¿Su seguro cibernético cubre un ataque patrocinado por el estado?

Muchas pólizas de ciberseguro excluyen específicamente de su cobertura las «acciones hostiles o bélicas». Si bien se trata de una medida comprensible para proteger a las aseguradoras en tiempos de agitación generalizada, puede dejar a las empresas con pocos recursos cuando se ven afectadas por un ciberataque patrocinado por el estado. En este artículo, el autor sugiere varias formas en las que las empresas pueden aumentar su resiliencia ante los ciberataques (y la posible falta de cobertura debido a las exclusiones del seguro) a corto plazo. A continuación, explica cómo los gobiernos, las aseguradoras y las empresas deben trabajar para desarrollar un nuevo marco financiero que aborde el ciberriesgo a largo plazo. Si bien no se puede evitar por completo el ciberriesgo, pensar en estos temas con antelación y desarrollar una estrategia integral para prepararse para ellos puede evitar que estas ciberamenazas se conviertan en catástrofes en toda regla.

••• En 2017, Merck perdió un impresionante[1.300 millones de dólares](https://www.bloomberg.com/news/features/2019-12-03/merck-cyberattack-s-1-3-billion-question-was-it-an-act-of-war?sref=QmOxnLFz) cuando quedó atrapado en el fuego cruzado de un ciberataque ruso contra Ucrania. El suceso, que más tarde se denominó NotPetya, fue el mayor ciberataque de la historia,[costando 10 000 millones de dólares en todo el mundo](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/) — daños económicos similares a los de un huracán de tamaño mediano o una guerra pequeña. Los gobiernos occidentales se comprometieron a hacer que Rusia rinda cuentas, pero ninguno dio un paso adelante para apoyar a las empresas que se vieron afectadas por el ataque. El seguro era más útil, hasta cierto punto. El sector de los seguros vende pólizas diseñadas específicamente para ciberincidentes, pero su alcance y escala siguen siendo limitados. Ciberseguro pagado[solo un 3%](https://www.reinsurancene.ws/petya-cyber-industry-loss-passes-3bn-driven-by-merck-silent-cyber-pcs/) del daño global de NotPetya, lo que llevó a algunas víctimas de NotPetya a recurrir a otras pólizas de seguro con condiciones más ambiguas. Por ejemplo, Merck invocó políticas de propiedad y accidentes que cubrían todo tipo de peligros sin mencionar explícitamente los ciberincidentes. Estas pólizas tenían las llamadas «exclusiones de guerra», que prohibían cubrir los daños debidos a «acciones hostiles o bélicas» de los gobiernos o sus agentes. Muchas aseguradoras citaron estas cláusulas para retrasar las reclamaciones, lo que desencadenó batallas legales de alto riesgo que continúan hasta el día de hoy. NotPetya y las demandas subsiguientes dejaron claro que las empresas modernas se enfrentan a un nivel de ciberriesgo que supera con creces las protecciones en las que pueden confiar, ya sea del seguro o de la ayuda del gobierno. Para abordar este déficit, los líderes empresariales deben trabajar con las aseguradoras y los responsables políticos para diseñar soluciones prácticas y a largo plazo. Y a corto plazo, los directores ejecutivos deben prepararse para las cibercatástrofes como si no viniera ninguna caballería, porque para la mayoría de las empresas, es probable que no la haya. ### **Prepare su empresa para el día de hoy.** ¿Qué aspecto tiene esto en el suelo? Las empresas deberían empezar por asegurarse de que sus evaluaciones de ciberriesgos incluyan un componente geopolítico. En la era de los ciberconflictos, las tensiones internacionales en cualquier parte pueden causar daños colaterales en todas partes. Las empresas de alto perfil son objetivos especialmente atractivos para los hackers patrocinados por el estado que buscan causar estragos durante las crisis geopolíticas. Estos ciberataques suelen tener como objetivo a empresas consideradas embajadoras de sus países (como[Banco de Estados Unidos](https://www.reuters.com/article/us-iran-cyberattacks/exclusive-iranian-hackers-target-bank-of-america-jpmorgan-citi-idUSBRE88K12H20120921)) o aquellos con líderes políticamente activos (como [Arenas de Las