This post is also available in: Português Español
Las pólizas de seguro de este tipo no están ayudando a la seguridad digital, principalmente en caso de ransomwares – pero pueden cambiar para mejorar las defensas de la empresa.
Actualmente existe un gran dilema con los seguros cibernéticos. Estos fueron creados para asegurar empresas contra las consecuencias de invasiones de crackers, incluyendo la cobertura de los costos envueltos. Mas, algunos críticos argumentan que tal seguro incentiva a las víctimas de ransomware a sencillamente pagar por el pedido de rescate, que es cubierto por las aseguradoras, en vez de contar con la seguridad adecuada para evitar los ataques. Por otro lado, las aseguradoras argumentan que el cliente es quien toma la decisión de pagar el rescate, y no ellos.
Seria como adoptar un comportamiento relajado después de asegurar un carro. Por el hecho de estar asegurado contra hurtos, el propietario podría dejar de colocar seguro en las puertas, subir los vidrios o, incluso, no arreglar daños eventuales en el sistema de alarma – o siquiera tener una alarma; pensando que si sucede algo, recibirá una una determinada cantidad de dinero previamente establecida en un contrato.
Así como este proceder no es exactamente ilegal, tampoco es productivo ni apropiado, y probablemente cuestionable. En el caso de una invasión de ramsomware, no es ilegal pagarle a los criminales el pedido de rescate, pero los especialistas alertan que eso le dará a los estafadores más ganancias para realizar nuevos ataques. Además, no es garantía de que todo volverá a ser normal, ya que se trata de una negociación con criminales.
El tema fue discutido por el Royal United Services Institute (RUSI) de Inglaterra, uno de los primeros órganos en reunir especialistas de seguridad. De acuerdo con un artículo de la institución, que examina los seguros cibernéticos y el desafío de la seguridad digital, actualmente esa práctica no solo fomenta los crackers, también es insustentable para la industria de seguro cibernético, tomando en cuenta que el ransomware ya se volvió una amenaza vital para algunas aseguradoras.
“Hasta el momento, el seguro cibernético no correspondió con las expectativas de funcionar como una herramienta para mejorar las prácticas de seguridad cibernética de las empresas”, según dice el documento. “Incluso sin querer, las aseguradoras cibernéticas pueden estar facilitando el comportamiento de los criminales virtuales, contribuyendo con el crecimiento de las operaciones ransomware”.
¿Pagar o no pagar?
Quién sufre una invasión y no paga el rescate puede enfrentar semanas de inactividad, con enormes costos en el caso de empresas que intentan restaurar sus redes desde cero. Por esa razón, de acuerdo con la RUSI, algunas víctimas de ransomware y sus aseguradoras simplemente pagan el rescate porque lo ven como una salida de menor costo y tiempo para la restauración de los sistemas.
“Existe una preocupación generalizada de que algunas seguradoras están estimulando ataques de ransomware al ver el pago de rescates automáticamente como su primera opción”, dice la institución.
Algunas bandas criminales de ransomware incluso están buscando llegar a empresas que ya cuentan con políticas de seguridad digital, porque creen que es la mejor manera de garantizar que ganarán dinero con su invasión.
Sin embargo, la propia RUSI cree que los seguros cibernéticos pueden ser protagonistas en la interrupción del actual modelo de negocios del ransomware. Porque a la larga, pueden incentivar a los asegurados a mejorar sus defensas y evitar al máximo que sean víctimas de un ataque. Incluso, un documento de la entidad sugiere que el seguro debe exigir los controles mínimos de ransomware como parte de cualquier contrato de cobertura. Sería como aceptar solamente seguros de carros con un excelente sistema antirrobo.
Controles de ese tipo incluyen la corrección oportuna de vulnerabilidades graves en estructuras de TI externas, permitiendo la autenticación multifactorial en servicios de acceso remoto, limitando el movimiento lateral al adoptar la segmentación de red – e implementando procedimientos para garantizar que se realicen backups regularmente.
Mudanzas a la vista
A pesar de todo, el escenario ya comienza a transformarse. De acuerdo con una información reciente del periódico Financial Times, las aseguradoras ya están aumentando las recompensas y colocando en práctica demandas más rígidas en términos de estrategias de seguridad cibernética usadas por empresas que desean comprar seguros cibernéticos. El Washington Post también comentó que las aseguradoras están exigiendo mayor seguridad y reduciendo la cantidad de la cobertura que están dispuestos a ofrecer.
Todas esas recomendaciones pueden evitar que un ataque de ransomware suceda más fácilmente, o mitigar los daños que una invasión puede causar. Así, pagar el rescate sería el último recurso, en vez de ser considerado como la decisión más rápida a tomar.
Eso también reduciría los riesgos en el avance de la industria del ciber-seguro, por que reduciría la necesidad de que las aseguradoras apoyen pagos pesados por clave criptográfica. «El impacto del ransomware en el sector de seguros cibernéticos enfatiza la necesidad de abordar algunos de esos problemas y cuestiones tarde o temprano. Como algunas aseguradoras corren el riesgo de sobrecargarse de pérdidas, tal sector y los gobiernos precisan reaccionar rápidamente para garantizar protección y cobertura adecuadas para las empresas», dijeron los investigadores de RUSI.
Mientras, en el contexto actual, los seguros cibernéticos no parecen estar ayudando a mejorar la seguridad cibernética. “Entrevistados del gobierno, industria y negocios afirmaron consistentemente que los efectos positivos del seguro cibernético sobre la seguridad cibernética aún no se materializaron totalmente”, dice el informe. O sea, el mejor remedio continua siendo prevenir de manera constante y eficaz – estando asegurado o no.