El virus WannaCry infectó este año los sistemas en 150 países. Ya lo dijo Robert Mueller, director del FBI de los Estados Unidos, hace cinco años: “Existen sólo dos tipos de empresas: las que han sufrido un ataque informático y las que lo sufrirán en algún momento”.
El cibercrimen llegó para quedarse y de nosotros depende tomar conciencia y desarrollar los mecanismos de defensa ante esta amenaza que, sin duda alguna, seguirá creciendo. Y es que son muchas las puertas que proteger: en el mundo hay unos 20 mil millones de dispositivos conectados a internet. Según el informe sobre ciberataques “Closing the gap”, elaborado por el mercado asegurador inglés Lloyd’s, “la naturaleza de esta amenaza está evolucionando tan rápido que cada vez es más difícil para las organizaciones combatirla”.
El 12 de mayo pasado se encendían todas las alertas mundiales de seguridad: un virus de tipo ransomware -al que se bautizó como WannaCry- sacudía el ciberespacio mundial infectando sistemas e infraestructuras informáticas de más de 150 países en todo el mundo. Más de 200 mil dispositivos se vieron afectados.
Este tipo de virus se extiende a través del correo electrónico aprovechando una falla en el sistema operativo Windows, es decir, que podría haberse evitado con algo tan simple como un parche de seguridad. Pero nadie lo tenía previsto y el principal papel del virus terminó siendo el de poner de manifiesto la vulnerabilidad de la mayoría de las empresas ante este tipo de ataques. WannaCry no robaba los datos de los sistemas, pero los encriptaba y exigía un rescate para desencriptarlos que, en este caso, era de 300 biticoins, una moneda digital que impide rastrear el movimiento. Si el afectado no paga en un tiempo límite, los datos desaparecen.
Empresas como la española Telefónica, la norteamericana FedEx, el servicio público de salud del Reino Unido y hasta la red ferroviaria alemana y varias universidades chinas se vieron afectadas, entre muchas otras. En la Argentina, se reportaron 2.400 terminales afectadas. No importa en qué latitud nos encontremos: la amenaza es global.
Poco más de un mes después, el 18 de junio, otro potente ciberataque volvió a poner en jaque a empresas, bancos e instituciones alrededor del globo: era el virus Petya, aún más sofisticado y peligroso que el anterior. Aunque fueron los más sonados -y recientes- estos ataques distan mucho de ser los primeros: en 2000, el gusano ILOVIU golpeó a millones de ordenadores en todo el mundo; en 2014 fue la multinacional Sony quien perdió el control de sus equipos en manos de ciberdelincuentes. Según el informe del Lloyd’s, los delitos cibernéticos le cuestan al mundo alrededor de 400 billones de dólares al año.
Ante esta perspectiva de inseguridad surge una inevitable pregunta: ¿Estarán las empresas preparadas cuando llegue el siguiente ataque? ¿O seguirán brillando por su vulnerabilidad y pensando que estas cosas sólo les pasan a otros?
Evitar ataques es imposible, pero se pueden minimizar sus destructivas consecuencias y, a la vista de la opinión de los expertos, son dos las principales armas para ganar la batalla: las estrategias integrales de gestión de riesgos que las propias empresas pongan en marcha y lo que algunos ya definen como el negocio de la próxima década: los ciberseguros, algo que, en nuestro país, parece ser, por ahora, poco más que una idea (o una pequeña cláusula incluida en coberturas de Responsabilidad Civil o Grandes Riesgos). Y es que, aunque se prevé que en 2025 los ciberseguros superarán los 20 mil millones de dólares en todo el mundo, en la Argentina aún falta que las empresas dimensionen el riesgo real de estos ataques.
Temor a las denuncias de fraude
No se puede ignorar el hecho de que las empresas prefieren, en general, no denunciar los ciberataques, ya que juegan en contra de su propia reputación. Según un informe de la revista estadounidense Forbes, menos de la mitad de las empresas -a nivel mundial- denuncian estos ataques. En Estados Unidos las compañías sí tienen obligación de hacer la denuncia y es por eso que el país es, con mucho, el mejor mercado para el ciberseguro, que obtuvo un total de primas directas de 1.300 millones de dólares en 2016.
