Los riesgos cibernéticos son aquellos generados por un ciberataque, tanto para empresas de todo tipo y tamaño, e incluso para individuos particulares y profesionales independientes. Pero cuando hablamos de ciber riesgos, no se hace referencia únicamente a los ataques intencionados por parte de hackers externos, a la violación de seguridad de datos o a la vulneración de la privacidad, sino también a los daños a terceros como clientes, proveedores, particulares, etc. Christian Rada, Líder de Productos de Ciberseguridad para Marsh Argentina; Esther García Tagliaferri, Underwriting Financial Lines Manager de Chubb; Martín Francisco Elizalde, CEO de Foresenics; y, Gonzalo Ketelhohn, Director Sales & Marketing de Willis Towers Watson, analizaron los alcances de los riesgos cibernéticos y las coberturas que actualmente se ofrecen en el mercado.
Escribe Lic. Aníbal Cejas
Los riesgos cibernéticos son aquellos generados por un ciberataque, tanto para empresas de todo tipo y tamaño, e incluso para individuos particulares (aunque esto es menos frecuente) y profesionales independientes. Pero hay más. Cuando hablamos de ciber riesgos, no se hace referencia únicamente a los ataques intencionados a una compañía por parte de hackers externos, a la violación de seguridad de datos o a la vulneración de la privacidad, sino que también se incluye a los daños a terceros como clientes, proveedores, particulares, etc. Otro aspecto relevante es que los riesgos cibernéticos evolucionan constantemente. Los hackers corren la meta día a día, y cuanto más digital e interconectado es el mundo, mayor es el riesgo.
Al respecto, Christian Rada, Líder de Productos de Ciberseguridad de Marsh Argentina, definió: «Los riesgos cibernéticos están latentes tanto para individuos como empresas dado que actualmente todo está en Internet, nuestra información personal, datos bancarios, fotos, etc. A pesar de que algunas empresas invierten en acciones de seguridad informática, se ha visto mundialmente cómo importantes compañías han tenido incidentes cibernéticos y fugas de datos».
En la misma línea, Esther García Tagliaferri, Underwriting Financial Lines Manager de Chubb, amplió: «El riesgo cibernético es transversal a toda empresa, cualquier entidad tiene riesgo de ser víctima de un ciberataque. La dependencia que tenemos en sistemas informáticos hace del riesgo cibernético un aspecto operacional que toda compañía, independientemente de su sector y tamaño, debe gestionar pues puede generar costos significativos que pueden destruir los resultados de una organización. Cuando se trata de una violación de seguridad de datos o vulneración de privacidad, la pregunta no es si ocurrirá, sino cuándo ocurrirá.
Sesenta por ciento de las empresas en LATAM tuvieron incidentes de Ciberseguridad en 2019, según datos del ESET Security Report 2020. Solo en el primer semestre del presente año, América Latina sufrió 15 mil millones de intentos de ciberataques, según informes de la plataforma Threat Intelligence Insider Latin America de Fortinet.
Adicionalmente, es importante reconocer que la tecnología evoluciona rápidamente generando riesgos cibernéticos emergentes que hacen que los riesgos cambien constantemente. Las amenazas son globales, y aunque las normativas evolucionan a nivel mundial, no hay barreras geográficas».
Luego, Gonzalo Ketelhohn, Director Sales & Marketing de Willis Towers Watson, dijo que a raíz de la incorporación acelerada de la tecnología en todos los procesos de las empresas por la pandemia de Covid-19, «los riesgos cibernéticos son cada vez más amplios, ya sea, por un ataque externo, un error interno o negligencia de personal propio o hasta de los proveedores de servicios externos como, por ejemplo, el procesamiento o almacenamiento de información, servicios de e-commerce, mantenimiento de sistemas, etc. En todos los casos el origen de este tipo de riesgos se multiplica».
Y agregó: «Desde el punto de vista de las consecuencias, los daños también pueden afectar a diferentes partes: daños a terceros tanto a clientes, proveedores, particulares o al gobierno, ya sean incumplimientos contractuales o violaciones regulatorias, pérdidas económicas propias por imposibilidad de operar (bases de datos, lucro cesante) o directamente daños materiales a los activos industriales controlados por sistemas informáticos en maquinarias, procesos de montaje, sistemas de generación de energía, etc».
