ransomware conceptoEl seguro cibernético ha sido considerado como algo bueno dentro del sector de los seguros comerciales, con índices de pérdida notablemente más bajos y una mayor rentabilidad en comparación con otras coberturas comerciales importantes. Sin embargo, el período de bonanza se puede estar disipando. Los índices de pérdida han ido en aumento, creciendo un 10 por ciento solo en el último año¹.

El ransomware es el principal culpable de este salto, y el alcance de las amenazas y los ataques es cada vez más amplio. Los ataques de ransomware aumentaron casi un 150% desde que, con el inicio de la crisis de la Covid-19, aumentaron los entornos de teletrabajo. Los siniestros por ransomware y los costes derivados de los pagos por rescate ya habían aumentado aproximadamente un 230% entre 2018-19², con los siniestros de este tipo representando hasta el 40% de los registros cibernéticos de algunas aseguradoras³.

Estas tendencias, sin duda, han impulsado al Departamento de Servicios Financieros del Estado de Nueva York a emitir un memorando con una serie de directrices y orientaciones para el sector encaminadas a establecer un marco que permita cubrir los riesgos cibernéticos. Esta guía describe un marco de 7 puntos para que las aseguradoras «gestionen de manera sostenible y efectiva su riesgo de seguro cibernético».

Estos resultados, junto con un creciente sentimiento de impotencia dentro del sector, también me han llevado a desarrollar un documento técnico donde se examinan las causas ambientales y se dan recomendaciones sobre cómo las aseguradoras, el sector y los reguladores, así como los legisladores, pueden trabajar para detener el aumento del ransomware y su amenaza para el mercado de los seguros cibernéticos.

El documento ‘Ransomware: Un desafío darwiniano para el seguro cibernéticoexamina el tema aplicando la teoría científica de la evolución de Darwin y el Método de Muestreo Estratificado al sector de los seguros cibernéticos. El documento, que recomiendo leer en su totalidad, propone algunas de las siguientes adaptaciones para permitir a las aseguradoras de riesgos cibernéticos mantener la rentabilidad y lograr ratios de pérdida razonables, al tiempo que atienden las demandas de transferencia de riesgo de las empresas.

