¡Hola, chicos y chicas!
Ha pasado un tiempo desde mi última entrega de iNews, también conocido como noticias de ciberseguridad o cibercuentos del lado oscuro, así que me animo a revivir esta serie para retomar el rumbo y brindarte los aspectos más destacados de algunos cibermomentos asombros de los que quizás no hayas oído hablar en tus fuentes habituales de noticias…
En esta entrega, solo traigo una noticia, pero es más que suficiente: cualquier elemento adicional podría haberle restado importancia (difícilmente apropiado cuando hay un “punto de inflexión” en el título :)…
Pero antes, aquí tienes un pequeño resumen: después de largos procedimientos legales en los EE. UU., un tribunal ha fallado a favor de la gran empresa farmacéutica Merck contra su aseguradora por un pago de 1400 millones de dólares estadounidenses (!!) que cubren los daños que Merck habría sufrido a causa de NotPetya (también conocido como ExPetr o simplemente Petya) en el 2017.
Volvamos al 2017…
En junio de ese mismo año, apareció NotPetya, un gusano cifrador tecnológicamente avanzado y terriblemente desagradable, que se propagó como la pólvora. En un principio se centró en Ucrania, donde atacaba a las víctimas a través de un popular software de contabilidad, afectando a bancos, sitios gubernamentales, el aeropuerto de Kharkov, los sistemas de supervisión de la central nuclear de Chernobyl (!!!) y así sucesivamente. A continuación, la epidemia se propagó a Rusia y, después, a todo el mundo. Muchas fuentes autorizadas consideran a NotPetya como el ciberataque más destructivo de la historia. Lo que parece acertado cuando se hace un recuento del número de empresas atacadas (docenas de las cuales perdieron cientos de millones de dólares), mientras que el daño general a la economía mundial se estimó en un mínimo de 10 mil millones de dólares.
Una de las víctimas más notables de este ciberataque internacional fue el gigante farmacéutico estadounidense Merck. De acuerdo con las informaciones, 15.000 de sus ordenadores recibieron el ataque 90 segundos (!) después del inicio de la infección, mientras que la copia de seguridad de su centro de datos, que estaba conectada a la red principal, también se perdió casi al instante. Al final del ataque, Merck había perdido unas 30.000 estaciones de trabajo y 7500 servidores. Pasaron meses hasta que pudieron recuperarse, lo que supuso un coste de aproximadamente 1400 millones de dólares, según se informó. Merck incluso tuvo que pedir prestadas vacunas a fuentes externas por valor de 250 millones de dólares debido a las interrupciones provocadas en sus operaciones de fabricación.
Bueno, y ahora que ya tenemos el contexto, vamos a la parte jugosa…
El contrato de póliza entre Merck y su compañía aseguradora Ace American cubría todos los riesgos, incluida la pérdida de datos relacionada con el uso del software. Esos riesgos estaban asegurados por unos 1750 millones de dólares. Sin embargo, Ace American se negó a reconocer el ataque del ransomware NotPetya como una pérdida cubierta y, por lo tanto, no pagó, considerando el ataque como fuerza mayor. Para respaldar su posición, afirmaron que Rusia tenía la culpa de la creación de NotPetya y que la había usado como un arma cibernética en la guerra contra Ucrania, por lo que la aseguradora no estaba obligada a indemnizar al asegurado por los daños causados por acciones militares. A su vez, para apoyar su afirmación, citó los anuncios realizados por los gobiernos del Reino Unido y los EE. UU., quienes ya habían culpado oficialmente a Rusia por este ciberataque.
En el 2019, Merck llevó a su aseguradora a los tribunales, afirmando que el ataque no se trató de una acción oficial de un estado nacional y, como tal, no podía considerarse una acción militar o un conflicto armado. Los abogados de Merck también señalaron que los ciberataques no estaban especificados en la sección de excepciones de cobertura de la póliza del seguro. Al final, el tribunal falló a favor de Merck, señalando que Ace American sabía que los ciberataques pueden ser acciones militares reconocidas, pero optó por no especificarlo en la póliza de seguro.
Creo que muchas compañías de seguros habrán seguido de cerca este caso y ahora revisarán con detenimiento la redacción de sus pólizas estándar. Mientras tanto, desde el otro lado, estoy seguro de que muchas víctimas de innumerables incidentes cibernéticos revisarán igualmente los términos de sus acuerdos de seguro para ver si también se les debe un pago en función de este precedente de Merck. Pero debe quedar claro en ambas partes, tanto para los asegurados como para las aseguradoras, que deben tener en cuenta el efecto a largo plazo: si las “reglas del juego” se modifican de forma significativa, el aumento de las primas de seguros parece algo inevitable.
A modo de premonición, diría que los seguros contra riesgos cibernéticos se convertirán en un gran negocio, de una forma casi increíble: un mapeo directo de la práctica de seguros tradicional en el ciberespacio sin garantías (en niveles de protección contra los riesgos cibernéticos) de los proveedores de seguridad cibernética podría dañar de manera significativa, si no irreparable, a todo el sector de seguros. Sin embargo, la mayoría de las empresas de ciberseguridad en la actualidad garantizan protección contra, por ejemplo, solo el 50 % del ransomware, como NotPetya.
¿Solo el 50 %? Pero, eso es como si en lugar de la seguridad adecuada para un edificio (cámaras, guardias de seguridad, etc.), simplemente pones en la puerta de la entrada un cartel con el mensaje: “¡No se permite la entrada de enemigos!”. Necesitas una protección del 100 % o nada. Bueno, y contra el ransomware, solo una empresa ofrece una protección del 100 %. ¡Adivina cuál!
Por tanto, nos encontramos ante una situación en la que hay riesgo de ataques cibernéticos, y masivos, lo que implica que las empresas quieran asegurar estos riesgos junto con todos los demás. A su vez, cualquier aseguradora, al ver esa factura de 1400 millones de dólares, hará todo lo posible para asegurarse de que este tipo de riesgos no queden especificados en sus pólizas de seguro. Lo que nos deja ante una situación totalmente revolucionaria: las compañías de seguros no quieren asegurar los riesgos cibernéticos, a pesar de que sus clientes desean este tipo de cobertura.
Entonces, ¿qué se puede hacer? Evidentemente, existe la necesidad de reducir los riesgos de ataques a la infraestructura digital. Es decir, construirla de tal forma que los segmentos más críticos y vulnerables sean lo más inmunes posibles a ataques externos (e internos), mientras que el resto quede protegido por múltiples capas de seguridad de resiliencia garantizada. Oh, da.
¿Ciencia ficción? No en mi opinión, pero esa es otra historia.