Ciberataque vinculado a Irán: lo que las empresas estadounidenses deben saber ahora

Resumen general

El 11 de marzo de 2026, informes independientes confirmaron que una de las mayores empresas de dispositivos médicos de Estados Unidos había sido objeto de un importante ciberataque atribuido a actores maliciosos vinculados a Irán. Aunque la investigación sobre el alcance y las repercusiones del incidente sigue en curso, las conclusiones preliminares indican que el ataque podría formar parte de una campaña más amplia llevada a cabo por grupos cibernéticos iraníes patrocinados por el Estado y encargados de atacar a empresas estadounidenses, especialmente aquellas del sector sanitario y de las ciencias de la vida.

Esta alerta ofrece una visión general del panorama de amenazas, incluido el uso cada vez mayor del vishing (phishing por voz) como vector de ataque, resume las principales consideraciones legales y normativas, y propone medidas prácticas que las organizaciones deben adoptar de inmediato para reforzar su postura de ciberseguridad y su preparación. Aunque las empresas del sector sanitario y de las ciencias de la vida se enfrentan a un riesgo grave, la amenaza que plantean los actores maliciosos vinculados a Irán no se limita a ese sector. Todas las empresas estadounidenses deberían evaluar su exposición y adoptar medidas proactivas. 

Por qué las empresas del sector sanitario deben estar en alerta máxima

Aunque el sector sanitario se considera desde hace tiempo un objetivo prioritario de los ciberataques, los recientes cambios en el panorama de amenazas reflejan una escalada significativa por parte de los actores maliciosos extranjeros. Hay varios factores que hacen que las empresas del sector sanitario y de las ciencias de la vida sean especialmente vulnerables. Entre los ejemplos más destacados se incluyen los siguientes:

• Riesgo geopolítico.  La Oficina Federal de Investigación (FBI), la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y otras agencias gubernamentales de EE. UU. han advertido en repetidas ocasiones de que los actores maliciosos patrocinados por el Estado iraní están atacando activamente las infraestructuras críticas de EE. UU., incluida la sanidad. Estos actores maliciosos emplean una serie de técnicas sofisticadas, entre las que se incluyen el spear-phishing, el vishing, la explotación de vulnerabilidades conocidas, el robo de credenciales y el despliegue de ransomware y malware de borrado de datos.
   
• Datos confidenciales. Las empresas del sector sanitario almacenan grandes cantidades de información sanitaria protegida (PHI), información de identificación personal (PII), registros financieros y de seguros, y datos de investigación propios. Estas categorías de datos personales confidenciales son muy valiosas para los actores maliciosos dedicados al espionaje, la extorsión y el tráfico de datos en mercados ilícitos. Se sabe que los actores maliciosos patrocinados por Estados, incluidos los vinculados a Irán, tienen como objetivo a las empresas estadounidenses para llevar a cabo espionaje económico y científico, además de ataques de ransomware y extorsión.
   
• Propiedad intelectual y secretos comerciales. Más allá de los datos personales, las empresas del sector sanitario y de las ciencias de la vida suelen poseer valiosa propiedad intelectual, como diseños patentados de dispositivos médicos, formulaciones farmacéuticas, datos de ensayos clínicos, procesos de fabricación, algoritmos propios y proyectos de investigación y desarrollo. La filtración de secretos comerciales e investigaciones propias puede causar un perjuicio competitivo irreparable, socavar las carteras de patentes y poner en peligro años de inversión en I+D. Y, a diferencia de las violaciones de datos personales, que se rigen por marcos de notificación bien establecidos, el robo de propiedad intelectual puede pasar desapercibido durante largos periodos de tiempo. Estas situaciones plantean retos jurídicos, comerciales y estratégicos específicos que requieren una atención especializada.
   