  1. Prevención y mitigación de pérdidas de Infosec: Si bien el progreso en los datos actuariales de incidentes deja mucho que desear, las estadísticas de Infosec en torno a las dimensiones de la amenaza y la vulnerabilidad han mejorado. De hecho, muestran una consistencia notable en el caso del ransomware. Los informes de los principales proveedores coinciden en que los vectores de ataque más populares y las fuentes de incidentes de ransomware son el protocolo de escritorio remoto (RDP), el phishing y el spam de correo electrónico, así como las vulnerabilidades sin parches. El «bloqueo» básico puede disminuir significativamente la exposición al riesgo.
  2. Coordinación de Gestión de Riesgos: Incentivar una buena higiene tecnológica es un comienzo, pero debe estar vinculado a la coordinación de la mitigación de los riesgos del sector. En lugar de depender únicamente de factores como el cumplimiento o la jurisprudencia, que se produce con el tiempo, adoptar un papel de coordinación de la gestión de riesgos puede permitir a las aseguradoras luchar contra el ransomware. Un comienzo sería que los suscriptores, corredores y profesionales de Infosec se coordinen estrechamente en torno a las métricas de riesgo de seguridad. Dicha coordinación puede alinear mejor la percepción del riesgo, reducir las asimetrías de información y escalar la victimología más allá de la dinámica ad hoc actual. La forma en que las aseguradoras pueden adoptar la coordinación de la gestión de riesgos es variada. A un nivel básico, simplemente hay que exigir a los asegurados que proporcionen o verifiquen aspectos básicos. Luego la tecnología se encargaría de evaluar de forma más precisa el riesgo cibernético. En el otro extremo del espectro, incentivar a los asegurados a compartir la telemática de seguridad interna podría agregar el eslabón perdido en cuanto a la evaluación y la medición de los riesgos cibernéticos.
  3. Regulación de la divulgación del ransomware: La regulación federal, los litigios y las leyes estatales que requieren la presentación de informes y la divulgación de filtraciones de datos han servido como base fundamental sobre la cual basar la suscripción y la cobertura de filtraciones de datos, por lo que cabe preguntarse: ¿necesitamos una función de aplicación similar para adaptarnos al riesgo de ransomware? Las multas regulatorias, los requisitos de informes y los costes legales y de responsabilidad han hecho que las pérdidas por filtración de datos resulten tangibles, captando así la atención del sector[4]. El gobierno (a través de la legislación, la regulación o las resoluciones judiciales) está en una situación única para desempeñar un papel importante en la reducción del riesgo y la aplicación del cumplimiento.
  4. Notificación de Fallos de Control: Los componentes estándar de los informes forenses digitales y de respuesta a incidentes (DFIR) incluyen información sobre vectores de ataque y fallos de control: cómo los atacantes han podido acceder a las redes de la empresa y qué medidas técnicas o administrativas resultaron deficientes. Si bien la certeza de estas atribuciones puede variar, las aseguradoras en general han dejado aparcados estos detalles sobre los siniestros de ransomware, renunciando a las valiosas lecciones aprendidas y perpetuando un enfoque incompleto de la suscripción. Cuando hablamos de riesgo cibernético, las tácticas, técnicas y prácticas de los atacantes (TTP) definitivamente siguen patrones de menor resistencia. Conocer sus patrones de conducta puede ser de gran ayuda para reducir las exposiciones.
    Es preocupante la tendencia que existe con las aseguradoras (principalmente en el mercado de las PYMES) a reducir costes recopilando menos información durante el proceso de suscripción y eliminando campos de datos a la hora de abrir un siniestro[5]. Esta tendencia va en contra de la adaptación sugerida, destinada a desarrollar modelos de pérdida cibernética más maduros que permitan alinear el riesgo con las primas de precio[6]. La adaptación dentro del panorama del riesgo cibernético requiere comprometer la mayor cantidad posible de datos disponibles en el registro actuarial. Recopilar y compartir datos de fallos de control marcaría un paso significativo hacia la capacidad de cuantificar las relaciones entre las amenazas, el cumplimiento de la seguridad y los resultados de los incidentes.
  5. Modelos predictivos basados en datos: Debido a que el ransomware es una amenaza dinámica cuya prevalencia se desconoce, y debido a que opera dentro de niveles interconectados, el conocimiento de los ataques de ayer es insuficiente para informarnos sobre los resultados del mañana. Por lo tanto, cualquier previsión es muy valiosa para la segmentación, evaluación, fijación de precios y defensa efectiva del riesgo de ransomware. La previsión en el seguro cibernético puede basarse en modelos predictivos. La adaptación necesaria son modelos empíricos basados en datos que incorporan conocimientos expertos. Estos modelos predictivos pueden impulsar modelos de precios más robustos y fiables e informar de las pautas de suscripción.
  6. Reforma de la Política de Pago por Extorsión: La criptomoneda es el combustible que impulsa el crecimiento del ransomware. Pero para la criptomoneda, la presión introducida por los incidentes y los siniestros de ransomware no sería notable. Una pregunta abierta es si las regulaciones y políticas actuales protegen adecuadamente contra la facilitación del ransomware, o si se necesitan restricciones más sólidas. Parece probable la intervención a largo plazo de los gobiernos en torno a los pagos por extorsión. Las opciones de los gobiernos van desde una prohibición absoluta de los pagos de ransomware, hasta el objetivo de mejorar la asignación y la aplicación contra los actores maliciosos. Además, el sector asegurador debe considerar seriamente un enfoque de autorregulación que establezca una política de impago de rescates.

En conclusión, propongo hacer algo más que simplemente modificar las primas y los límites para cumplir con ratios de pérdida aceptables. Solo la innovación y la evolución a nivel individual de la empresa, del sector y de los gobiernos garantizarán la resiliencia del mercado de los seguros cibernéticos y, en última instancia, afectarán al riesgo de ransomware en sí mismo.

¹Aon, actualización del mercado cibernético de EE. UU., junio de 2020
²S&P Global Market Intelligence, las aseguradoras cibernéticas endurecen la suscripción, octubre de 2020
³Carbon Black y las organizaciones globales ven un aumento en los ataques de ransomware, abril de 2020
[4]A.M. Best, Best’s Review, Cyber Insurance Special Report, El mercado de seguros cibernéticos de Estados Unidos despega a medida que se implementa la política de notificaciones de filtración de datos y otras leyes sobre privacidad
[5]PWC, ¿su organización está adoptando el enfoque correcto sobre ciberseguridad?
[6]Departamento de Seguridad Nacional de los Estados Unidos, CISA, Evaluación del mercado de seguros cibernéticos

Patricia Iglesias

Sobre el autor del artículo

Artículo original de Erin Kenneally, adaptado por Patricia Iglesias.

Patricia Iglesias es Marketing Specialist de Guidewire Software.