Blog

El Grupo A.P. Møller-Mærsk es la mayor empresa de transporte de contenedores del mundo. Tanto es así que gestiona alrededor del 20% del comercio marítimo, con más de 700 buques y 50 terminales privadas de contenedores. El siguiente ejemplo muestra la importancia de su infraestructura: cada 15 minutos entra un buque con más de 10000 contenedores en un puerto del mundo; la mayoría de ellos están gestionados por Maersk. En la tarde del 27 de junio de 2017, A.P. Moller-Maersk fue víctima de un ciberataque causado por el malware NotPetya, que afectó a otras muchas organizaciones en todo el mundo. Entre ellas, el gigante farmacéutico Merck, la filial europea de FedEx, TNT Express, la empresa constructora francesa Saint-Gobain, el productor de alimentos Mondelēz, y el fabricante Reckitt Benckiser. Como resultado del ataque, los daños totales del ciberataque ascendieron a 10.000 millones de dólares. Según una investigación de la revista Wired, NonPetya tuvo su origen en un grupo de hackers vinculado al Kremlin conocido como Sandworm, conocidos por atacar docenas de instituciones y compañías ucranianas. Este malware utilizaba dos exploits, una vulnerabilidad en un protocolo de Windows y una herramienta de robo de contraseñas, que lo convirtieron en una de las piezas de malware de más rápida propagación de la historia. NonPetya parece ser un arma de guerra utilizada por un Estado-nación en un medio donde las fronteras nacionales no tiene sentido: los state-sponsored cyberattacks, en ocasiones como esta, no discriminan entre sus víctimas. En el caso concreto de Maersk, el ciberaque provocó que las operaciones tuvieran que paralizarse totalmente o parcialmente durante semanas. Con la ayuda de la firma Deloitte, se enfrentaron diversos desafíos: 49000 portátiles destruidos, 1200 aplicaciones inaccesibles y 3500 servidores inutilizables, además de restaurar innumerables líneas de teléfono inservibles por el ataque a la red. En el Foro Económico de Davos, su presidente, Jim Haggeman, declaró que este impasse le costó a la compañía entre 250 y 300 millones de dólares. Referencias: Greenberg, A. (2018). The Untold Story of NotPetya, the Most Devastating Cyberattack in History , Wired Magazine. Recuperado de: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Las agencias de información crediticia o credit reporting agencies son empresas que recaban información crediticia sobre individuos y otras empresas. En EEUU tres credit reporting agencies dominan el mercado: Equifax, Transunion y Experian. Son las encargadas de recibir informes de acreedores y varias otras fuentes que se reúnen en un informe de crédito con una puntuación final de crédito o credit score. En resumen, su misión es apoyar a aquellos acreedores o empleadores interesados en conocer la fiabilidad crediticia de potenciales deudores o empleados. Deudores interesados? En septiembre de 2017, Equifax anunció que había sido la víctima de una brecha de seguridad que había afectado a 143 millones de ciudadanos americanos. La información comprometida estaba compuesta de nombres, números de la seguridad social, permisos de conducir, fechas de nacimiento, domicilios y datos financieros. Con esta brecha, la sensibilidad y la amplitud de los datos comprometidos alcanzaban un nuevo nivel en tanto que pasadas combinaciones de nombres de usuarios y contraseñas se convertían en registros de identificación personal completos. En las dos semanas siguientes al anuncio, las acciones de Equifax cayeron de 142,72 a 92,98 dólares o en un 34,58%. Como la siguiente gráfica muestra, esto no afectó únicamente a Equifax, sino también a sus dos principales competidores, Experian y Transunion, cuya cotización se vio lastrada por la falta de confianza de los mercados en el sector de las credit reporting agencies. Es decir, una brecha de seguridad a veces no afecta solo a la víctima del ciberataque sino que también sus competidores sufren las consecuencias del ambiente de inseguridad y desconfianza que provocan las brechas. Figura 1: EFX (en rojo) corresponde a Equifax, EXPN (en azul) corresponde a Experian y TRU (en morado) corresponde a Transunion. Además, Equifax tendrá que pagar hasta 700 millones de dólares tras haber llegado a un acuerdo con la Federal Trade Comission, 50 estados y con el Consumer Financial Protection Bureau. La magnitud de esta compensación se ve magnificada si uno lo compara con el EBITDA de Equifax en 2017, que fue de alrededor de 1123 millones de dólares.