• Datos sujetos a control de exportaciones.Además de los datos personales sensibles y la propiedad intelectual, algunas empresas del sector sanitario y de las ciencias de la vida pueden poseer también datos técnicos, tecnología y otros artículos sujetos a las leyes de control de exportaciones de EE. UU. Esto puede incluir artículos comerciales de doble uso regulados por el Reglamento de Administración de Exportaciones (EAR) o, en casos más graves, artículos de grado militar sujetos al Reglamento de Tráfico Internacional de Armas (ITAR). Dado que el EAR y el ITAR prohíben las transferencias de tecnología a Irán y a personas iraníes, las empresas que sean objetivo de actores maliciosos iraníes pueden ser investigadas por el FBI y otras agencias gubernamentales estadounidenses encargadas de hacer cumplir la ley, incluso en los casos en que sean las víctimas.
   
• Urgencia operativa. Las organizaciones sanitarias suelen verse sometidas a una gran presión para mantener sus operaciones sin interrupciones. Esta urgencia puede hacer que sean más propensas a pagar rápidamente las demandas de rescate, lo que a su vez las convierte en objetivos más atractivos.
   
• Cadenas de suministro complejas. El ecosistema sanitario cuenta con amplias redes de proveedores, socios comerciales y socios tecnológicos, cada uno de los cuales puede constituir un posible punto de entrada para los atacantes.

La amenaza del vishing: el phishing por voz como vector de ataque en auge

Las organizaciones deben ser conscientes de que el vishing —el phishing por voz que se lleva a cabo por teléfono— se ha convertido en una herramienta cada vez más importante en el arsenal de los atacantes, incluso entre los grupos patrocinados por Estados. A diferencia del phishing tradicional por correo electrónico, el vishing se aprovecha de la confianza inherente que las personas depositan en la comunicación por voz y de la dificultad de verificar la identidad de la persona que llama en tiempo real.

En un ataque típico de vishing, un atacante llama a un empleado y se hace pasar por una persona de confianza, como un técnico del servicio de asistencia informática, un alto directivo, un funcionario público o un representante de un proveedor. La persona que llama puede mencionar detalles internos concretos (nombres de empleados, nombres de sistemas, acontecimientos recientes) para ganarse la confianza. El objetivo es manipular a la víctima para que realice una acción que ponga en peligro la seguridad, como por ejemplo:

• Revelar credenciales, comonombres de usuario, contraseñas o códigos de autenticación multifactorial (MFA);
• Conceder acceso remoto mediante la instalación de software de escritorio remoto o la desactivación de controles de seguridad siguiendo las instrucciones de la persona que llama;
• Autorizar transacciones financieras, comotransferencias bancarias fraudulentas o modificaciones en la información de ruta de pago; o
• Hacer clic en un enlace malicioso enviado por mensaje de texto o correo electrónico durante la llamada o inmediatamente después de ella.

El vishing resulta especialmente peligroso en entornos sanitarios y de servicios profesionales, donde los empleados interactúan habitualmente con una amplia variedad de interlocutores externos y donde el ritmo de las operaciones genera presión para responder rápidamente a solicitudes que parecen urgentes. Además, se utiliza cada vez más como primera fase de un ataque en varias etapas, en el que la llamada telefónica sirve para eludir las defensas técnicas y preparar la explotación posterior a través del correo electrónico, el malware o el uso indebido de credenciales.

Las organizaciones deben tomarse el vishing con la misma seriedad que el phishing por correo electrónico y asegurarse de que sus programas de concienciación sobre seguridad, sus protocolos de notificación y sus planes de respuesta ante incidentes aborden este vector de forma explícita.

Medidas inmediatas recomendadas

A la luz del panorama actual de amenazas, recomendamos a todos los clientes, y en particular a los del sector sanitario, que adopten sin demora las siguientes medidas:

• Revisar y someter a pruebas de estrés los planes de respuesta ante incidentes. Toda organización debe contar con un plan de respuesta ante incidentes por escrito que identifique a las principales partes interesadas, tanto internas como externas, establezca líneas de comunicación claras y defina la autoridad para la toma de decisiones en acciones críticas como el aislamiento de sistemas, la intervención forense, la notificación a las autoridades reguladoras y la comunicación pública. Si su plan no se ha sometido a pruebas mediante un ejercicio de simulación en los últimos 12 meses, ahora es el momento de programar uno. El ejercicio debe incluir escenarios que impliquen vishing y otros ataques de ingeniería social, no solo intrusiones técnicas, para garantizar que los empleados y la dirección estén preparados para toda la gama de amenazas a las que pueden enfrentarse.
   
