El riesgo cibernético puede definirse como cualquier riesgo de pérdida financiera, afectación o daño a la reputación de una organización, derivado de algún tipo de falla de su sistema tecnológico de información. Un ciberataque no detectado a tiempo puede costar millones de dólares o incluso acabar con la reputación del negocio. Este artículo indaga sobre los ciberataques en el actual contexto generado por la pandemia Covid-19, así como también sobre las coberturas existentes para mitigarlo.
Escribe Dra. Gabriela Álvarez
Si bien conocíamos la importancia del acceso a internet en la operatoria de cada empresa, esta pandemia del Covid 19 despejó todo tipo de dudas, no sólo sobre la necesidad el acceso a una buena red de conexión, sino también la importancia de contar con sistemas que puedan utilizarse de forma remota, el teletrabajo, la accesibilidad a diferentes sistemas sin importar el lugar donde el usuario se encuentre. Podríamos decir que ha acelerado el proceso que ya se venía dando, y se hizo fundamental la necesidad de avanzar varios escalones juntos, que de otra forma se hubieran dado más paulatinamente.
Sin embargo, los avances, oportunidades y eficiencia que trae aparejado el acceso a la nube, compartir información, la interacción entre empresas e individuos, también conlleva como contrapartida la exposición a grandes riesgos relacionados con el uso de la tecnología, la cantidad inconmensurable de datos que se manejan en las redes y webs, riesgos como pérdida o publicación de datos de clientes, suplantación de identidad, ataques cibernéticos, fraudes, etc. Las empresas financieras principalmente manejan claves, información y hasta dinero de clientes, lo que requiere no sólo un sistema de mayor complejidad, sino también el uso de herramientas de seguridad para la protección de los datos personales y de las operaciones que se realizan a través de esos canales digitales. Un ciberataque no detectado a tiempo puede costar millones de dólares o incluso acabar con la reputación del negocio. Imaginemos tan sólo lo que ocurriría con la violación de las claves de seguridad, el control de computadoras personales en forma remota, el robo de información personal y la introducción de virus informáticos, que son algunas de las amenazas más frecuentes y que percibimos como tan lejanas, pero que sin embargo no lo están.
Concepto
En la jerga diaria, es común escuchar acerca de los riesgos cibernéticos, o también conocidos como cyber risks, pero ¿a qué nos referimos cuando hablamos de ellos? Coberturas como riesgo reputacional son, al menos en nuestro país, poco conocidas, pero cada vez más importantes.
Según el Instituto de Gestión de Riesgos, organismo líder a nivel mundial en todo lo atinente a la gestión de los riesgos a los que se pueden ver sometidas las empresas, el riesgo cibernético podemos definirlo como cualquier riesgo de pérdida financiera, afectación o daño a la reputación de una organización, derivado de algún tipo de falla de su sistema tecnológico de información. Esa afectación puede provenir de fallas en el propio sistema de información, de un error humano o bien de influencias externas.
La forma más común en la cual se ha materializado en las empresas es a través de los famosos ataques cibernéticos, acciones ilegales llevadas a cabo por hackers con el objetivo de generar daños en los sistemas de información de una organización, o bien robar datos contenidos en ella. Con motivo del desarrollo tecnológico de las empresas y las nuevas soluciones digitales, el riesgo cibernético al cual se ven expuestas es cada vez mayor, la exposición de datos de sus clientes representa una gran desafío y hacer hincapié en la seguridad de los mismos es hoy en día la principal preocupación de las empresas, básicamente por los daños que podría provocar la violación de sus sistemas.
Según lo define el Fondo Monetario Internacional, existen dos tipos de costos asociados a los ataques cibernéticos. Por un lado, los costos directos, que incluyen investigaciones forenses, asesoría legal, notificaciones al cliente, protección y seguridad al consumidor y medidas pos ataque para mitigar sus efectos. Por otro lado, se encuentran los costos indirectos, los cuales son menos visibles, tienen efectos de más largo plazo y son más difíciles de cuantificar. Dentro de esta categoría podemos enmarcar los efectos adversos sobre la marca, o también llamado riesgo reputacional, la depreciación del valor de la propiedad intelectual, operaciones para prevenir futuros ataques y el impacto sobre las primas que paga el afectado para asegurarse contra futuros eventos.
