Estudios realizados por varias consultoras de ciberseguridad muestran que los ataques de ransomware han crecido más de un 700% en los últimos años. Entre los sectores más afectados se encuentran los relacionados con el consumo, la sanidad, las finanzas o la industria.
Ciberseguros y ransomware
Resulta llamativo comprobar cómo en el año 2020 la mayoría de las víctimas de un ransomware fueron grandes compañías. Las cantidades reclamadas por los delincuentes con cada nuevo intento de extorsión crecieron en torno a un 47% hasta situarse alrededor de los 300 K€.
Bajo esta premisa, podríamos preguntarnos: (1) ¿por qué, en su mayoría, las grandes empresas son objetivos de los ataques de ransomware?, y (2) ¿no son estas las que mejor deberían estar preparadas para responder a la amenaza?
Una parte de la respuesta podría estar precisamente en el “atractivo” que proporcionan sus ciberseguros.
Darwin digital en el sector asegurador
Análisis detallados de los datos recogidos por algunos estudios indican que casi de la mitad de las reclamaciones realizadas a las compañías que aseguran riesgos telemáticos vienen provocadas por ataques de ransomware.
La industria de los seguros se ha visto obligada a adaptar sus servicios a este entorno —el telemático— como si siguieran, de alguna forma, la teoría darwiniana de la evolución.
Muchas compañías de seguros han iniciado movimientos evolutivos, dirigidos a entrar en el mercado de la protección de ciber-riesgos a través de coberturas cada vez más amplias. Más aún, algunas se han aupado en parte de la propuesta de solución a sus amenazas, participando directamente en el propio proceso de respuesta a los incidentes. Al fin y al cabo, orillar la demanda de estas coberturas y centrar el foco en un entorno técnicamente menos “hostil”, dentro de un mercado tan digitalizado, probablemente era el camino perfecto hacia lo que sería su “extinción”.
Podríamos incluso decirlo de otra forma: la transformación digital de la sociedad ha alterado la relación de las aseguradoras con sus clientes y las está forzando a amoldarse a un nuevo y desconocido escenario de riesgos.
Coberturas y condiciones frente a ataques de ransomware
El principal reto que se han encontrado las compañías de seguros a la hora de afrontar los ataques de ransomware ha sido cómo delimitar el grado de coberturas a ofrecer y las responsabilidades que deben asumir.
Las políticas de gestión de riesgos, las regulaciones internacionales en cuanto al tratamiento de datos personales o los mecanismos internos de prevención y mitigación de incidentes se han convertido en indicadores a menudo difíciles de valorar por los departamentos de análisis de riesgos.
A ello se ha unido la ausencia de una normativa internacional unificada que responda a las responsabilidades individuales que asumen los miembros de las compañías —aseguradoras y aseguradas— cuando deciden apostar por el pago de un chantaje.
En los ciberseguros las extorsiones a menudo suelen estar cubiertas por cláusulas especiales. Sin embargo, su redacción apenas profundiza en las condiciones que deben cumplir. Ser coaccionado, comprobar que se trata de una extorsión real, que no queda otra opción, que la dirección de la compañía acceda al pago, etc. son algunos condicionantes que como víctimas deben ser evaluados.
Sin embargo, en muchas ocasiones, los tomadores de este tipo de seguros pasan por alto otras condiciones que afectan a sus coberturas. Por ejemplo, en ciertos casos, los asegurados necesitan autorización de la aseguradora para realizar el pago —lo que ciertamente condiciona su libertad de acción—. Además el clausulado de sus contratos incorpora niveles de franquicias que, llegado el momento, pueden ser superiores a las cantidades solicitadas.
Sea cual sea el caso, debemos aclarar que nada limita la negociación con un extorsionador y acordar un pago que “resuelva el problema”. Se trata de un escenario habitual que no está exento de múltiples controversias y en el que las compañías aseguradoras también participan.
En este escenario surgen no pocas cuestiones de legalidad. Por ejemplo, en EEUU están valorando la posibilidad de convertir en delito el acto de pagar. Por el momento solo es un tema en discusión aunque no resulta menor.
Ciberdelincuentes a la caza de ciberseguros
Llegados a este punto, y con independencia del escenario que se plantee, las ofertas de ciberseguros empiezan a tener una cuota de mercado. En los términos descritos, resultan incluso atractivas para las partes involucradas — y esto incluye también, y muy especialmente, a los ciberdelincuentes.
No resulta extraño encontrarse en el mundo de la Dark Web con usuarios que sondean a los participantes de la red para identificar aquellas compañías que tienen contratado este tipo de coberturas, incluso sabiendo que habitualmente se trata de un dato confidencial que las aseguradoras exigen no divulgar a sus clientes.
Los casos de listados de compañías que disponen de ciberseguros no son una excepción. En ocasiones es posible dar incluso con declaraciones de ciberdelincuentes que expresan abiertamente que “los clientes que disponen de ciberseguros son víctimas propicias al pago”. Su descaro causa rubor e indignación.
Por eso mismo, la pregunta inicial que proponíamos resulta pertinente, aunque probablemente su respuesta no sea sencilla. Aun así, la plantearemos de nuevo: ¿son los ciberseguros un reclamo en los ataques de ransomware? El debate queda abierto.
