Módulos Temas Día

The Economist: Crece el mercado de los ciberseguros

Por desgracia, es más difícil gestionar riesgos computacionales que riesgos físicos.

El ataque de WannaCry el 12 de mayo y el ataque de ExPetr el 27 de junio. Aunque eran muy diferentes en su naturaleza y objetivos, ambos resultaron sorprendentemente ineficaces como ransomware. Por ejemplo, en el caso de WannaCry, su rápida propagación gl

A las empresas les preocupan cada vez más las amenazas latentes que se ocultan en sus sistemas computacionales.

Suena a que lo bautizó un niño de 7 años y parece salido de una película. Instalado en un moderno camión negro, el “Centro de Comando X-Force de Operaciones Tácticas de Ciberseguridad” creado por IBM viaja de una ciudad a otra con el propósito de simular la experiencia de una víctima de ciberataque.

En su interior, entre varias filas de escritorios con monitores y teclados, destacan tres pantallas gigantes. La sala de controles alberga el equipo del servidor que le permite al personal de IBM simular una red corporativa, a la que bombardean con todo tipo de jugarretas digitales.

Los adolescentes “comprenden de inmediato qué está pasando”, afirma Caleb Barlow, quien dirige las operaciones. Los consejeros de las grandes empresas también disfrutan la visita: “Es muy distinto a lo que hacen todos los días”.

No obstante, su interés no es tan solo recreativo. A las empresas les preocupan cada vez más las amenazas latentes que se ocultan en sus sistemas computacionales. Una encuesta realizada en el 2018 por KPMG y la empresa Harvey Nash, especializada en el reclutamiento de ejecutivos, reveló que tan solo una quinta parte de los directivos creían que su empresa estaba bien preparada para enfrentar un ataque.
Algunos ataques informáticos notorios corroboran esa perspectiva tan pesimista. En noviembre, la cadena hotelera Starwood, propiedad de Marriott International, dio a conocer el robo de 500 millones de registros de sus clientes.

En el caso del robo de información de tarjetas de crédito de clientes de la empresa estadounidense Ticketmaster, el minorista informático Newegg y British Airways, el grupo de ciberdelincuentes Magecart es el principal sospechoso.

En el 2017, los dos programas malignos WannaCry y NotPetya afectaron archivos de organizaciones de todo el mundo. La empresa danesa de transporte Maersk reportó costos derivados del ataque que ascendieron a US$ 300 millones. Por otra parte, algunos errores graves pueden ocasionar tanto daño como los ataques. En abril, el banco británico TSB tuvo problemas durante el proceso para migrar operaciones a una plataforma más moderna y bloqueó el acceso de millones de clientes a sus cuentas.

Tales desventuras han impulsado el rápido crecimiento de un mercado especializado en seguros para cubrir riesgos cibernéticos. Aunque no hay muchas cifras confiables, la reaseguradora Munich Re calcula que las pólizas suscritas por este mercado generaron US$ 4,000 millones en primas durante el 2018, y que esa cantidad podría situarse entre 8,000 y 9,000 millones de dólares para el 2020.

Rob Smart, de la empresa Mactavish, que colabora con las principales aseguradoras británicas, afirma que “casi todos” sus clientes han explorado la oferta de seguros cibernéticos desde hace algunos años y las aseguradoras batallan para contratar a los escasos especialistas. Dos ex directores de la organización británica de espionaje electrónico GCHQ ahora se dedican a prestar servicios de asesoría a la industria.

El mercado se ha desarrollado más en Estados Unidos, según Robert Hannigan, uno de los ex directores de GCHQ, en cierta medida gracias a que en el 2003 se aprobaron en California leyes que imponen a las empresas la obligación de informar acerca de cualquier falla importante en la seguridad de sus datos. Otros estados han tomado como modelo estas leyes.

Europa tampoco se ha quedado muy atrás, en opinión de Joseph Ahern, de la Asociación de Aseguradoras Británicas, pues ahora cuenta con ciertas leyes de privacidad y presentación de informes más estrictas que las de Estados Unidos.