Vegas](https://www.bloomberg.com/news/articles/2014-12-11/iranian-hackers-hit-sheldon-adelsons-sands-casino-in-las-vegas)). Para otras empresas, el ciberespionaje es la mayor amenaza: los ciberespías respaldados por el estado pueden solicitar la propiedad intelectual de [industrias avanzadas](https://www.justice.gov/opa/pr/us-charges-five-chinese-military-hackers-cyber-espionage-against-us-corporations-and-labor), o los datos personales de los clientes de [finanzas](https://www.justice.gov/opa/speech/attorney-general-william-p-barr-announces-indictment-four-members-china-s-military) o[viaje](https://www.washingtonpost.com/technology/2018/12/12/us-investigators-point-china-marriott-hack-affecting-million-travelers/) empresas. E incluso si no encaja en ninguna de estas categorías, sigue existiendo un riesgo creciente de[ataques de ransomware dispersos](https://techcrunch.com/2019/05/12/wannacry-two-years-on/) por parte de delincuentes patrocinados por el estado que afectan aleatoriamente a su negocio. Con una comprensión de la amplia variedad de ciberamenazas geopolíticas que podrían poner en peligro sus negocios, las empresas deberían auditar minuciosamente su cobertura de seguro y mantener conversaciones francas con las aseguradoras y los corredores sobre cualquier exclusión de guerra. Estas cláusulas están en todas partes, pero las aseguradoras que venden pólizas diseñadas específicamente para el ciberriesgo tienen actualmente muchas menos probabilidades de hacerlas cumplir porque no quieren asustar a sus clientes. Además,[el idioma de exclusión varía](https://www.researchgate.net/publication/336134006_Market_Definitions_of_Cyber_War) , por lo que puede que haya espacio para negociar. Muchas pólizas limitan el alcance de sus exclusiones de guerra al establecer excepciones para el «ciberterrorismo», un término amplio que podría restablecer la cobertura de muchos incidentes patrocinados por el estado. Además de explorar formas de reforzar su cobertura, las empresas también deberían invertir en desarrollar la resiliencia ante los ciberataques. Nunca será posible confiar al 100% en su capacidad para prevenir un ataque patrocinado por el estado, por lo que es prudente hacer planes para sobrevivir a uno. Las medidas estándar, como hacer copias de seguridad de los datos, segmentar las redes y poner en práctica planes de recuperación, se centran en limitar los daños causados por un incidente y acelerar la recuperación. Sin embargo, la ciberresiliencia de una empresa también depende de su resiliencia general en otros ámbitos. Por ejemplo, la resiliencia de la cadena de suministro puede ayudar a una empresa a sobrevivir si un proveedor clave sufre una ciberdisrupción. Del mismo modo, la resiliencia financiera en forma de reservas de efectivo o acceso al crédito puede ayudar a las empresas a pagar las facturas tras un devastador ciberataque, especialmente si las reclamaciones de seguro quedan atrapadas en el limbo legal. ### **Invierta en una solución a largo plazo para mañana.** Si bien estas mudanzas a corto plazo son necesarias, las empresas individuales no pueden hacer mucho. La Fundación Carnegie para la Paz Internacional[publicó recientemente un informe](https://carnegieendowment.org/2020/10/05/war-terrorism-and-catastrophe-in-cyber-insurance-understanding-and-reforming-exclusions-pub-82819) sobre los desafíos sistémicos que representan los ataques patrocinados por el estado y otros ciberdesastres. Para entender mejor el alcance del problema, hablamos con las principales empresas, reaseguradoras, reguladores y expertos académicos sobre las consecuencias financieras de eventos como NotPetya. ¿Nuestra conclusión? Los sectores público y privado deben trabajar juntos para desarrollar un nuevo marco financiero que aborde los ciberriesgos a largo plazo. El primer paso es redactar condiciones más claras y prácticas para la cobertura del ciberseguro. La ambigüedad no ayuda a nadie. La cobertura debe reflejar los principios básicos de la asegurabilidad y, al mismo tiempo, minimizar el papel de conceptos vagos, como «acciones bélicas». Las nuevas pólizas podrían excluir ciertos eventos catastróficos específicos en función de su probabilidad de superar la capacidad financiera de las