• Asegúrese de que todos los empleados conozcan los protocolos de notificación. Implante y refuerce una cultura de «si ves algo, di algo» en toda la organización. Los empleados de todos los niveles deben saber cómo notificar correos electrónicos sospechosos, llamadas telefónicas sospechosas, comportamientos inusuales del sistema, solicitudes inesperadas de autenticación multifactorial o cualquier otra anomalía. En concreto, se debe formar a los empleados para que reconozcan los indicios de un intento de vishing, como la urgencia, la autoridad, las solicitudes de credenciales o acceso y la reticencia a permitir la verificación mediante una llamada de respuesta, y se les debe indicar que cuelguen y verifiquen de forma independiente la identidad de la persona que llama antes de tomar ninguna medida. La rapidez en la detección y la notificación es uno de los factores más importantes para limitar el daño de un incidente cibernético.
   
• Revisar los controles de acceso y la autenticación multifactorial (MFA). Audite los privilegios de acceso de los usuarios en todos los sistemas críticos para garantizar que se limiten al mínimo necesario para cada función. Confirme que la MFA esté habilitada para todos los accesos remotos, cuentas con privilegios y aplicaciones basadas en la nube. Elimine o desactive las cuentas que ya no sean necesarias, incluidas las de antiguos empleados, contratistas y proveedores. Es fundamental recordar a todo el personal que los códigos de MFA nunca deben facilitarse a nadie por teléfono, mensaje de texto o correo electrónico. Un equipo legítimo de TI o de seguridad nunca los solicitará. Las organizaciones sanitarias deben tener en cuenta que la actualización propuesta de la Norma de Seguridad de la HIPAA (que se analiza más adelante) convertiría la MFA en un requisito obligatorio para acceder a la información sanitaria protegida electrónica (ePHI). Las organizaciones que aún no hayan implementado la MFA de forma generalizada deben considerar esto como una prioridad inmediata, tanto para hacer frente a la amenaza actual como para prepararse para los requisitos normativos previstos.
   
• Identificar y proteger la propiedad intelectual crítica. Las organizaciones deben elaborar o actualizar un inventario de sus activos de propiedad intelectual más sensibles, incluidos los secretos comerciales, los datos de investigación propios, las solicitudes de patente en trámite, los datos de ensayos clínicos, las especificaciones de fabricación y el código fuente, y confirmar que dichos activos están sujetos a controles técnicos y de acceso reforzados. Entre las medidas clave se incluyen:
   
  • Clasificar los activos de propiedad intelectual según su nivel de confidencialidad y garantizar que el acceso se limite al personal que demuestre una necesidad empresarial justificada, mediante controles de acceso basados en roles y el principio del privilegio mínimo.
     
  • Confirmar que se han establecido medidas de protección de los secretos comerciales, incluidos los acuerdos de confidencialidad y de cesión de invenciones con empleados y contratistas, los acuerdos de confidencialidad con socios comerciales y colaboradores, y unas políticas internas claras que regulen el manejo y el marcado de la información confidencial y de propiedad exclusiva. En virtud de la Ley federal de Defensa de los Secretos Comerciales (DTSA) y las leyes estatales análogas, la condición de secreto comercial depende, en parte, de que el titular haya adoptado «medidas razonables» para mantener la información en secreto; las organizaciones deben asegurarse de que sus medidas de seguridad sean suficientes para cumplir este requisito.
     