En los últimos años, la experiencia -sobre todo a nivel internacional- nos muestra que el principal objetivo de los ataques cibernéticos son sin duda las organizaciones financieras. Ello genera gran preocupación en el sector, principalmente por la magnitud de los daños que estos ataques provocan. Como ejemplos de este tipo de daños podemos citar el ataque ocurrido en el año 2014 al sistema de negociación de divisas de un banco comercial ruso; en el año 2015, efectuaron en 14 minutos numerosas transacciones por un valor de U$s 400 millones. En el año 2016, un grupo de hackers robaron 31 millones del banco central de ese mismo país. Asimismo, otro riesgo sumamente importante que enfrentan las empresas financieras se vincula con el robo de información tanto de sus clientes como de la propia organización, que en muchos casos incluyó su divulgación en redes sociales.
Otras empresas que también figuran entre las más expuestas a estos riesgos son: el retail, el negocio automotriz, el sector salud, la industria farmacéutica y el sector construcción.
Ciberataques y Actualidad
Sin duda alguna, la cuarentena que atravesó gran parte del mundo debido a la pandemia, aceleró en forma dramática el avance del teletrabajo y las compras on line. Con este escenario, las medidas de prevención de riesgos y los controles sobre todos los sistemas de la empresa, se deben intensificar, máxime si tenemos en cuenta que los hogares no suelen contar con medidas de seguridad eficientes y el hecho de activar computadores, tablets u otros dispositivos fuera de las redes de la empresa, agiliza y facilita el trabajo de los hackers.
La Asociación Argentina de Lucha Contra el Cibercrimen informó recientemente que durante la cuarentena se observó un incremento de delitos cibernéticos, tales como, la extorsión online 20,42%, el phishing 16,53% y el fraude 14,89%.Una aplicación, que tuvo su desarrollo en cuarentena y se hizo casi fundamental tanto para trabajar como para llevar adelante las clases en los colegios, reuniones de familia y amigos, fue la conocida Zoom. De hecho, durante el Coronavirus han crecido exponencialmente las descargas y el uso de esta aplicación de videoconferencia, la cual sin embargo ha sufrido grandes brechas en su seguridad, al punto tal de que muchas empresas han prohibido a sus empleados su uso para evitar posibles inconvenientes.
En nuestro país, las coberturas de ciber seguridad recién se están iniciando y son tomadas principalmente por las grandes organizaciones. Sin embargo, cualquier empresa es susceptible de sufrir ataques cibernéticos que pongan en peligro su normal desenvolvimiento, sin importar el tamaño de la misma, ya sea el robo de información de sus clientes, o su propia información y, sobre todo, la llamada reputación corporativa.
Según datos de la National Cyber Security Alliance de EE.UU., el 60% de las PyMEs desaparece dentro de los seis meses siguientes a sufrir un ciberataque. Como contrapartida de ello, las pequeñas y medianas empresas, creyendo erróneamente que los hackers no se sentirían atraídos por ellas, son las que menos invierten en ciberseguridad, optando incluso a veces por herramientas de uso gratuito, que lejos están de garantizar un soporte completo.
Durante el primer semestre de 2020, la principal ciberamenaza que aumentó su incidencia fue el llamado ransomware. Durante este periodo, un gran número de empresas, entidades estatales, particulares e incluso organizaciones sanitarias han sido víctimas de este tipo de ciberataque, cuyo principal objetivo es cifrar el máximo número posible de equipos conectados a las redes de las organizaciones para dejarlas inoperativas y solicitar un precio de rescate más elevado. No conformes con ello, los atacantes amenazan cada vez más a sus víctimas con hacer pública la información sensible si las entidades afectadas no pagan el rescate.
