Los ciberataques respaldados por estados se han convertido en un arma de desestabilización política y de guerra de baja intensidad. ¿Cuál es la respuesta del sector Seguros ante esta ciberguerra?
El ciberespacio se ha convertido en el nuevo campo de batalla para los estados. La guerra de Ucrania es una muestra de ello. Según los analistas de Check Point, los ciberataques al sector gubernamental y militar ucraniano aumentaron un 112% entre los meses de febrero y agosto, tras la invasión rusa. Asimismo, las redes corporativas de Ucrania recibieron más de 1.500 ciberataques semanales de media, superando ampliamente la media mundial, que se sitúa en 1.124 ciberataques semanales.
Y no es el único ejemplo. Se sabe que algunos de los grupos de cibercriminales más activos están respaldados por Rusia, China, Corea del Norte o Irán. Parece evidente que las tensiones geopolíticas y los conflictos entre naciones han entrado en una nueva era, donde la ciberguerra está llamada a adquirir cada vez más protagonismo.
“La Asociación Sueca de la Industria de Seguridad y Defensa ha elaborado recientemente un informe en el que revela que las actividades de ciberespionaje promovidas por los estados suponen ya el 25% del total. Es decir, uno de cada cuatro ciberataques es promovido por gobiernos”, señala Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
¿Cuáles son sus objetivos?
El interés de este tipo de ataques ‘silenciosos’ no se limita sólo el espionaje en estos ámbitos críticos. Casi cualquier tipo de información puede ser aprovechada para ganar ventaja en una competición geoestratégica donde no debemos pensar sólo en ciberguerra, sino también en la competencia interempresarial apoyada por los estados.
Los estados también promueven otro tipo de ataques ‘ruidosos’, que provocan la caída de servicios o afectan a la operación normal de las organizaciones. “Buscan desestabilizar, provocar malestar en el entorno de las organizaciones y, en el caso de que sean sectores estratégicos, generar disturbios en el funcionamiento de dicho sector, con el consiguiente daño a la ciudadanía afectada”, explica Enjuto.
Manuel Pérez, director de Ciberriesgos de Howden Iberia, reseña que “en casos recientes, los estados buscan financiarse a través de robos y extorsiones a empresas privadas”. Por ejemplo, indica que “el escenario más claro en este sentido es el robo de criptomonedas”.
Así pues, esta ciberguerra patrocinada por los estados ya no se circunscribe sólo a instituciones y organismos gubernamentales, sino que se extiende a toda la sociedad. “El gran problema que nos plantea este escenario es que todos nos convertimos en potenciales objetivos, directos o indirectos, de esta ciberguerra”, asegura Emilio Jesús Sánchez Pintado, abogado responsable de IT del bufete C&P Abogados.
¿Estamos cubiertos por los seguros?
Ante el aumento de las amenazas, cada vez son más las empresas e instituciones que buscan soluciones en el sector asegurador. Según un informe ‘Cybersecurity in Insurance’ de GlobalData, el sector asegurador ingresará 10.600 millones de dólares en primas de pólizas ciber dentro de tres años, con una tasa de crecimiento anual compuesto del 10% en el periodo 2020-2025.
Sin embargo, cabe señalar que los seguros suelen incluir entre sus exclusiones los ‘actos de guerra’ o ‘terrorismo’. “Los ataques directamente y/o indirectamente patrocinados por estados en contextos bélicos y no bélicos constituyen escenarios de pérdidas tan masivas que los convierten en riesgos no asegurables. Las compañías de seguros disponemos a tal efecto de exclusiones correspondientes”, puntualiza el experto de Hiscox.
De hecho, Lloyd’s ha anunciado recientemente que sus ciberseguros tendrán que aplicar una cláusula que excluya la responsabilidad por pérdidas derivadas de cualquier ciberataque respaldado por un estado, según informaba Füture.
En nuestro país ya existe un pool de Riesgos Medioambientales y contamos con el Consorcio de Compensación de Seguros (CCS), que da cobertura a los riesgos extraordinarios, entre los que se incluyen los siniestros derivados de eventos climatológicos extremos, cada vez más frecuentes.
El problema de la atribución
La exclusión de los ataques apoyados por estados presenta algunas complicaciones. “La primera es la particularidad del riesgo ciber consistente en la más que común imposibilidad de rastrear, localizar e identificar a la persona o entidad que ha llevado a cabo el ataque. La segunda cuestión se refiere a la delimitación del concepto ‘acto de guerra’ o ‘terrorismo’ en las pólizas.
Esta dificultad para determinar la autoría está en la base misma de la concepción de la ciberguerra.
En cualquier caso, debemos tener en cuenta que la ciberguerra es un nuevo escenario, que se va configurando y redefiniendo casi cada día. Por eso, el ciberseguro tiene que ir adaptándose.
Además, el seguro se encuentra con un problema añadido: la falta de transparencia de las organizaciones que han sufrido un ciberataque. Muchas de ellas no los denuncian ni informan con suficiente claridad acerca de su alcance.
Los actuarios de seguros ajustan las primas atendiendo a los riesgos, por lo que necesitan datos fiables que respalden sus decisiones. La falta de registros históricos de siniestralidad complica mucho su labor y dificulta la fijación de unos precios adecuados y suficientes, que permitan que las aseguradoras cumplan con sus obligaciones sin poner en riesgo su viabilidad y que respondan a las exigencias de solvencia que establece el regulador.