  • Realizar revisiones de la clasificación de exportaciones para determinar si la tecnología, los datos técnicos, el software y otros artículos de una organización pueden estar sujetos a control en virtud de las normas EAR e ITAR.
     
  • Implementar herramientas de prevención de pérdida de datos (DLP) y un sistema de supervisión mejorado en los repositorios que contienen propiedad intelectual de gran valor, con el fin de detectar accesos no autorizados, descargas masivas o intentos de filtración de datos, especialmente en el actual contexto de amenaza elevada.
     
  • Revisar las prácticas de colaboración y de intercambio de archivos para confirmar que los materiales propios de investigación y desarrollo no se almacenan ni se transmiten a través de canales no seguros.
     
• Evalúe los riesgos asociados a proveedores y terceros. Analice las prácticas de ciberseguridad de sus principales proveedores y socios comerciales, especialmente aquellos que tengan acceso a datos confidenciales o a sistemas críticos. Asegúrese de que los contratos con los proveedores incluyan requisitos adecuados de seguridad de los datos, obligaciones de notificación de violaciones y derechos de auditoría. Considere si, en el contexto actual de amenazas, conviene restringir las conexiones de terceros o someterlas a una supervisión adicional. Tenga en cuenta que los ataques de vishing suelen implicar la suplantación de identidad de proveedores conocidos. Los empleados deben verificar cualquier solicitud inesperada de un proveedor a través de canales de contacto establecidos y verificados de forma independiente. En el marco propuesto de la «HIPAA 2.0», se exigiría a los socios comerciales que verificaran su cumplimiento de las medidas de seguridad técnicas aplicables. Las organizaciones deben empezar a incorporar estos mecanismos de verificación en sus procesos de gestión de proveedores desde ahora. Las organizaciones también deben confirmar que los acuerdos con proveedores y de colaboración contengan disposiciones sólidas sobre la propiedad de la propiedad intelectual, la confidencialidad y las restricciones de uso; un compromiso de la cadena de suministro que exponga datos compartidos de I+D o propiedad intelectual desarrollada conjuntamente puede generar disputas complejas sobre la propiedad, la responsabilidad y la asignación de pérdidas.
   
• Priorizar la gestión de parches y la supervisión de sistemas. Se sabe que los actores maliciosos vinculados a Irán aprovechan las vulnerabilidades de software que se hacen públicas, a menudo pocos días después de su divulgación. Las organizaciones deben asegurarse de que todos los sistemas, aplicaciones y firmware se actualicen y se apliquen los parches de inmediato. Es necesario reforzar la supervisión del tráfico de red, la actividad de los puntos finales y los registros de acceso en busca de indicadores de compromiso, y garantizar que los sistemas de gestión de información y eventos de seguridad (SIEM) estén configurados para detectar firmas de amenazas conocidas asociadas a los grupos cibernéticos iraníes. Las organizaciones sanitarias también deben tener en cuenta que la actualización propuesta de la Norma de Seguridad de la HIPAA exigiría la realización de análisis de vulnerabilidades al menos cada seis meses y pruebas de penetración al menos una vez al año. Establecer estas prácticas ahora reforzará las defensas contra las amenazas actuales y situará a las organizaciones en una posición favorable para el cumplimiento normativo.
   
• Invierta en la formación de los empleados y en la sensibilización sobre el phishing. El spear-phishing sigue siendo uno de los vectores de ataque más comunes y eficaces, pero el vishing le está pisando los talones. Imparta formación específica a todos los empleados, haciendo hincapié en cómo reconocer los intentos de phishing, verificar las solicitudes de credenciales o información financiera y evitar interactuar con enlaces o archivos adjuntos sospechosos. La formación debe incluir simulaciones realistas de vishing, no solo pruebas de phishing por correo electrónico, para que los empleados experimenten la presión y las técnicas de persuasión que se utilizan en las llamadas de ingeniería social reales. Considere la posibilidad de implementar campañas de phishing simuladas para poner a prueba y reforzar la concienciación.
   