Un informe de Advisen ya en el año 2013 discutía un posible "punto de inflexión cibernético", es decir, un momento en el que las grandes empresas fueran conscientes de su exposición a los riesgos de los ataques cibernéticos, y por tanto, "las empresas más pequeñas empezaron a darse cuenta cada vez más de que también estaban en peligro". Este punto de inflexión ya permitía discernir la consolidación de los ciberseguros y la demanda exponencial demanda de ciber-seguros en el futuro más próximo. Sin embargo, existen numerosos desafíos que a los que las aseguradoras se enfrentan a la hora de poner precio a sus pólizas de ciberseguro. Principalmente estos retos son dos: la falta de datos actuariales que impide la creación de modelos precisos para la evaluación de riesgos y la incertidumbre regulatoria. Estas cuestiones suponen grandes costes para los aseguradores a la par que disuaden a muchas compañías a la hora de adquirir seguros de ciberseguridad. En el caso de la información actuarial, las aseguradoras utilizan eventos pasados para determinar la probabilidad de que estos se repitan en un futuro. En mercados de seguros maduros como el del automóvil, existen modelos estadísticos muy sofisticados que incluyen numerosos factores; sin embargo, el alcance de los ciberataques es todavía difícil de cuantificar. Dado que muchas empresas desconocen ser víctimas de brechas de ciberseguridad o no están dispuestas a desvelarlo, los datos actuariales escasean cuando más se los necesita. Por otro lado, muchas aseguradoras valoran la cantidad de archivos sensibles que posee la compañía, su número de empleados o el número de transacciones financieras que esta procesa. De la misma forma, se tiene en cuenta si la empresa aplica regularmente parches a las vulnerabilidades de sus equipos y programas informáticos, o, si por el contrario, utiliza a terceros para evaluaciones y auditorías de seguridad. Referencias: Advisen (2013). Information Security & Ciber Liability Risk Management . Recuperado de: https://www.advisen.com/pdf_files/2013Cyber_Risk_Management_Survey_Report.pdf Kesan J.P.,Majuca R.P., Yurcik W.J. (2004) . The economic case for Cyberinsurance, Illinois Law and Economics Working Paper Series Paper No. LE04-004.

La revolución digital ha creado un mundo altamente interconectado. Este paisaje está inundado de datos, muchos de ellos sensibles, y por tanto, continuamente amenazados por estrategias de fraude y robo. Si a esto se le añade el malware o los ataques DoS, que provocan que ciertos servicios o recursos sean inaccesibles para sus usuarios legítimos, el riesgo cibernético emerge como una de las mayores amenazas de nuestra era. En primer lugar, cabe destacar que los contratos de ciberseguros cubren situaciones de responsabilidad civil, pérdida y robo de propiedad intelectual, pérdidas de ingresos por cortes de red o fallo de equipos y fenómenos como los defacements, ataques que cambian la apariencia visual de una página web. Otros ejemplos pueden ser la pérdida de datos, fraude a los consumidores, la ciberextorsión y, de manera más indirecta, la responsabilidad derivada de negligencias relativas a datos de identificación personal. Así mismo, la cobertura que proporcionan estos seguros es de dos tipos: directa e indirecta. Mientras que la cobertura first-party asegura contra daños a activos digitales, interrupción del negocio y costes emergentes de la respuesta a estos incidentes; la cobertura third-party cubre cuestiones relativas a la privacidad y a las responsabilidad legal derivada de datos confidenciales. Por último, también se plantea la cuestión de las exclusiones de las pólizas de ciberseguro, aquellas situaciones que no quedan cubiertas. Por ejemplo, cabe destacar la creciente amenaza que presentan los state-sponsored cyber attacks o ataques patrocinados por gobiernos, que suelen dejar desprotegidas a las empresas o instituciones que los sufren. Estos ataques permiten que gobiernos lleven a cabo operaciones tanto militares como de espionaje a través de herramientas de seguridad ofensivas muy sofisticadas, lo que supone que, en la mayoría de casos, pasen desapercibidos. Referencias: European Network and Information Security Agency [ENISA] (2012) Incentives and barriers of the cyber insurance market in Europe .

