Informe Operadores de Mercado dialogó con tres especialistas acerca de los ataques informáticos masivos y sus consecuencias, los seguros cibernéticos disponibles en el mundo y la situación en la Argentina.
Escribe Aníbal Cejas
Según diversas fuentes, se calcula que la mitad de las organizaciones más grandes y desarrolladas han sufrido ciberataques.
Muchas veces, el impacto del ciberataque puede llegar a ser la interrupción de las operaciones de la empresa. Y los beneficios económicos del cibercrimen a nivel global son tan elevados que se los compara con otros delitos altamente ‘rentables’ como el tráfico de drogas.
Contexto
Edson Villar, es líder de los servicios de Consultoría en Ciber-Riesgo para Latinoamérica y el Caribe de Marsh. Recientemente estuvo en Buenos Aires y en la ocasión lo entrevistamos sobre su visión acerca de los ciberataques, y esto afirmó: «Los ciberataques son amenazas que explotan nuestras vulnerabilidades en el mundo cibernético. En este mundo de los ciberataques tenemos cinco actores claves:
• El Crimen Organizado: tienen un beneficio muy alto, y tienen alcance internacional. Tienen muchas personas dedicadas a la investigación y al desarrollo de ‘nuevos productos’ para el ciberataque. Esto incluye a las ‘mulas’ que son las personas que ‘físicamente’ extraen el dinero de cuentas bancarias hacia las cuales se ha derivado el robo.
• Los Hacktivistas: son activistas que hacen sentir su voz a través de herramientas propias del ciberespacio, como Anonymous. Son grupos que llevan a cabo campañas para, por ejemplo, voltear servidores de alguna entidad en particular o alguna dependencia del Estado.
• Los Gobiernos: éstos están sufriendo guerras en el ciberespacio como China y EE.UU., Israel e Irán, y también en Latinoamérica. Los gobiernos están siendo atacados y deben defenderse.
• Los Hackers: son las personas que realmente saben cómo funcionan y como vulnerar los sistemas de seguridad.
• Los Insiders: los hay de 2 tipos en las organizaciones. Puede ser un empleado o colaborador que puede generar una brecha de seguridad intencionalmente o por descuido. El otro es un tercero conectado a la compañía».
Sobre el mismo tema, Marcelo Rodríguez, Presidente de Risk Group Argentina, manifestó: «Llamamos riesgos cibernéticos a los que se dan como consecuencia del incremento de la dependencia de sistemas de procesamiento electrónico de datos, la interacción WEB y el almacenamiento electrónico de datos.
Los efectos que pueden causar pueden ser físicos o no físicos y, específicamente entre los ‘no-físicos’, podemos mencionar como los principales, a la violación/destrucción/secuestro/encriptación o cualquier otra forma de manipulación de los datos que provoca la interrupción de las operaciones.
Algunas actividades están en la actualidad muy dependientes de esta interacción, por ejemplo, Generación Eléctrica, Energía Eólica, Telemedicina y Logística son áreas donde ya se conocen casos. Obviamente eCommerce, Servicios Financieros y Retailers han sido los primeros en verse comprometidos.
En Argentina algunos proveedores de internet han sido atacados y han repelido en varias oportunidades ataques con intento de ‘black-out’ masivos en sus servicios. Otros potencialmente están expuestos por su forma de operación, por ejemplo algunos campos petrolíferos de una importante empresa en Argentina están dirigidos en forma remota desde Holanda; asimismo, los Generadores Eólicos que se ven en la Ruta 3 camino a Bahía Blanca, también operados ‘a distancia’ y potencialmente blancos de cibercrimen. Cualquier interferencia o ataque en su sistema de control remoto afectará la operación hasta su interrupción».
Risk Group forma parte de la red de brokers especializados en nuevas tecnologías (IT, Biotech, Energía alternativa, IoT, Venture Capital) llamada TECHASSURE e integrada por 22 brokers de USA y Europa especializados en estos temas.
Más adelante, Rodríguez agregó: «Kaspersky Lab., una de las principales firmas de seguridad informática del mundo, ha detallado el ranking de amenazas con graves violaciones de seguridad experimentado por las empresas:
1. Malware 24%
2. Phishing 10%
3. Fugas accidentales de información 10%
4. Vulnerabilidad del software existente 9%
5. Intrusión / piratería 8%
6. Imposibilidad de servicio 6%
7. Pérdida / robo de dispositivos móviles propiedad del personal 5%
8. Fugas intencionales de información 5%
9. Fraude de empleados 5%
10. Robo de móviles de terceros 4%
11. Espionaje 4%
12. Falla de seguridad del proveedor externo 3%
13. Ataques cibernéticos dirigidos específicamente a las organización 2%
Como podemos ver, muchos de estos riesgos están directamente vinculados a la manipulación del personal de la empresa y muy pocos son especialmente dirigidos desde el exterior a la organización, por lo tanto, las diligencias referidas a las buenas prácticas y la gestión de riesgo son fundamentales para evitar una sustancial pérdida de lucro por interrupción de las operaciones.