• Conozca sus obligaciones de notificación reglamentarias. En caso de que se produzca un incidente cibernético que implique la filtración de datos personales o de información médica protegida (PHI), las organizaciones pueden estar sujetas a obligaciones de notificación que se solapan en virtud de la legislación federal y estatal. Entre los marcos normativos más importantes se incluyen:
   
  • La HIPAA exige a las entidades sujetas a su aplicación y a los socios comerciales que notifiquen a las personas afectadas, al Secretario de Salud y Servicios Humanos y, en determinados casos, a los medios de comunicación, las violaciones de seguridad que afecten a información médica protegida (PHI) no protegida, por lo general en un plazo de 60 días desde su detección. Es importante destacar que las organizaciones sanitarias deben prepararse para la actualización propuesta de la Norma de Seguridad de la HIPAA, conocida comúnmente como HIPAA 2.0, publicada por el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) como un Aviso de Propuesta de Reglamentación (NPRM) a finales de 2024. La norma propuesta supondría la modernización más significativa de la Norma de Seguridad de la HIPAA desde su adopción original y reforzaría considerablemente las obligaciones en materia de ciberseguridad para las entidades afectadas y los socios comerciales. Entre los principales cambios propuestos se incluyen:
     
    • La eliminación de la distinción entre «recomendado» y «obligatorio» en las especificaciones de aplicación contempladas en la norma propuesta convertiría todas las medidas de seguridad en obligatorias, suprimiendo así la discrecionalidad que actualmente permite a las organizaciones aplicar medidas alternativas o documentar por qué una especificación no es razonable ni adecuada.
       
    • Cifrado obligatorio de la información médica protegida electrónica (ePHI), tanto en reposo como en tránsito, con excepciones muy limitadas.
       
    • Autenticación multifactorial (MFA) obligatoria para todo acceso a la información médica protegida en formato electrónico (ePHI).
       
    • Es necesario elaborar y actualizar, al menos una vez al año,inventarios de activos tecnológicos y mapas de red para que las organizaciones puedan saber con claridad dónde se encuentra la información médica protegida electrónica (ePHI) y cómo circula por sus sistemas.
       
    • Requisitos más estrictos en materia de análisis de riesgos, incluidas metodologías específicas y normas de documentación.
       
    • Análisis de vulnerabilidades cada seis meses y pruebas de penetración al menos una vez al año.
       
    • Las entidades reguladas estarían obligadas averificar el cumplimiento desus socios comerciales, para lo cual deberían obtener una confirmación por escrito de que dichos socios han implementado las medidas de seguridad técnicas requeridas, en lugar de basarse únicamente en las declaraciones contractuales.
       
    • Requisitos para la realización de pruebas del plan de respuesta ante incidentes, lo que refuerza la necesidad de llevar a cabo simulacros periódicos y de actualizar el plan.
       
    • Aunque, a fecha de esta alerta, aún no se ha publicado la norma definitiva, las organizaciones no deben esperar a que se apruebe para empezar a evaluar su grado de preparación. Los requisitos propuestos reflejan la orientación de la normativa federal en materia de ciberseguridad para el sector sanitario, y muchas de las medidas previstas —como el cifrado, la autenticación multifactorial (MFA), los inventarios de activos, los análisis periódicos de vulnerabilidades y las pruebas de respuesta ante incidentes— ya son prácticas recomendadas reconocidas que reforzarían de manera significativa las defensas de una organización frente a los tipos de ataques patrocinados por Estados que actualmente tienen como objetivo este sector. Recomendamos encarecidamente que las organizaciones identifiquen con antelación sus obligaciones reglamentarias aplicables e incorporen procedimientos de notificación en sus planes de respuesta a incidentes, en lugar de intentar lidiar con estos requisitos durante un incidente en curso.
       
