El auge de los riesgos cibernéticos y cómo prevenirlos
El auge de los riesgos cibernéticos y cómo prevenirlos
El cibercrimen es uno de los delitos que más auge ha tomado en los últimos años. En el 2018, las aseguradoras recibieron tantas reclamaciones por este tema como en los 3 años anteriores juntos, es decir, casi un reclamo relacionado con un cibercrimen por día laboral.
Según el experto Andrés Báez, Gerente de Responsabilidad Civil y Líneas Financieras de AIG-Metropolitana Cía. de Seguros y Reaseguros S.A., la diversidad y complejidad de los riesgos cibernéticos es directamente proporcional al nivel de dificultad y sofisticación de las operaciones de una compañía, lo que en la actualidad está generando un impacto sin precedentes.
El escenario actual de las vulnerabilidades informáticas en el Ecuador, no es diferente al del resto de países de la región. Existe una creciente preocupación e interés por parte de las empresas, pero también por parte de los entes reguladores. Si bien no tenemos una regulación tendiente a proteger riesgos cibernéticos, es destacable la resolución de la Superintendencia de Bancos y Seguros en el año 2012, con la cual se dispuso la contratación de pólizas de seguro que cubran a las entidades financieras contra fraudes generados a través de su tecnología de la información.
El pasado 19 de septiembre de 2019, el Ministerio de Telecomunicaciones entregó el proyecto de Ley Orgánica de Protección de Datos a la Asamblea Nacional, días después de que se conociera la filtración masiva de datos sensibles de millones de ecuatorianos tras un informe de la empresa israelí de ciberseguridad vpnMentor. Sin embargo, no existe aún una normativa que proteja directamente los riesgos cibernéticos, lo cual es una necesidad inminente, pues cada vez se vuelve más importante contar con herramientas técnicas, administrativas y físicas en el tratamiento y protección de los datos, y promover una verdadera cultura referente a la protección de la información vulnerable en las empresas.
Sobre los ataques cibernéticos más comunes y sus principales objetivos
El ransomware es la principal causa de pérdidas en las reclamaciones de ciberriesgos, debido a que, en la mayoría de los casos, genera la interrupción del negocio, lo que refleja una mayor incidencia de estos ataques en todo el mundo. De hecho, el experto de AIG-Metropolitana informa que más de un cuarto de las reclamaciones de ciberriesgos (26%) recibidas en el 2018 y atendidas por AIG-Metropolitana, señalan como la causa principal de pérdida al ransomware. Este es un salto significativo versus un 16% de las reclamaciones en los años 2014 a 2017.
El ransomware es un delito cibernético en el cual los usuarios se ven impedidos de acceder a sus datos o a sus archivos personales. Para liberarlo, el malware solicita un pago en efectivo para poder devolverle al usuario el control de la información.
Los servicios profesionales, financieros y el comercio minorista encabezan la lista de los sectores con más reclamos en cuanto a ciberriesgos. No obstante, cada vez existen más reclamos en otros sectores empresariales. “Esto indica que cualquier industria es vulnerable a los ciberataques”, afirma Báez.
Wannacry (un tipo de software malicioso) es otro de los delitos cibernéticos más comunes. Este brote afectó a miles de dispositivos en todo el mundo. Si un investigador británico no lo hubiera encontrado y activado el Kill Switch (interruptor de apagado de emergencia) este delito habría sido el peor en términos de escala y pérdidas aseguradas.
La violación de seguridad por parte de piratas informáticos, fallos de seguridad, accesos no autorizados y fraude por suplantación de identidad son otros de los tipos principales de cibercrimen. La negligencia de los empleados, con un 7%, también es un factor significativo en la mayoría de reclamaciones por ciberriesgos.
Sobre las vulnerabilidades y riesgos a los que están expuestas las empresas
Servidores externos con acceso remoto combinado con contraseñas débiles: Esto ofrece una oportunidad para la introducción de malware y ransomware.
Falta de conocimiento del usuario que permite la piratería de contraseñas mediante phishing: El usuario se involucra con el contenido de un correo electrónico de phishing y es dirigido a una página de inicio de sesión falsa donde se recogen las credenciales abriendo la cuenta de la víctima a los hackers.
Protocolos de inicio de sesión débiles: El riesgo de phishing se elimina si se habilita la autenticación de dos factores, lo que requiere un código secundario para el registro de la cuenta. Como mínimo, esto debería adoptarse para los directivos y los socios, así como para los empleados que participan en los pagos.
Este tipo de vulnerabilidades pueden ocasionar varios riesgos a las compañías, entre los que se destacan:
Riesgos financieros y operacionales: se presentan por fallos en la red, podrían llegar a suspender operaciones causando pérdidas. También se podría afectar el patrimonio de la compañía en caso de ocurrir un fraude por parte de empleados o terceros al acceder a cuentas o uso fraudulento de las mismas.