A nivel internacional, la relevancia de algunos sectores ha hecho que durante estos seis meses se hayan convertido en el objetivo de los ciberataques. Además de los numerosos ataques a hospitales, el blanco de los hackers fueron las empresas que controlan la red eléctrica o el suministro energético, las empresas petroquímicas, el transporte y la automotriz. En este último caso, un equipo de hackers descubrió una vulnerabilidad en un sistema operativo que está presente en la mayoría de los coches conectados, un software que equipa buena parte de los sistemas de navegación de los vehículos conectados. Esta intrusión en el sistema permitirá manipular de forma remota ciertos parámetros del sistema operativo de la navegación por satélite, algo que podría desembocar en una ejecución a distancia de código. Ello provocaría que se pueda llegar a controlar remotamente ciertas funciones de los coches afectados.
Los ciberataques no pueden prevenirse en la mayoría de los casos, pero al menos podemos tratar de minimizar sus consecuencias. Para ello resulta de suma importancia que los usuarios estén siempre atentos a cualquier correo de origen extraño o con un adjunto que no estaban esperando, que hagan uso de mecanismos de doble factor de autenticación o autenticación de 2 pasos, y que se aseguren de mantener sus equipos actualizados y con la adecuada protección.
Por parte de las empresas, con el fin de mitigar los riesgos, deben considerar fortalecer las siguientes actividades:
• Realizar una revisión detallada de las medidas de seguridad para el teletrabajo, con base en buenas prácticas internacionales (ejemplo, NIST).
• Hacer uso de protocolos seguros de comunicación y doble factor de autenticación.
• Reforzar los mensajes de concientización en ciberseguridad en colaboradores y terceros que tengan acceso a la red y sistemas de la compañía. Conocer qué tan seguras son las terceras partes que conforman nuestra cadena de valor no es algo menor, pues cada vez se conocen más noticias de grandes empresas que han sido vulneradas a pesar de contar con robustas estrategias de seguridad.
• Monitorear permanentemente eventos de seguridad que podrían sugerir un ciber-incidente en proceso o que ya ha ocurrido.
• Definir un plan de respuesta ante ciber-incidentes.
Ciberataques y Seguros
El mercado de la cobertura de riesgos cibernéticos es variado y dinámico. A medida que la tecnología crece y permite realizar nuevas acciones a través de ella, los riesgos van mutando hacia sistemas cada vez más sofisticados, por ello la cobertura de este tipo de riesgos requiere una constante actualización.
Las aseguradoras están haciendo sus mayores esfuerzos para proporcionar claridad y excluir explícitamente la cobertura cibernética en las pólizas no cibernéticas, con el fin de disminuir o eliminar las ciber exposiciones silenciosas. Como contrapartida de ello, los clientes se están volviendo más sofisticados y demandan una cobertura cibernética por separado, ya que no quieren que otros riesgos consuman su cobertura global.
Si bien en nuestro país, las coberturas pueden tener nombres y alcances diferentes según la compañía aseguradora que suscriba el riesgo, las más comunes que ofrece el mercado son:
• Cobertura gastos legales, que básicamente incluye los honorarios de abogados, peritos y las primas razonables y necesarias por cualquier póliza judicial o caución.
• Cobertura gastos para cubrir la defensa ante procedimientos regulatorios.
• Cobertura para cubrir gastos de notificación a clientes sobre el incidente informático sufrido en los sistemas del asegurado (en los casos que así sea requerido legalmente).
• Cobertura para gastos de expertos de relaciones públicas para la restitución de imagen del asegurado luego de un incidente.
• Cobertura para gastos de rescate ante un incidente de extorsión cibernética, (ej. Virus ramsomware);
• Cobertura para la recuperación de datos perdidos por un incidente informático.
• Cobertura de pérdida por interrupción del negocio, en general esta cobertura está limitada a un período de tiempo especificado en el texto de póliza.
• Cobertura por reclamos a consecuencia de divulgación de información sensible (datos personales, información corporativa, etc.) de clientes del asegurado.
• Cobertura de reclamos derivados de responsabilidad por fallas en la seguridad de la red informática del asegurado.
• Cobertura de reclamos por calumnias e injurias y derechos de autor en material publicado por el asegurado en la red.
Actualmente hay tres aseguradoras principales que ofrecen la cobertura de ciber riesgos, las cuales son Chubb Argentina, Meridional Seguros y Sura Argentina.
