Crimen como servicio, ransomware, hacktivismo y ataques a proveedores, principales tendencias en ciberriesgos

El crimen como servicio (criminales que ofrecen sus servicios a cualquier persona/entidad que quiera pagarlos), el ransomware (secuestro de datos), el hacktivismo (protesta realizada por aficionados o hackers con fines políticos) y los ataques a proveedores son las principales tendencias en ciberriesgos detectadas por la aseguradora AIG, según explicó su Cyber, Crime and Crisis Solution Product Leader, Carlos Rodríguez, durante su ponencia sobre ‘El gran riesgo del siglo XXI. Los ciberriesgos y la Responsabilidad Civil’ en el marco del XXI Congreso de Responsabilidad Civil y Seguro organizado por INESE.

Carlos Rodríguez describió la situación actual de los riesgos cibernéticos, informó sobre los sectores más amenazados, abordó las novedades normativas, explicó cómo se pueden transferir los riesgos a través de una póliza de seguros y ofreció datos de los informes de incidentes realizados por su compañía, así como ejemplos concretos de siniestros y su coste, además de compartir las principales tendencias en lo que a tipología de ataques se refiere.

Inició su intervención advirtiendo que los ciberriesgos no están cubiertos por las pólizas tradicionales de RC y que todas las empresas, grandes y pequeñas, están expuestas a ellos, incluso estas últimas “pueden llegar a a ver amenazada su continuidad”. Aunque colocó, por este orden, a las de comunicación, las consultoras tecnológicas, los comercios, las de telecomunicaciones, las de servicios, transporte y distribución, sanidad, instituciones financieras, hoteles y ocio y a las compañías con exposición en EEUU en la cúspide de las amenazas. 

El experto de AIG señaló que su aseguramiento es compatible con las pólizas tradicionales y que tiene la misma o mayor importancia que estas. Una afirmación que ilustró con un inquietante mapa de ciberataques en tiempo real de la compañía Norse y con un gráfico de las mayores brechas de seguridad que han ocurrido en el mundo y en España. Por si estos ejemplos no dejaban demasiado clara la dimensión de las ciberamenazas, informó que el Incibe (Instituto Nacional de Ciberseguridad) calcula que va a gestionar este año más de 100.000 ciberataques.

Se refirió también el “supercomplejo entorno” que rodea a los ciberriesgos, en el que se produce una continua evolución de los ataques, “que obliga a estar al CISO de las compañías en permanente vigilancia”, que exige tener medidas específicas de protección para las infraestructuras críticas, por ejemplo, y adaptarse a cambios normativos como los del Reglamento General de Protección de Datos, entre otros.  

En cuanto a los riesgos que más intranquilidad provocan entre los directivos de las empresas, utilizó encuestas realizadas por su compañía que reflejan que la filtración de datos está, con mucha distancia, en cabeza (52%), seguida de las caídas en la red o el sistema (31%) y la ciberextorsión (12%).

Los informes de AIG demuestran que en 2018 se han producido un 40% más de siniestros en la zona EMEA que en 2017, “a causa también de la mayor cartera de clientes”, y que los comunicados en junio de 2019 igualan ya a los de todo 2018. Al podio de los incidentes ha ascendido el Business email compromise (también conocido como ‘la estafa del CEO’), con un 23%, seguido del ransomware, “cada vez más sofisticado”, con un 18%, y, empatados en el tercer lugar con un 14%, las brechas de seguridad provocadas por hackers y las debidas a negligencia de empleados. Por lo que respecta a los sectores más afectados, los servicios profesionales lideran la clasificación con un 22%, seguidos de servicios financieros (15%), servicios de negocios (12%) y retail (9%).

Cada uno de los incidentes que aparecen en estas listas, explicó Carlos Rodríguez, provocan crisis en distintos departamentos de las empresas, “empezando por el de Sistemas, pero también afectan al Legal y al Financiero y, por supuesto, generan una pérdida reputacional cuyas consecuencias están en consonancia con la gravedad del ataque”. Esto, detalló, conlleva unos gastos inmediatos (forense IT, legal, relaciones públicas, notificación), otros a medio plazo (investigación, responsabilidad ante terceros) y otros a largo plazo (pérdida de confianza de clientes, daño reputacional, pérdida de mercado).

La mejor solución para transferir esos riesgos es, en palabras de Rodríguez, una póliza de seguros que incluya tres pilares: “prevención, respuesta ágil y cobertura aseguradora adecuada”. Tres aspectos que contempla el producto de CyberEdge de AIG. Esta póliza ofrece herramientas preventivas que proporcionan a las empresas conocimientos, formación y soluciones para adelantarse a los acontecimientos. Además, si se produce el siniestro, garantiza una respuesta 24 horas siete días a la semana durante todo el año, servicios legales y forenses, gastos de notificación, así como gastos de defensa y perjuicios. En cuanto a la cobertura, incluye los daños propios, la extorsión cibernética, la pérdida de ingresos y gastos operativos, los costes directos propios de responder a un ataque o las responsabilidades derivadas del Reglamento General de Protección de Datos, entre otros. A todo ello, hay que añadir una serie de coberturas optativas, entre las que destacan los programas multinacionales, que permiten a AIG suscribir pólizas en cualquier país.

El ponente concluyó su exposición con ejemplos de respuestas dadas por su compañía a distintos tipos de ataques, como uno de un empleado que robó datos personales a millones de clientes, otro de un ransomware que cifró el servidor de correo electrónico, red y discos, y un tercero de intrusión en una cadena hotelera. En cada uno de ellos describió el ataque, la respuesta y el perjuicio financiero que supuso para la empresa atacada.