(CNN Business) – La lista de ataques de ransomware de alto perfil se hace más larga y alarmante cada semana, afectando todo, desde gasoductos y suministros de carne, hasta transbordadores. Las empresas y agencias que se ven afectadas deben luchar para proteger sus sistemas y tomar la difícil decisión de si deberían pagar a los hackers para eliminar los daños.
Ante esta situación, las empresas afectadas se podrían apresurar para comunicarse con sus equipos de tecnologías de la información (TI), la policía, sus equipos de relaciones públicas para la gestión de crisis, los abogados y las fuerzas del orden. Pero, con frecuencia, una de las primeras llamadas es a su proveedor de seguros.
A menudo las empresas compran planes de seguro cibernético específicos para ayudar a proteger sus sistemas y cubrir cualquier pérdida de un ciberataque. Y el ransomware, que permite a los hackers hacerse cargo de los sistemas informáticos (o incluso de infraestructuras físicas) y obtener tarifas de millones de dólares para desbloquearlos, solo ha impulsado la demanda de ese seguro.
Pero esta línea de vida también puede ser más difícil de acceder para las empresas debido al aumento de los costos, los requisitos más estrictos de las aseguradoras y el mayor escrutinio del Gobierno cuando los hackers extranjeros están involucrados.
Creciente demanda
AIG, una de las aseguradoras más grandes del mundo, dice que vio un aumento del 150% en las reclamaciones de rescate y extorsión entre 2018 y 2020. Las demandas de rescate ahora representan una de cada cinco reclamaciones de seguros cibernéticos, agregó la compañía.
“Las empresas de uso intensivo de datos fueron las primeras […], pero en los últimos años, todos los tipos de industrias han comenzado a comprar seguros cibernéticos” dijo a CNN Business Tracie Grella, directora global de Seguros Cibernéticos de AIG. “Creo que en este punto está ciertamente claro que todas las industrias se ven afectadas, todas tienen que gestionar el riesgo cibernético”.
Según el tamaño de la empresa y lo que se deba cubrir —desde equipos de seguridad y abogados hasta posibles demandas y reembolsos por pérdidas comerciales o incluso pagos de rescate— los planes pueden costar desde “un par de cientos de dólares […] hasta varios millones de dólares”, dijo Grella, agregando que los clientes de AIG realizan pagos de rescate aproximadamente el 50% del tiempo.
El FBI y los expertos en seguridad cibernética recomiendan no pagar rescates, pues dicen que los pagos alientan a los ciberdelincuentes a intensificar sus objetivos de negocios e infraestructura.
El costo promedio de una póliza de seguro cibernético, en 2019, fue de US$ 1.500 al año por US$ 1 millón en cobertura con un deducible de US$ 10.000, según Mark Friedlander, del Instituto de Información de Seguros, con sede en Nueva York.
Se vuelve más difícil y más caro
A medida que aumenta la frecuencia y el rango de objetivos de los ataques de ransomware, ese costo aumenta. Según un informe de Fitch Ratings, presentado en abril, las primas totales para la cobertura del seguro cibernético alcanzaron los US$ 2.700 millones, en 2020, un aumento del 22%, con respecto al año anterior, y se espera que aumente aún más en 2021.
Las empresas que quieren un seguro cibernético ahora también están sujetas a un escrutinio mucho más severo de sus medidas de seguridad cibernética existentes antes de que puedan obtener la aprobación de un plan.
AIG ofrece a los clientes potenciales una lista de 25 preguntas específicas sobre sus protecciones contra ransomware, que incluyen detalles sobre la frecuencia con la que ponen a prueba a los empleados contra ataques de phishing por correo electrónico y cuánto tardan en implementar parches de seguridad críticos (que van desde “en 24 horas” hasta “más de 7 días”).
“En este momento, el ransomware es más frecuente, por lo que tenemos una estrategia de suscripción más profunda y específica en torno al ransomware”, dijo Grella. “Si no se cumplen ciertos controles, es probable que aún proporcionemos cobertura […] pero se reducirá la cobertura”.
Algunos expertos en seguridad cibernética también advierten que la contratación de seguros no es una solución general, especialmente cuando la demanda está aumentando.
“En algunos casos, las organizaciones están demasiado preparadas para transferir este tipo de riesgo a través del seguro. Creen que es un respaldo realmente saludable y pueden evitar hacer algunas de las otras inversiones más dolorosas en seguridad”, dijo Mike Hamilton, director de Seguridad de la Información en la firma de seguridad cibernética Critical Insight.
Y dado a que esta semana el Gobierno de Estados Unidos está decidiendo utilizar protocolos similares para lidiar con los ataques de ransomware como lo hace con el terrorismo, particularmente aquellos vinculados ciberataques de Estado-nación, Hamilton dice que los proveedores de seguros tienen una vía potencial para evitar pagar reclamos de seguros cibernéticos. El seguro contra terrorismo es a menudo un plan separado que se ofrece a las empresas y rara vez cubre eventos que se consideran actos de guerra.
“Si las compañías de seguros pueden llamar a algo un acto de Estado-nación o un acto de terrorismo, no tienen que cumplir con sus políticas, y eso va a ser un problema”, agregó.
A quién más contactar
Con o sin una póliza de seguro cibernético, la primera línea de defensa de la mayoría de las empresas contra los ciberataques sigue siendo su departamento de TI interno. No es raro que las empresas tengan contratos con empresas de ciberseguridad externas que pueden desplegar equipos de respuesta a incidentes y negociadores de rescates cibernéticos.
Pero los expertos dicen que también es importante lograr que las agencias gubernamentales y las fuerzas del orden se involucren desde el principio. El FBI es la agencia principal que está a cargo de investigar los ataques cibernéticos y que proporciona recursos como el Centro de Denuncias de Delitos por Internet (IC3) y la Fuerza Nacional de Tarea Conjunta de Investigación Cibernética (NCIJTF, por sus siglas en inglés) donde las empresas pueden reportar incidentes.
Otras agencias que manejan ataques cibernéticos incluyen el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC, por sus siglas en inglés) del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) y el equipo de preparación para emergencias informáticas de EE.UU. (US-CERT, por sus siglas en inglés). La mayoría de esas agencias tienen portales en línea para reportar incidentes y también proporcionan números telefónicos.
“Lo primero que debe hacer una empresa es llamar al Gobierno federal”, dijo Andrew Rubin, fundador y CEO de la firma de seguridad cibernética Illumio.
“Cuando las empresas operan en un silo, las cosas se salen de control”, agregó. “El intercambio de información entre los sectores público y privado es fundamental”.