Por su parte, Martín Francisco Elizalde, CEO de Foresenics, señaló que según el reporte de septiembre de este año de Security Magazine dedicado al impacto de la pandemia en el volumen y frecuencia de los ataques a la seguridad informática, la consultora Coalition resumió la situación en su Informe de reclamaciones de seguros cibernéticos H1 2020 y destacó que dicho resumen no es alentador: «Según Coalition, los ataques cibernéticos han aumentado en número y gravedad desde el inicio de la pandemia de Covid-19. Hubo un aumento del 47% en la gravedad de los ataques de ransomware, además de un aumento del 100% desde 2019 hasta el primer trimestre de 2020. Desde el comienzo de la pandemia, Coalition también informó un aumento del 35% en el fraude de transferencia de fondos y las reclamaciones de ingeniería social presentadas por sus asegurados».
De izquierda a derecha, Christian Rada, Líder de Productos de Ciberseguridad para Marsh Argentina; Esther García Tagliaferri, Underwriting Financial Lines Manager de Chubb; Gonzalo Ketelhohn, Director Sales & Marketing de Willis Towers Watson; y Martín Francisco Elizalde, CEO de Foresenics.
La pandemia y los riesgos cibernéticos
La pandemia nos obligó a adaptarnos a nuevas modalidades de trabajo remoto, exacerbando la utilización de dispositivos digitales y soluciones digitales. Para Ketelhohn, esto hizo que el riesgo cibernético creciera exponencialmente: «Por un lado, muchas empresas se vieron obligadas a establecer planes de emergencia para seguir operando sin tener ni su hardware ni su software suficientemente protegido. En muchos casos el personal empezó a operar desde sus casas, a veces utilizando sus propias PC o Notebooks y las bases de información de la empresa comenzaron a circular entre equipos sin protocolos de seguridad y/o sin antivirus adecuados. Tampoco las redes de conexión doméstica eran seguras como para hacer frente a amenazas como ser el malware o contar con un firewall adecuado, que si lo eran en las oficinas habituales.
A su vez, el mantenimiento de las redes de muchas empresas comenzó a realizarse casi totalmente en forma remota, generando una fuente adicional de riesgo, y las obligó a salir a contratar proveedores de servicio en forma urgente, sin poder realizar una adecuada compulsa de la calidad y capacidad del servicio que recibirían.
Los hackers encontraron en la pandemia una oportunidad por la debilidad de los controles de seguridad informática de las organizaciones a raíz de lo descripto anteriormente. Esto hizo que aumentaran en forma radical la calidad y cantidad de los ataques informáticos (ciberataques) a las redes.
Las grandes organizaciones, con equipos de IT internos o externos más experimentados, tienen más herramientas para hacer frente a la situación. Pero en las empresas más chicas, y sobre todo en las menos sofisticadas con menor capacidad de inversión en ciberseguridad, el riesgo se dispara enormemente».
A continuación, Rada remarcó: «Los atacantes aprovechan nuestra mayor dependencia de las herramientas digitales durante el aislamiento social y la incertidumbre de esta crisis. En tiempos como estos, todos los integrantes de una familia pasan más tiempo conectados, ya sea para trabajar remotamente, estar informados, entretenidos (descarga de streaming), conectarse con amigos o tomar clases virtuales, así como para jugar en red o en las redes sociales. Las empresas y organizaciones del sector público y privado están aplicando políticas de teletrabajo, y las interacciones laborales están siendo a través de videollamadas y chats.
El aislamiento social expone a las personas a pasar más tiempo on line, corriendo el riesgo de caer en el acceso ‘gratuito’ a sitios Web o ingresar en enlaces equivocados donde se abren las puertas a posibles ataques, solicitudes de información de tarjetas de crédito o la instalación de aplicaciones de visualización. Al estar las personas conectadas desde su casa, la exposición es mayor porque en muchos casos no cuentan con medidas de seguridad tan controladas como tienen en la oficina. Las empresas están en riesgo si los empleados no tienen la capacitación y concientización necesaria sobre las precauciones que deben tomar o cómo se debe trabajar.
Si bien las empresas están implementando adecuadas medidas de seguridad, las PyMEs representan un objetivo muy buscado por los hackers, ya que no cuentan con tantos recursos y presentan pocas herramientas de protección, corriendo el riesgo que sus empleados sean víctimas de phishing, que se produce cuando acceden a algún correo que no debían atender, o activan un enlace que descarga un malware o ransomware».
Luego, García Tagliaferri indicó que los cibercriminales saben que, mientras más personas estén conectadas a Internet, más maneras tienen para tomar ventaja de las vulnerabilidades de la red y los errores que los usuarios pueden cometer para tener acceso a información personal y protegida. «Las tecnologías de acceso remoto tienen conocidas vulnerabilidades, las que son aprovechadas por cibercriminales para tener acceso a información personal. Con la infraestructura cibernética, estamos tan o más interconectados que en el mundo físico. Es decir, es la condición ideal para la propagación del cualquier virus. Un ciberataque a gran escala puede causar daños incalculables, por lo que debemos ser conscientes de ello y adoptar las medidas necesarias para mitigar estos riesgos. Las medidas que se tomen hoy pueden ayudarnos a estar preparados», puntualizó.