aseguradoras. Por ejemplo, muchas aseguradoras se preocupan por»[ciberfísico](/2020/01/how-to-safeguard-against-cyberattacks-on-utilities)» eventos, es decir, incidentes de hackeo con importantes consecuencias en el mundo real, como una ciberdisrupción que afecte a las instalaciones de tratamiento de agua, o la temporal de Rusia [interrupción de las redes eléctricas ucranianas](https://www.wired.com/story/russia-ukraine-cyberattack-power-grid-blackout-destruction/) en 2015 y 2016. Hasta ahora, estos eventos han sido poco frecuentes y localizados. Sin embargo, los riesgos aumentan a medida que se digitalizan cada vez más sistemas físicos. Una exclusión del seguro podría especificar estos y otros eventos catastróficos, ya sean causados por actores estatales, delincuentes, empleados negligentes o la caída de un rayo. Esto sería más claro y sencillo que las exclusiones de guerra actuales, lo que reduciría la necesidad de litigios intensivos para determinar la cobertura. Luego, los gobiernos pueden ayudar a garantizar que un seguro cibernético sólido sea financieramente viable proporcionando una cobertura de último recurso para cibereventos extremos. Los expertos en seguros han modelado algunas posibilidades aterradoras que podrían poner a prueba los límites de los mercados privados. Por ejemplo, los analistas han determinado que un[en el peor de los casos](https://www.jbs.cam.ac.uk/wp-content/uploads/2020/08/crs-cyrim-bashe-attack-scenario.pdf#page=6) un brote mundial de malware podría extenderse aún más rápido y provocar mayores perturbaciones en más sectores y países que NotPetya. Esto podría costar hasta 193 000 millones de dólares (el equivalente financiero a otro huracán Katrina) y[acabar con décadas](https://www.weforum.org/agenda/2020/10/there-s-not-enough-money-in-cyber-insurance/) de las primas de seguro de una sola vez. En casos como este, los gobiernos podrían prometer pagar al menos parte del exceso de daño, respaldando así al mercado. Ningún país ha implementado aún un respaldo de ciberseguro, pero los Estados Unidos y otros sí[estudiando la idea](https://www.insurancejournal.com/news/national/2020/03/11/560918.htm). Hay un amplio precedente: varios países tienen respaldos para el seguro contra el terrorismo, y estos programas pueden [ahorrar dinero a los contribuyentes](https://www.claimsjournal.com/news/national/2014/04/11/247323.htm). La garantía de cobertura aumenta tanto la oferta como la demanda de seguros, lo que ayuda a las aseguradoras a acumular una mayor reserva de primas, lo que a su vez les permite realizar los pagos cuando son necesarios. Y cuando ocurre un desastre importante, esta reserva financiera se destina directamente a financiar la recuperación, de modo que ni los gobiernos ni las aseguradoras tienen que asumir toda la carga por sí solos. Por último, si bien las aseguradoras y los gobiernos tienen un papel clave que desempeñar, la comunidad empresarial no puede darse el lujo de quedarse al margen y esperar a que creen nuevos sistemas de apoyo. Las empresas deberían hablar hoy con sus corredores y transportistas sobre lo que les gustaría ver en el[nuevos marcos de cibercobertura](https://www.spglobal.com/marketintelligence/en/news-insights/latest-news-headlines/cyber-insurers-wrestle-with-war-exclusions-as-state-sponsored-attack-fears-grow-56743302) que se están desarrollando. Los asegurados deben tener voz a la hora de establecer condiciones claras, prácticas y razonables. Las empresas también pueden presionar a los gobiernos para que apoyen el mercado de los ciberseguros instituyendo programas de respaldo cuando sea necesario. Los ciberataques representan graves riesgos, pero las empresas no son impotentes ante ellos. A corto plazo, los líderes empresariales pueden empezar a aumentar su preparación entendiendo sus vulnerabilidades y planificando para el peor de los casos. A largo plazo, las empresas deberán asociarse con las aseguradoras y los gobiernos para desarrollar soluciones integrales. No se pueden evitar por completo los ciberriesgos, pero las decisiones que tomemos hoy determinarán si el próximo gran ataque significa un caos financiero o simplemente un mal día en la oficina.