En Europa, la situación cambiará a partir del 25 de mayo de 2018, cuando entre en vigor el nuevo Reglamento General de Protección de Datos, que multará con hasta 20 millones de euros a las empresas que no reporten estos delitos.
Ejemplos de coberturas
Son varios los ejemplos de coberturas que podemos encontrar en el mundo, donde prácticamente todas las grandes firmas ofrecen este tipo de productos. En los Estados Unidos -donde se introducirán nuevas regulaciones este año para ayudar a la expansión de los seguros cibernéticos-, la compañía AIG, por ejemplo, ofrece el producto Ciber Insurance for Business. En España, donde sólo el año pasado se detectaron 115 mil ataques, Allianz lanzó al mercado -ya en 2013- Cyber Protect, una cobertura global contra riesgos cibernéticos, mientras AIG ofrece CyberEdge, que cubre las reclamaciones de terceros contra el asegurado por uso ilegítimo de información. Mapfre España ofrece también un seguro diseñado para proteger a pymes y monotributistas de ataques cibernéticos.
En el Reino Unido el broker de seguros y reaseguros JLT ofrece pólizas de cyber riesgos dentro del rubro Cyber and Intangible Risks, y en Chile, la aseguradora Chubb lanzó en el mes de mayo el producto Chubb Cyber, para la gestión de riesgos cibernéticos en empresas de todos los tamaños.
En todos los casos se trata de pólizas que cubren aspectos como responsabilidad por seguridad y privacidad, defensa jurídica, fianzas, gastos de notificación a terceros y de gestión de crisis, sanciones administrativas, responsabilidad multimedia, pérdida de ingresos, restablecimiento, extorsión de datos.
En nuestro país, la cobertura de riesgos cibernéticos es muy nueva y son pocas las aseguradoras que ofrecen algo de este tipo”. Marsh, por ejemplo, ofrece el producto Responsabilidad Civil por violación a la seguridad informática, que cubre “los daños y perjuicios ocasionados a terceros por divulgación de información confidencial, y situaciones como la extorsión cibernética y la interrupción del negocio, además de los gastos legales, los de contratar consultores informáticos y los necesarios para reconstruir la imagen de la empresa”.
Entre los principales riesgos de estos ataques, además del robo de datos o la pérdida de los equipos, con las consecuencias económicas que esto conlleva, se cuentan la manipulación de la información, la pérdida de datos que puede derivar en demandas de terceros, la pérdida de confianza en la empresa y hasta el cese de la actividad.
El efecto WannaCry es terrible, dejó expuesto a todo el mundo y no hubo una respuesta adecuada. Las empresas tienen que estar obligadas a informar los ataques y crear equipos de trabajo que decidan cómo cubrir esto con una póliza de seguros.
Aún está en etapa de análisis, no hay productos concretos que incluyan prevención, tratamiento y resarcimiento, todos los gastos involucrados en solucionar el problema”. El Senior Partner de Risk Group sostiene que no sólo se necesita una póliza concreta, sino incluir una cláusula de cyber risk en prácticamente todos los productos. “Tratar de vender un producto enlatado sería sólo una curita -afirma-. Hay daños consecuenciales del ataque en cada uno de los sectores de la empresa asegurada.
En muchas compañías se está trabajando en elaborar productos, pero no alcanza. Va a hacer falta remodelar todas las pólizas.
Quedémonos pensando tras la reflexión del socio fundador de Foresenics: “En el mercado hay una suerte de certidumbre sobre la necesidad de cubrir este tipo de siniestros, pero mientras no haya más víctimas y el perjuicio quede limitado a directores y gerencias demandados civil y penalmente, no habrá una conciencia colectiva sobre su urgencia”.
El presente es un extracto, editado y subtitulado del artículo publicado por Bárbara Álvarez Plá para Estrategas (1/8/2017)