AXA indicó en su informe que 2017 fue el año histórico del Malware, ya que en los ataques de Petya, NotPetya y WannaCry, se infectaron los sistemas informáticos en más de 150 países. Entre ellos, obviamente, la Argentina».
Más adelante, Camilo Gutiérrez, Especialista en Seguridad Informática de ESET, sostuvo: «El riesgo es la posibilidad de que ocurra un problema, contratiempo o daño. Desde el punto de vista del ciber-riesgo, será entones la posibilidad de que ocurra a través o por un medio digital. Siguiendo la definición no se puede decir que sólo los ataques informáticos masivos son acciones dañosas, cualquier ataque o contingencia no contemplada puede resultar en una acción dañina por más que no fuera masiva. Por ejemplo, un empleado que filtre información de manera adrede o no, es un riesgo a tener en cuenta, pero también cualquier circunstancia alrededor de la infraestructura digital de una empresa conlleva riesgos a mitigar.
La reducción absoluta de riesgos no existe, es una utopía. Se debe trabajar con el concepto de riesgos aceptables, en base a los planes de contingencia que se armen para cada riesgo detectado. Ejemplos claros son: ante la caída del servicio de internet, tener otro proveedor; ante el borrado de información, un correcto sistema de backups; ante un ataque de malware, contar con el sistema de protección adecuado y actualizado, por nombrar sólo algunos».
Y dijo: «Se puede definir un ataque informático como masivo cuando el mismo es lanzado de manera simultánea a distintos objetivos y que no necesariamente tengan un patrón en común. Ejemplos de ataques informáticos masivos son los phishing a millones de cuentas de email buscando que un puñado de las mismas caigan en la trampa de los ciberdelincuentes; o bien las propagaciones de malware; los ataques mundiales de ransomware, donde se bloquean máquinas sin protección o protecciones débiles sin importar el usuario atacado con un fin comercial detrás del ataque (cobrar recompensas a cambio del supuesto desbloqueo del equipo o archivos, que inclusive en algunos casos uno realiza el pago pero no se libra del ataque).
Las consecuencias de los mismos estarán directamente relacionadas al impacto y la efectividad del ataque, donde se pueden ver servicios que colapsan ante ataques de ‘Denegación de Servicio’, o bancos que ven vulnerada la información de sus clientes por una campaña de phishing que resultó exitosa. No es raro encontrar campañas dirigidas a una población o clientela particular que busca maximizar la cantidad de usuarios afectados. Entre los ejemplos podemos visualizar una de reciente difusión que buscaba captar clientes de un banco chileno; por otro lado ataques masivos dirigidos a la infraestructura de un país o una empresa, pueden generar eventualmente cortes energéticos, del suministro de agua, o bien de cualquier servicio que sea controlado por infraestructura informática».
Coberturas
Sobre las coberturas disponibles para riesgos en el mundo y en la Argentina, Rodríguez, de Risk Group, señaló: «Argentina viene por detrás de lo que sucede en el primer mundo, a pesar de ser un ‘HUB’ de empresas tecnológicas (los llamados ‘unicornios’), ni las normativas europeas del GDPR, ni las norteamericanas o las chinas, han significado una mayor demanda de estos seguros. Convengamos que la concientización es baja, la percepción pública también y la economía no ayudan a que las empresas se aseguren frente a riesgos cuya cobertura no tiene requerimiento de ley. Muchas empresas multinacionales ya cuentan con sus programas globales cubriendo ciber-riesgos pero la gran mayoría de las empresas argentinas aun lo están analizando. Es que también es necesario estudiarlo desde el ángulo de la solución tecnológica y la auditoría de sistemas, la protección física de los equipos, la cadena de valor y su cultura de prevención del cibercrimen y los analistas legales que contengan la opinión pública o las difamaciones.
El Lic González Girardi, en una reciente presentación afirmó un concepto que nosotros en RiskGroup Argentina compartimos totalmente, por el cual ‘debemos impulsar una toma de conciencia en las Empresas e Individuos para que los riesgos cibernéticos formen parte de la tarea de protección de infraestructura crítica. Las empresas deben ver a la gestión de los riesgos cibernéticos de la misma manera que cualquier otro riesgo empresarial, y a tal fin deben generar una estrategia de gestión de riesgos cibernéticos’. Existen en el mundo coberturas de seguros que amparan las pérdidas originadas por daños físicos, daños no físicos, y las responsabilidades frente a terceros, originados como consecuencia de un siniestro cibernético, pero pocas aseguradoras en Argentina tienen hoy un ‘producto’ aprobado para ofrecer a los clientes. Sin embargo, me arriesgaría a decir que, cualquier cobertura diseñada por nosotros o alguno de nuestros colegas, podría funcionar más ajustadamente para las necesidades del cliente. No se trata de ‘compro lo que me ofrezcan’. Se trata de un ajustado diagnóstico de las amenazas y las capas afectadas en la matriz de riesgo, de las mejoras a implementar tras una auditoría tecnológica y las operaciones potencialmente expuestas. Otra sugerencia: asegurarse hoy, aunque la propia percepción del riesgo sea baja, garantizará primas razonables cuando el requerimiento sea obligatorio. Asegurarse a último momento es siempre más caro y en condiciones menos ventajosas».