Cerrando la rueda, Elizalde reflexionó: «Hay que dar énfasis en el simple hecho que el trabajo remoto demolió la estructura de seguridad centralizada de las empresas. Cada hogar con un trabajador remoto se asemeja a un fuerte en territorio hostil. Las buenas prácticas de seguridad siguen siendo laxas -en el mejor de los casos-. El temor y la preocupación que se han convertido en un compañero más de trabajo, hacen que los usuarios distraídos sean especialmente vulnerables a los ataques de phishing y ransomware. En mi visión, los bancos y empresas de servicios financieros serían las menos afectadas de un modo frontal, pero me parece que siguen siendo extremadamente vulnerables. La razón es que la data financiera que los criminales buscan está almacenada en instituciones menos preparadas para defenderse, como las que integran los servicios de seguros de medicina y de educación».
Coberturas para los riesgos cibernéticos
Ahora bien, ¿cuáles son las coberturas que ofrece el mercado para transferir el abanico de riesgos cibernéticos?
Rada respondió: «Las coberturas están evolucionando a la par de los nuevos riesgos que van apareciendo, y es por ello que hoy existen opciones de cobertura tan amplias como las distintas necesidades que existen para transferir los riesgos por incidentes cibernéticos.
Las coberturas de ciber riesgos actuales incluyen los montos de rescate y gastos ante un incidente de extorsión cibernética por secuestro de datos sensibles, pérdida de ingresos por interrupción del negocio, reclamos o juicios a consecuencia de divulgación de información sensible, gastos para la restitución de la imagen de la empresa, honorarios de abogados y peritos, reclamos derivados de responsabilidad por fallas en la seguridad de la red informática, reclamos por calumnias e injurias y derechos de autor en material publicado por el asegurado en la red, entre otras».
Seguidamente, García Tagliaferri detalló: «Estas pólizas pueden ser contratadas por empresas de cualquier tamaño o rubro y pueden ser un factor determinante cuando la privacidad de una empresa o sus operaciones regulares se vean vulneradas. Generalmente se contempla, no solo el pago de la pérdida patrimonial que un evento cibernético puede generar, y que se traduce en gastos de abogados, perjuicios generados a terceros por manejo inadecuado de datos personales o información corporativa confidencial o por transmisión de virus, sino que puede incluir costos de recuperación de la información o sistemas y la utilidad dejada de percibir por la interrupción del negocio. Incorpora además, costos de expertos necesarios para recuperarse de la situación. En esta medida, los seguros de gestión de riesgos cibernéticos se convierten en un aliado para las empresas porque le ayudan en su recuperación de incidentes y se convierten en un complemento para las áreas informáticas».
Por último, Ketelhohn precisó: «Las pólizas de Riesgos Cibernéticos son relativamente nuevas a nivel mundial y en nuestro país recién comenzaron a desarrollarse hace tres años. Es por lo tanto, un producto de seguros en pleno proceso de maduración y crecimiento, con mucho campo aún para desarrollar coberturas adicionales según las necesidades de los asegurados». El ejecutivo además detalló las coberturas habituales más importantes:
• Daños a Terceros por fallas en la protección de datos. Amparando indemnizaciones y gastos de defensa derivados de reclamos de Terceros.
• Incumplimientos regulatorios. Amparando los gastos de defensa para hacer frente a los mismos y, en algunos casos, cubriendo también las multas regulatorias que deban pagarse.
• Costos para recuperar los sistemas, tanto para descubrir la causa del problema y corregirlo, como para recuperar bases de datos, conexiones remotas, recupero de contraseñas, etc. Normalmente las empresas necesitan contratar empresas especializadas en ciberseguridad para poder recuperar sus sistemas y los costos pueden ser muy elevados en medio de una urgencia. Por ello, contar con una póliza que cubra dichos costos es clave.
• Lucro Cesante, derivado de no poder operar. Perder bases de datos de clientes o proveedores, imposibilidad de facturar, información bancaria, conexión con servicios de venta online. Son todas fuentes de ingresos afectadas ante un siniestro y que pueden generar una pérdida considerable al Asegurado.
• Ataques de ransomware. Algo que se observa mucho son los ataques de hackers que bloquean los sistemas y solicitan rescates para devolver su funcionalidad. Además de los servicios de asistencia de especialistas para intentar recuperar el control del sistema y no perder información, algunas coberturas incluyen también el eventual pago de rescates.
Ketelhohn concluyó afirmando que «todavía hay lugar para desarrollar coberturas adicionales».