Riesgo de reputación: éste es incuantificable, es decir que no importa cuán grande sea la infracción de datos, la reputación de la empresa puede verse afectada y esto se puede traducir en la pérdida de clientes. La afectación a la reputación de la empresa tiene un mayor impacto cuando ésta no es capaz de demostrar todas las medidas previas adoptadas para enfrentar un ciberataque y las acciones incurridas inmediatamente después de conocido el ciberataque.
Propiedad intelectual: vulneración de información privilegiada como por ejemplo planes estratégicos, presupuestos o información confidencial del cliente.
Riesgos legales o regulatorios: pueden existir investigaciones por el quebrantamiento a la información de los clientes, lo cual puede acarrear multas o procesos legales costosos.
Sobre los sectores empresariales y productivos más vulnerables
Durante el 2018, ocho sectores que anteriormente no figuraban en las estadísticas de siniestros de ciberriesgos realizaron notificaciones de ciberincidentes. Esto representa una tendencia constante, pues cada año un mayor número de notificaciones proceden de una gama cada vez más amplia de sectores industriales, como la energía y el transporte.
Si bien los servicios financieros siguen siendo los principales denunciantes de este tipo de siniestros, en el 2018 este sector representó un porcentaje más bajo en comparación al 23% de los años 2014-2017.
La naturaleza de los negocios financiero y asegurador, y el hecho de que en estos sectores se recopilen y almacenen grandes cantidades de datos y estén sujetas a una estricta regulación (y a multas potencialmente elevadas), ha supuesto que estas empresas requieran un planteamiento sólido frente al riesgo cibernético.
La reducción de la proporción de reclamaciones procedentes de las entidades financieras podría reflejar simplemente el crecimiento constante de las reclamaciones de otros sectores, como resultado del aumento del portafolio de pólizas de ciberriesgos.
Otro de los blancos principales de los ciberataques suelen ser las áreas relacionadas a servicios profesionales. Las bases de datos de estudios de abogados y contables son atractivos para los ciberdelincuentes, debido a la calidad de los datos que poseen y son vulnerables a los ciberdelitos que se dirigen a transacciones financieras irregulares.
Sobre qué pueden hacer las empresas para estar prevenidas ante estas amenazas
La tendencia indica que durante el 2019 y los próximos años, las empresas seguirán viéndose afectadas por la mercantilización del ransomware. También se pronostica que, para el final de año, haya un aumento en las pérdidas por violación de seguridad de datos. “La extorsión cibernética tradicional y el fraude de suplantación de identidad se encuentran en las tendencias a observar”, dice el experto de AIG Metropolitana.
Se ha producido un cambio de actitud hacia los datos personales desde que se produjo el escándalo de Cambridge Analytica y Facebook. Los expertos esperan que esto repercuta en el tipo de reclamaciones recibidas en el 2019, pues los consumidores aceptan mucho menos que en el pasado, que se violen sus datos personales.
Ante ello, se requiere tomar medidas para proteger la información generada que pueda ser vulnerable. Entre las medidas de protección existen: Antivirus; firewalls; políticas y procedimientos frente a protección de datos; conocimiento del manejo de información por parte de los empleados; contar con un método para encriptar o almacenar la información confidencial para que esta no se exponga al riesgo de destrucción; realizar auditorías de control interno para determinar el uso de la información, autorizaciones y acceso específico para los empleados.
Una parte importante de la gestión de riesgos dentro de una empresa incluye la cobertura de una póliza de seguros frente a amenazas cibernéticas.
Los seguros de riesgos cibernéticos amparan la responsabilidad de la institución por la información personal o corporativa ante cualquier pérdida derivada de la violación de seguridad. También amparan los gastos de defensa ante cualquier reclamo incluido en la póliza. Este tipo de seguros cubren pérdida financiera derivada de:
La responsabilidad por uso y tratamiento de información.
La responsabilidad por la seguridad de datos.
Las Inspecciones y procedimientos administrativos – investigación.
La pérdida de datos electrónicos.
La restitución de imagen del asegurado.
La notificación y monitoreo.
La extorsión cibernética
La pérdida de beneficios por fallos de seguridad en las redes – interrupción de la red.
Pionera en el mercado ecuatoriano, la Póliza de Responsabilidad Civil para Riesgos Cibernéticos de AIG-Metropolitana ofrece varios beneficios a sus clientes. Así por ejemplo, al momento de existir una vulneración se provee asesoría en la respuesta para hacer frente a un incidente de manera rápida y sistemáticamente. Por otro lado, los clientes tienen un usuario y contraseña especial para hacer uso de una página web global de AIG que incluye asistencia en iniciativas de cumplimiento, ayudas para educar a los empleados sobre requerimientos legales y para capacitar al personal en protocolos de seguridad que ayudan a prevenir errores humanos que podrían causar una infracción en el futuro. Finalmente, para ciertas empresas AIG-Metropolitana pone a disposición un dispositivo que frena un ataque bloqueando la comunicación bi-direccional a las “malas” direcciones IP conocidas, manteniéndolas fuera de las redes de la compañía. Este dispositivo proporciona otra capa crítica de defensa al plan de seguridad y gestión de riesgos de la compañía.