  • La CIRCIA exige a las entidades de infraestructuras críticas afectadas que notifiquen a la CISA los incidentes cibernéticos graves en un plazo de 72 horas y los pagos por ransomware en un plazo de 24 horas. (Nota: La CISA tiene previsto ultimar la normativa sobre notificación obligatoria en virtud de la CIRCIA para mayo de 2026. Mientras se espera la norma definitiva, la CISA fomenta actualmente la notificación voluntaria.)
     
  • Las leyes estatales sobre notificación de violaciones de datos imponen un conjunto heterogéneo de requisitos que varían según la jurisdicción, entre los que se incluyen diferentes definiciones de «información personal», plazos de notificación y obligaciones de informar a los organismos reguladores estatales o a los fiscales generales. 
     
  • Antes de realizar cualquier pago de rescate, es necesario tener en cuentael cumplimiento de las sanciones económicas. Cualquier pago a Irán, al Gobierno iraní o a otras partes iraníes está estrictamente prohibido en virtud de los programas de sanciones económicas administrados por la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los Estados Unidos. Lo mismo se aplica a los pagos realizados a partes que sean propiedad de (o que actúen en nombre de) entidades iraníes, o a otras partes que figuren en la lista de «Nacionales Especialmente Designados» de la OFAC. Realizar pagos a sabiendas a países y partes sancionados constituye un delito según las leyes de EE. UU. y, en determinados casos, puede constituir apoyo material al terrorismo. Incluso los pagos accidentales a países y partes sancionados pueden acarrear graves consecuencias, entre ellas investigaciones del Gobierno de EE. UU., importantes sanciones civiles y la pérdida de relaciones bancarias. 
     
  • También pueden producirseinfracciones de los controles de exportación en virtud de las EAR y el ITAR, incluso si no existen riesgos aparentes de sanciones económicas. Y dado que Irán es un país «excluido» en virtud del ITAR, la transferencia o el robo de tecnología y datos técnicos de uso militar puede dar lugar a la obligación de informar a la Dirección de Control del Comercio de Defensa (DDTC) del Departamento de Estado de EE. UU. Estos informes obligatorios dan lugar invariablemente a que la DDTC notifique a la OFAC, al FBI y a otras agencias asociadas, lo que a menudo da lugar a investigaciones gubernamentales solapadas que deben gestionarse con cuidado y de forma simultánea.
     
  • Los contratos del Gobierno de los Estados Unidos puedenexigir a los contratistas principales, a los subcontratistas y a los beneficiarios de subvenciones federales que comuniquen de manera oportuna los incidentes y riesgos significativos en materia de ciberseguridad. Esto es especialmente cierto en el caso de los contratos del sector aeroespacial y de defensa para proyectos que impliquen información no clasificada controlada (CUI), que suelen contener disposiciones que exigen la notificación en un plazo de 72 horas desde su detección. Se recomienda encarecidamente coordinar estas notificaciones con otras comunicaciones relativas a las sanciones económicas y los riesgos de control de las exportaciones.
     
  • Las obligaciones de información de la SEC pueden exigir a las empresas que cotizan en bolsa que comuniquen de manera oportuna los incidentes y riesgos significativos relacionados con la ciberseguridad.
     
  • La Ley de Defensa de los Secretos Comerciales (DTSA) y las leyes estatales sobre secretos comerciales. Aunque estas normas no imponen obligaciones de notificación de violaciones en el sentido tradicional, revisten una importancia fundamental cuando un ciberataque da lugar a la filtración o la divulgación de secretos comerciales. La DTSA establece una causa de acción civil a nivel federal y, en los casos de espionaje económico en beneficio de un gobierno extranjero, sanciones penales en virtud de la Ley de Espionaje Económico de 1996 (18 U.S.C. §§ 1831–1839) por la apropiación indebida de secretos comerciales. Las organizaciones que descubran o sospechen del robo de secretos comerciales en relación con un incidente cibernético deben actuar con rapidez para preservar las pruebas forenses, evaluar si procede solicitar medidas cautelares de emergencia (incluidas ex parte en virtud de la DTSA) y evaluar si procede remitir el caso al FBI o a la División de Seguridad Nacional del Departamento de Justicia, especialmente cuando el robo parezca estar vinculado a un actor estatal extranjero. Es fundamental señalar que la capacidad de una organización para presentar reclamaciones por secretos comerciales depende de su capacidad para demostrar que tomó «medidas razonables» para mantener el secreto, lo que convierte las medidas preventivas descritas anteriormente (controles de acceso, clasificación, herramientas DLP, protecciones contractuales) no solo en buenas prácticas de seguridad, sino en requisitos legales esenciales.

