article anterior
← 25 anys dels Premis Creatic: ESED renova com a Mecenes Platinum
Següent article
4a Edició del Curs de Ciberseguretat per a persones amb discapacitat →
ESED, part docent del curs de Ciberseguretat de la Fundación Prevent
esed-fundacionprevent
ESED News

ESED, part docent del curs de Ciberseguretat de la Fundación Prevent

11.1.2024 1 min lectura
4a Edició del Curs de Ciberseguretat per a persones amb discapacitat
curso-ciberseguridad-personas-discapacidad
ESED News

4a Edició del Curs de Ciberseguretat per a persones amb discapacitat

18.9.2025 1 min lectura
Comença la tercera edició del curs de ciberseguretat inclusiva
curso inclusivo ciberseguridad
ESED News

Comença la tercera edició del curs de ciberseguretat inclusiva

21.2.2025 1 min lectura

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera