De la imagen peliculera que pinta a un hacker desaliñado y rarito que pasa las horas tecleando en un cuchitril, solamente es veraz la pluralidad de pantallas. Lo habitual es que los ciberataques que tienen al mundo atemorizado sean obra de delincuentes organizados, que pueden (o no) gozar del respaldo o la tolerancia de entes estatales ya se presume de dónde. Para subrayar las advertencias, suele decirse que hay dos tipos de empresas, las que han sido hackeadas y las que serán hackeadas en algún momento. Lo relativamente nuevo es una modalidad de ciberdelincuencia conocida como ransomware, consistente en cifrar y bloquear un sistema informático para que los datos dejen de estar accesibles.
Para liberarlos del secuestro habrá que pagar una suma de dinero que no suele ser negociable. Entre otras consecuencias, esta forma de chantaje ha perturbado de pies a cabeza un negocio que parecía razonable, la contratación de seguros para cubrir los riesgos de los ataques convencionales.
Un estudio difundido por la firma de intermediación Howden ha puesto de relieve la magnitud del problema. El coste medio de recuperar los datos secuestrados se ha cuadruplicado en 2021 comparado con el de 2019. Manuel Pérez, director de ciberseguridad de Howden, asevera que en ciertos países “de cada 100 millones que las aseguradoras ingresan como primas por cubrir este riesgo, reembolsan 70 millones a los asegurados y aún les queda por absorber sus costes”.
El ransomware es actualmente el ciberdelito más difundido, el 80% de los incidentes de seguridad cibernética, sin atisbos de disminución a la vista. Según el estudio, el cambio es tanto cuantitativo como cualitativo, porque ha provocado un cambio en la frecuencia y gravedad de los ataques, de modo que se hace inevitable pagar, si no se han tomado las medidas de profilaxis informáticas recomendadas.
El trabajo en casa y la aceleración de la migración a la nube han permitido que las empresas pudieran mantener sus niveles de productividad durante la pandemia, pero ha sido a costa de ampliar la superficie de ataque potencial. Los retrasos en la identificación del malware y la respuesta correspondiente – debidos al menor número de empleados en los departamentos de TI – han agravado la situación. Este período también ha sacado a la superficie vulnerabilidades preexistentes en un mundo interdependiente. Por tanto, ha reventado las costuras de un ramo del negocio asegurador aun antes de que pudiera ser rentable para las compañías.
Hasta ahora, las aseguradoras hacían frente a prácticamente todo parte de siniestro que les presentaban los clientes. Incluso en ataques promovidos sin mayor disimulo por estados, han respondido como se esperaba de ellas. Al principio, como cobertura emergente, prometía rentabilidad en ascenso y, de hecho, era una amplia oferta, buenas coberturas y precios asequibles, explican los autores del estudio.
Por otro lado, las empresas parecían no estar muy preocupadas por ese riesgo hasta que se generalizó. A fin de cuentas, el número de víctimas era bajo y si alguien quería contratar un seguro era bastante sencillo. Fue entonces cuando, según Howden, se instaló una suerte de complacencia nociva en las aseguradoras. Que, a partir de 2019 cambiaron de actitud, cuando vieron que los ataques empezaban a ser más sofisticados y el propósito delictivo se consumaba.
Los contratos que hasta entonces se firmaban con condiciones más bien laxas se convirtieron en fuentes de problemas. Los datos recopilados por Howden – broker de seguros presente en 35 países y que controla primas por más de 9.000 millones de dólares – muestran cómo se ha deteriorado la cobertura de esta clase de siniestros. El aumento de contratación en 2020 no ha compensado el pico de pérdidas directas y los costes de defensa, lo que ha provocado que las compañías más expuestas a este riesgo perdieran dinero.
Ante el cariz que tomaban las cosas, las aseguradoras empezaron a exigir que se tomaran medidas que, como mínimo, mitigaran los efectos de los ataques. Dependiendo de quién sea el asegurado, los requisitos serán más o menos apremiantes, porque es obvio que el riesgo crecer con el tamaño de la víctima potencial. Se da otra circunstancia relacionada con la Covid: ahora mismo, los delincuentes la tienen tomada con hospitales y clínicas de todo el mundo.
Evidentemente, el ransomware no es asimilable a un desastre natural ni mucho menos a un accidente de tráfico, coberturas que las compañías tienen en sus carteras. Por su novedad, no existen fórmulas actuariales que permitan calcular su valor ni registros que indiquen una tendencia. Por consiguiente, el mercado reasegurador, que aporta capacidad financiera a las compañías, ha entrado en pánico y rehúsa crecientemente cubrir esos riesgos.
Según el estudio de Howden, los componentes del coste que genera un ataque de ransomware se distinguen claramente de los del malware ´convencional`. Típicamente incluyen el reembolso total o parcial del pago extorsivo, la pérdida de ingresos por interrupción del negocio afectado, los gastos de la restauración de datos y sistemas y, por último, las funciones forenses que son vitales para la prevención de nuevas brechas.
La mecánica de la extorsión es previsible: quien quiera recuperar el acceso a los datos bloqueados tendrá que pagar por ello y tratar de que su aseguradora se lo reembolse. Pero, según Howden, se observan intentos de una segunda extorsión: el hacker ya ha liberado la clave, pero se ha quedado con una copia de los datos y puede tener la tentación de exigir más dinero por no hacer públicos ciertos aspectos sensibles.
En todo caso, hay costes subsidiarios – no relacionados directamente con el rescate – en la medida que la víctima debe informar a las autoridades, que podría caerle una multa, sin contar con la obligación de dar cuenta a los clientes cuyos datos han sido comprometidos. Por tanto, el incidente no podrá darse por concluído sin una sólida campaña de relaciones públicas.
La confluencia de los factores de frecuencia y gravedad de los ciberataques extorsivos con la mayor supervisión a que han dado pie, explican un cambio radical en la evaluación del riesgo de sufrirlos. Las consecuencias obvias son un aumento del precio y un descenso en la cobertura disponible: durante el primer trimestre de 2020, sólo una décima parte de los brokers en Estados Unidos informó de un descenso en su capacidad de cobertura de estos riesgos; un año después, la proporción había subido a siete de cada diez.
En estas condiciones, es obvio que las empresas quieren contratar pólizas. En Estados Unidos – fuente primordial del estudio – sólo el 7% de las corredurías no está viendo un aumento de la demanda y sólo el 27% dice no haber experimentado una disminución de la oferta por parte de las compañías de seguros. Con lo que las aseguradoras han procedido a cambiar las condiciones y a encarecer las primas.
Para acceder a uno de estos seguros, hay que cumplir unos requisitos más y más exigentes. A las empresas que han implementado medidas de seguridad insuficientes, se les recortan las coberturas o bien se las rechaza. El endurecimiento también tiene costes silenciosos, ya que se hace necesario contratar expertos que auditen las medidas que haya tomado la empresa asegurada. Antes de lo que pase, por supuesto, pero también después, para cerciorarse de que será posible una recuperación rápida y completa de los datos.
Por todo ello, en este riesgo específico se constata uno de los aumentos de tarifas más elevados de todo el mercado asegurador. Son hoy casi un 50% más caras que las vigentes en 2019. En junio de este año, fecha de cierre del informe, las tarifas habían aumentado un 30% sobre el mismo mes de 2020. El estudio deja traslucir el pronóstico de que el reajuste, junto con un mayor rigor en los requisitos, puedan abrir la puerta a un modelo de seguros por suscripción.
[versión del texto publicado en La Vanguardia el 21/11]