Cómo podemos ayudar

Foley & Lardner Grupo de Ciberseguridad y Privacidad de Datos está siguiendo de cerca este incidente y el panorama general de amenazas. Nuestro equipo cuenta con una amplia experiencia en el asesoramiento a clientes sobre preparación en materia de ciberseguridad, respuesta ante incidentes, cumplimiento normativo y litigios relacionados con violaciones de datos, tanto en el sector sanitario como en otros ámbitos.

Estamos a su disposición para ayudarle con:

• Revisar y actualizar los planes de respuesta ante incidentes y de continuidad del negocio, lo que incluye la integración de escenarios de vishing e ingeniería social en los simulacros de mesa
• Realización de simulacros y evaluaciones de preparación
• Desarrollar y revisar programas de sensibilización sobre seguridad para los empleados que aborden el phishing, el vishing y otras amenazas de ingeniería social
• Asesoramiento sobre las obligaciones de notificación reglamentarias en virtud de la HIPAA, la legislación estatal, la CIRCIA y otros marcos normativos
• Realización de análisis de deficiencias de la HIPAA 2.0 para evaluar el grado de preparación de la organización frente a los requisitos propuestos en la Norma de Seguridad
• Evaluación del riesgo de sanciones de la OFAC en relación con las demandas de los programas de ransomware
• Gestionar investigaciones forenses y coordinarse con las fuerzas del orden
• Evaluación de los riesgos de ciberseguridad de los proveedores y terceros
• Defensa ante investigaciones de las autoridades reguladoras y litigios por violaciones de datos
• Asesoramiento sobre estrategias de protección de secretos comerciales, incluida la clasificación de activos de propiedad intelectual, la evaluación de las «medidas razonables» y la revisión de los acuerdos de confidencialidad, los acuerdos de no divulgación y los acuerdos de cesión de invenciones, con el fin de garantizar que se preserve la condición de secreto comercial
• Solicitar medidas cautelares de urgencia y presentar demandas en virtud de la DTSA y de la legislación estatal sobre secretos comerciales en caso de fuga confirmada o sospechada de propiedad intelectual
• Evaluar las implicaciones en materia de control de exportaciones de los incidentes cibernéticos que afecten a tecnología o datos técnicos sujetos a control, y asesorar sobre las obligaciones de notificación previstas en el EAR y el ITAR
• Realización de evaluaciones de riesgos en materia de propiedad intelectual en relación con los acuerdos con proveedores, de colaboración y de la cadena de suministro, con el fin de identificar y mitigar la exposición a la pérdida de propiedad intelectual en caso de que se produzca una violación por parte de terceros

Si tiene alguna pregunta sobre el panorama actual de amenazas, el grado de preparación de su organización o cualquier aspecto de su programa de ciberseguridad y protección de datos, no dude en ponerse en contacto con cualquier miembro del Grupo de Ciberseguridad y Privacidad de Datos.

_____________________________________________________________________________________________________

Esta alerta ha sido elaborada por Foley & Lardner LLP con fines meramente informativos y no constituye asesoramiento jurídico. La información aquí contenida se basa en datos de dominio público a fecha de 11 de marzo de 2026 y está sujeta a cambios a medida que se conozcan nuevos datos. La recepción de esta alerta no da lugar a una relación abogado-cliente. Se recomienda a los lectores que consulten con un asesor jurídico cualificado sobre sus circunstancias y obligaciones específicas.