La necesidad de seguros confiables irá en aumento a medida que las empresas utilicen más las computadoras, los ciberdelincuentes se vuelvan más astutos y los reguladores desaprueben las medidas de seguridad laxas. Con todo, debido a la naturaleza única de los ciberriesgos, su gestión es difícil para la industria aseguradora. En el peor de los casos, incluso podrían hacer desaparecer a este mercado naciente.

Las pólizas disponibles hasta ahora por lo regular son vagas, explica Smart, y varían muchísimo en cuanto a los riesgos cubiertos. En su opinión, eso causa inquietud entre las empresas, por lo que varios clientes importantes han decidido no comprar ningún seguro. Con toda seguridad, conforme la industria madure, las pólizas serán más claras y adoptarán criterios más generalizados. Sin embargo, existen otros problemas que podrían persistir.

Para empezar, es bien conocida la dificultad de identificar al responsable de un ciberataque en particular. Mondelez, la empresa estadounidense de la industria de la alimentación que sufrió un ataque con el programa maligno NotPetya, demandó a la enorme aseguradora Zurich por negarse a efectuar el pago de una póliza general de seguros. Zurich cita una cláusula de exclusión de pérdidas relacionadas con situaciones de guerra, pues argumenta que, al parecer, Rusia se encuentra detrás del ataque con el programa NotPetya.

Incluso un gobierno con tecnología muy sofisticada tendría problemas para demostrar tal argumento conforme a los estándares que exigen los tribunales, comenta Andrew Coburn, de la consultora Risk Management Solutions. Pero si Zurich gana, podría desencadenar un efecto devastador en el mercado, a menos que las aseguradoras acepten que para ofrecer ciberseguros quizá deban asumir algunos riesgos que antes preferían evitar.

Encima de todo, poner precios a los riesgos de ciberseguridad es de lo más complicado. Cualquier software contiene errores y algunos de ellos producen puntos débiles en materia de seguridad. El problema es que muchos no son evidentes hasta que un ciberdelincuente comienza a aprovecharlos.

Los ciberriesgos son tan nuevos que las aseguradoras tienen muy pocos datos y, en vista del ritmo de los cambios tecnológicos, los datos que sí tienen son útiles por un período muy breve.

“Cuando se trata de una inundación, sabemos qué tipo de daños puede ocasionar el agua”, explicó Shannan Fort, de la corredora de seguros Aon. “Además, no es muy probable que esa situación cambie en cinco o diez años. En contraste, la forma en que empleamos la tecnología ha cambiado, en todos los sentidos, en tan solo una década”.

Quizá la mayor dificultad que enfrentan las aseguradoras sea que los riesgos que representan los ciberataques no son aislados. Si una refinería petrolera se inunda en Texas, no aumentan las probabilidades de que le ocurra lo mismo a otra ubicada en París.

Las aseguradoras incluyen esa característica de independencia en sus modelos de riesgos y se basan en ellos para calcular la cantidad máxima que tendrían que pagar en un solo año. Por desgracia, una sola falla descubierta en cierto software puede provocar que todos sus usuarios sean vulnerables de manera simultánea. Las aseguradoras temen que un solo ataque de gran magnitud afecte a muchos de sus clientes al mismo tiempo. En el peor de los casos, el valor de las reclamaciones podría superar su capacidad económica.

El ataque con el programa maligno WannaCry en el 2017 es un buen ejemplo. Gracias a información robada de la Agencia Nacional de Seguridad, la homóloga estadounidense de GCHQ, sobre una vulnerabilidad de software, en solo unos días el programa infectó a un cuarto de millón de computadoras de 150 países distintos.

El ataque se contuvo por mera suerte cuando Marcus Hutchins, un investigador de seguridad que fue arrestado más adelante por otros motivos, logró tener acceso al sistema de control del programa maligno y pudo detenerlo. Nadie sabe si la industria encontrará la forma de lidiar con este fenómeno de acumulación de riesgos. Un experto se lamentó en estos términos: “Como que destruye por completo el concepto de aseguramiento”.

Leer comentarios ( )