Y sumó: «Nuestra empresa cuenta con dos productos de seguros que incluyen cláusulas especiales y pueden ‘customizarse’ a las verdaderas exposiciones a riesgo de cada tipo de cliente. La asociación norteamericana TECHASSURE, de la cual formamos parte y tenemos una posición en el Board, cuenta con una póliza con endosos ampliatorios y en permanente evolución.
En RiskGroup consideramos que para cualquier póliza es esencial que los «riesgos no-físicos» y el lucro cesante estén bien definidos y se ofrezca cobertura suficiente. Pero no podemos detenernos en solo ‘vender una póliza’. Se trata de corregir las exclusiones existentes en todas las pólizas del asegurado, es decir, Patrimoniales, Responsabilidades, D&O, Transporte, etc. porque todas ellas serán afectadas en caso de siniestro y deben responder y repetir donde sea necesario.
También el aspecto del servicio en esta cobertura es vital, e implica disponer de los recursos y establecer la capacidad del asegurado para volver rápidamente a las operaciones normales, y reparar los daños en la empresa después de las violaciones que inevitablemente sucederán. Es necesario evitar la superposición de coberturas, pero implementado un programa de seguros completo para CyberRiesgos. La inacción es lo que más expone a siniestros, por lo que recomendamos a nuestros clientes comenzar a trabajar profesionalmente en el análisis de los posibles escenarios en una mesa de discusión donde se encuentre su gente de finanzas, de tecnología, legales y seguros, junto al broker. Una forma progresiva de ir asumiendo las vulnerabilidades y contemplar la mejor forma de asumir o transferir esos riesgos».
Nadie se salva
Villar también enfatizó que ha habido ciberataques a organizaciones y personas de todo el mundo. En este sentido, citó los siguientes ejemplos:
• En el Reino Unido. British Airways (2018): 380.000 datos de tarjetas robados. Aeropuerto de Bristol (2018): pantallas de información de vuelos afectadas por ransomware por 3 días.
• En Chile. Banco de Chile (2018): robo en SWIFT por U$D10 millones.
• En EE.UU. Marriott: Robo de datos de huéspedes. Facebook (2018): Robo de 30 millones de datos personales de usuarios. Google (2018): robo de datos de 500.000 usuarios. T-Mobile (2018): robo de 2 millones de datos. Apple (2017): 90GB de archivos confidenciales robados. Equifax (2017): robo de datos altamente sensibles de 145 millones de personas.
• En Canadá. Air Canada (2018): robo de datos de 20.000 usuarios.
Luego, Gutiérrez, de ESET, explicó por qué la seguridad industrial también puede verse vulnerada por un ciberataque. «La seguridad industrial se puede ver amenazada principalmente desde dos puntos de vista: primero el analizado anteriormente donde se ve afectada la continuidad del negocio generándole pérdidas económicas no solo por el hecho del tiempo fuera de servicio, sino por todas las pérdidas asociadas que se ven en estos casos tales como la caída de las acciones en la bolsa si se trata de una empresa de envergadura, o bien la merma en la confianza de sus clientes actuales o potenciales, generándole un daño residual muchas veces tan o más grande que el daño producido por el ataque.
El otro factor a tener en cuenta en cuanto a la seguridad industrial es el de la propiedad intelectual y la fuga de información que se puede producir al respecto. Si un ataque informático logra, por ejemplo, hacerse de nuevas ideas o proyectos que aún no han sido lanzados y otra empresa logra salir antes de tiempo, inclusive en línea con lo que es la seguridad de la información industrial, también sería igual de grave en caso hipotético que la información financiera o contable de una empresa fuera modificada por un ciberdelincuente».
Para finalizar, Villar detalló que las herramientas que utilizan los ciberatacantes son las siguientes:
• Malware (virus, troyanos, malwares, etc.).
• Phishing, cuando alguien suplanta la identidad de una institución financiera. Se envía un mail al usuario para que ingrese su clave ante un supuesto (falso) inconveniente con su cuenta bancaria.
• Ingeniería social: consiste en engañar (de manera muy creativa) a una persona para que haga lo que desea el hacker.
• Herramientas especializadas, como software malicioso.
• Información fugada: información hackeada que luego se publica en Internet.
• Accesos privilegiados de usuarios con poco control.
Entre las vulnerabilidades más frecuentes en las organizaciones, Villar mencionó:
• sistemas desactualizados,
• ausencia de controles lógicos y físicos,
• inadecuada segmentación de la red,
• configuración insegura de equipos y servers,
• aplicaciones inseguras,
• deficiencias en el monitoreo de eventos,
• personal no concientizado sobre los ciber-riesgos,
• inadecuada gestión de accesos.