Empresas de todos los sectores ya reconocen la importancia de los seguros de ciberseguridad en un panorama digital cada día más complejo y de mayor riesgo. Tanto es así que, en uno de sus últimos informes, la consultora PriceWaterhouseCoopers 1 (PwC) estima que el valor bruto de las primas de ciberseguridad aumentará desde los 2500 millones de dólares de hoy hasta los 7500 millones de dólares para el final de la década. El seguro de ciberseguridad o ciberseguro puede definirse como "la transferencia del riesgo financiero asociado con los incidentes informáticos y de red a un tercero" 2 , la compañía de seguros, a cambio de una prima. Cabe destacar que las pólizas de ciberseguros suelen ser muy específicas para cada cliente y se negocian caso por caso. Así mismo, cubren aspectos no incluidos en las pólizas de seguro "tradicionales” como pueden ser la responsabilidad derivada de la pérdida o el robo de datos electrónicos, así como posibles multas de organismos reguladores. Sin embargo, todavía muchos ven la necesidad de asegurarse contra riesgos de ciberseguridad con escepticismo. Por una parte, algunos creen que los riesgos asociados a los ciberataques no son cuantificables y que, por lo tanto, no son asegurables, al menos no en el grado prometido por las aseguradoras. Por otra parte, otros creen que los seguros de ciberseguridad pueden proporcionar a las empresas "una salida fácil": en lugar de trabajar en su seguridad, simplemente compran un seguro. Parte del problema reside en que el ciberriesgo no es como cualquier otro riesgo que los aseguradores y reaseguradores hayan tenido que suscribir en el pasado. En primer lugar, existen pocos datos públicos sobre el tamaño y el impacto financiero de los ataques. Además, las dificultades creadas por la escasez de datos se agravan por la velocidad con la que las amenazas evolucionan y proliferan. De esta forma, aseguradores y reaseguradores cobran actualmente precios elevados por los ciberseguros en comparación con otros tipos de cobertura de responsabilidad civil, principalmente con el propósito de amortiguar parte de la incertidumbre. Sin embargo, muchos clientes están empezando a cuestionar el valor real que ofrecen estas pólizas, lo que puede restringir el crecimiento del mercado en un futuro.      Referencias:   (1) PwC (2020) Insurance 2020 & beyond: Reaping the dividends of cyber resilience. Recuperado de: https://www.pwc.com/gx/en/insurance/publications/assets/reaping-dividends-cyber-resilience.pdf   (2) Böhme R. , Schwartz G. (2010) Modeling Cyberinsurance: Towards A Unifying Framework, Workshop on the Economics of Information Security (WEIS) , Harvard.   

Actualmente hay una creciente dependencia en la digitalización de la cadena de suministro. Las empresas desean enfocarse en el corazón de su negocio y apoyarse en su cadena de suministro para todo lo demás. Buscan apoyarse cada vez más en socios expertos en digitalización para obtener el mayor beneficio de la misma, y acelerar la transformación que supone, para mantener su competitividad. Sin embargo, la seguridad de la información es actualmente una cuestión candente y un riesgo significativo para las empresas. Continuamente surgen en las noticias incidentes de ciberseguridad cuyo origen ha sido alguna debilidad en la cadena de suministro. El origen de incidentes que han sufrido Target, British Airways puede ser rastreado hasta una brecha inicial en un proveedor, en algún punto de la cadena de suministro digital. Un caso especialmente significativo ha sido el ransomware NotPetya. Los daños que ha causado se han evaluados en hasta 10 mil millones de dólares ($10billion) globalmente. El punto inicial desde dónde se extendió ha sido trazado hasta una empresa ucraniana, suministradora de un software de contabilidad que fue contaminado por el virus. En el caso de Maersk, un ejecutivo de la operación en Ucrania, en el puerto de Odessa, solicitó a su departamento de IT instalar ese software en un único ordenador. Desde aquí se extendió por toda la red de Maersk, que sufrió un daño total estimado en alrededor de $300 millones, incluyendo la necesidad de indemnizar a muchos clientes por los costes de reencaminar o almacenar sus cargas durante el periodo de indisponibilidad. Las empresas necesitan contar con una estrategia de análisis de los riesgos de seguridad que tienen como origen su cadena de suministro y particularmente aquellos terceros en los que se apoyan para llevar a cabo la digitalización de su modelo de negocio.

El Reglamento General de Protección de Datos ( RGPD ) de la Unión Europea (UE) de 27 abril 2016, que entró en efecto el 25 de mayo de 2018, ha supuesto una gran transformación en los negocios y ha tenido un impacto mundial. Cualquier empresa, organización pública o privada, pequeña o grande, que trate datos de carácter personal de ciudadanos de la UE debe cumplir con esta regulación: lo mismo un profesional independiente o freelance de cualquier país de la UE, que una gran empresa multinacional con sede en cualquier parte del mundo que trate datos de ciudadanos de la UE, o una pequeña start-up que cree aplicaciones que se distribuirán en cualquier “App Store” y puedan descargar y utilizar ciudadanos de la UE. Muchas multinacionales no europeas están alineando y homogeneizando sus medidas técnicas y organizativas internas de protección de datos para el cumplimiento del RGPD. El RGPD está provocando también una transformación silenciosa en la forma en que las organizaciones afrontan la ciberseguridad, pues requiere que cualquier organización debe realizar análisis de riesgos regularmente. Este proceso se podía encontrar en todos los estándares sobre la seguridad de la información, pero la onda expansiva desencadenada por el RGPD lo está extendiendo de forma efectiva a todo tipo de organizaciones, por todo el mundo. Lo que antes era una iniciativa de grandes empresas con muchos recursos y concienciación, se ha transformado en una necesidad ineludible para todo tipo de organizaciones. Es una transformación silenciosa, pero sus efectos están resultando en unos estándares más elevados de seguridad y protección de la privacidad.