El caso de la farmacéutica Ethypharm o cómo los ciberataques penalizan ya la solvencia crediticia

Moody’s rebaja a negativa la perspectiva de la firma por el golpe sufrido en junio que paralizó su producción y avisa sobre los cada vez mayores efectos empresariales

Madrid - 19 sept 2024 - 05:15CEST

Un hacker trabajando con un ordenador.Bill Hinton (Getty Images)

Para seguir leyendo este artículo de Cinco Días necesitas una suscripción Premium de EL PAÍS

La amenaza de los delitos en la red va un aumento. Tanto para particulares como para empresas y entidades financieras. No hay semana en el que no se haga público algún ciberataque contra grandes grupos. Y su impacto ya se deja notar en las cuentas de las compañías que los sufren, e incluso en su grado de solvencia. Este martes, Moody’s confirmó el rating B3 de la farmacéutica Financiere Verdi I S.A.S. (Ethypharm), así como de sus líneas de crédito. Ahora bien, la agencia de calificación anunció que había rebajado la perspectiva de la compañía, de estable a negativa.

El recorte en la perspectiva es consecuencia de la debilidad crediticia de la empresa en los últimos años, así como del impacto del ciberataque sufrido por la compañía a finales de junio, que paralizó las actividades en Francia y Reino Unido, sus mercados principales. En opinión de Moody’s, agravará las ya débiles métricas crediticias de la compañía en 2024 y dificultará la mejora de cara a 2025.

Según Moody’s, las métricas crediticias de Ethypharm venían siendo débiles desde hace años, y la compañía tiene un ratio de apalancamiento cercano a ocho veces el resultado de explotación (ebitda), con un flujo libre de caja ligeramente negativo.

A finales de junio, Ethypharm fue objeto de un ciberataque, que afectó a su sede central y a las operaciones en Francia y Reino Unido, sus dos mayores mercados, que suponen el 50% de sus ventas. Como resultado del ciberataque, la producción de sus tres fábricas en estos países se paró de forma inmediata, y volvieron gradualmente a la actividad a finales de julio en Francia y principios de agosto en Reino Unido. La empresa espera que la producción recupere la normalidad en ambos países a lo largo del mes de septiembre.

“En este momento, todavía es difícil evaluar completamente el impacto que el ciberataque tendrá en los ingresos y el flujo de caja de la empresa, pero, considerando la duración de la interrupción de la producción, ya no esperamos que la empresa alcance un apalancamiento en torno a siete veces el ebitda y flujo de caja libre positivo en 2024″, advierte Moody’s, que advierte, no obstante, de que la liquidez de la farmacéutica antes del ciberataque ha permitido absorber la pérdida de caja derivada de la paralización de la producción por el ciberataque.

Moody’s señala que continuará monitorizando las medidas de remedio aprobadas por Ethypharm, así como la recuperación de las operaciones en los próximos trimestres.

Ethypharm es una farmacéutica europea enfocada en el desarrollo y fabricación de complejos genéricos, especializado en producto para el dolor, adicciones y terapias contra la depresión. Fundada en 1977, fue adquirida por PAI Partners en 2016. En el último ejercicio, registró unos ingresos de 430 millones de euros, y un ebitda reportado de 80 millones. La compañía tiene posiciones fuertes en el segmento del dolor, las adicciones y la depresión, con una adecuada diversificación estratégica. Tiene presencia comercial directa en los cinco mayores mercados europeos y una buena presencia en China. La compañía reforzó su presencia en España con la compra de Altan en 2021.

Advertencias

Con anterioridad a este incidente, la agencia de calificación había señalado que los ciberataques no habían tenido mucho impacto en la calidad crediticia, pero el aumento de los ataques y la severidad de los mismos podría cambiar el escenario. “El creciente número y sofisticación de los ciberataques está erosionando cada vez más la solvencia”, dijo Moody’s en junio pasado, advirtiendo sobre los riesgos de la aplicación de nuevas tecnologías como la inteligencia artificial y la computación cuántica.

Según Moody’s, las consecuencias de estos incidentes pueden reducir los ingresos de las empresas afectadas, elevar los costes y generar sanciones legales y regulatorias.

En la misma línea, el Fondo Monetario Internacional (FMI) advirtió la pasada primavera que los ciberataques se han doblado desde la pandemia y, mientras las compañías han sufrido relativamente pérdidas modestas, algunas sí han experimentado un peaje mayor. Así, Equifax ha pagado más de 1.000 millones de dólares en sanciones por el ciberataque con pérdida de datos en 2017, que afectó a más de 150 millones de consumidores.

El FMI señaló que las pérdidas por los ciberincidentes pueden causar problemas de financiación para las compañías, perjudicando su solvencia, además del daño reputacional. Según el organismo, el tamaño de las pérdidas extremas se ha cuadruplicado desde 2017, hasta 2.500 millones.

Ataques en España

Lo cierto es que la amenaza informática se extiende por todos los países, incluida España. Durante este año, grandes compañías del Ibex 35, además de organismos públicos como las fuerzas armadas o Radio Televisión Española (RTVE), han sufrido ciberataques.

Entre los incidentes conocidos destaca el sufrido por el Santander, que hizo público en mayo un “acceso no autorizado” a una base de datos que contiene información de los clientes de la entidad; Telefónica, que también en mayo reconoció que estaba investigando si había sufrido alguna brecha en los sistemas de seguridad tras publicarse que había sufrido un ciberataque en marzo; Iberdrola, que reconoció haber sufrido un ciberataque que había dejado al descubierto datos de 850.000 clientes; Tendam, matriz de Cortefiel, que ha confirmado esta semana que ha sufrido un ataque informático en el que los ciberdelincuentes se han llevado 720 gigas de información perteneciente a la compañía, pidiendo una recompensa; o TotalEnergies, que notificó en julio un “acceso no autorizado” a uno de los sistemas informáticos que utiliza para su gestión de ventas,