El escritor es profesor en Tufts y autor de ‘Cybersecurity Policy’
La invasión de Ucrania a principios de este año atrajo una atención mundial considerable sobre la posibilidad de que Rusia pudiera combinar sus ataques físicos contra el país con ataques cibernéticos destinados a debilitar la infraestructura crítica y los sistemas de información. Rusia ha tenido un éxito limitado, hasta ahora, en el uso de tales ataques cibernéticos contra Ucrania, pero eso no ha impedido que las compañías de seguros que venden pólizas de seguros cibernéticos se preocupen de que esto podría costarles miles de millones de dólares, no solo en Ucrania, sino también en países como EE. UU. y el Reino Unido, donde se venden la mayoría de las pólizas de ciberseguro.
Tienen buenos motivos para estar preocupados: los ciberataques rusos ya han costado una gran cantidad de dinero a las aseguradoras. Rusia y su gobierno han sido ampliamente culpados por el ataque NotPetya de 2017 que codificó datos de los sistemas informáticos de empresas en más de 60 países. Estos abarcaron industrias desde la energía hasta el transporte marítimo, lo que obligó a muchos de ellos a cerrar sus operaciones durante varios días. La Casa Blanca estimó que el malware NotPetya finalmente causó más de $ 10 mil millones en daños y luego se refirió a él como «el ataque cibernético más destructivo y costoso de la historia».
Después de NotPetya, algunas aseguradoras rechazaron las reclamaciones por los costos resultantes con el argumento de que el ataque fue un «acto bélico» porque un gobierno estaba detrás de él. Dado que muchas pólizas de seguro excluyen la cobertura por actos de guerra, las aseguradoras razonaron que esta misma exclusión debería aplicarse a actos de guerra cibernética o ataques cibernéticos patrocinados por el estado.
Por estos motivos, Zurich rechazó una reclamación de 100 millones de dólares de la empresa multinacional de alimentos Mondelez, y un grupo de más de 20 aseguradoras negó 1400 millones de dólares en reclamaciones relacionadas con NotPetya de la empresa farmacéutica Merck.
Tanto Mondelez como Merck demandaron a sus respectivas aseguradoras. Las aseguradoras argumentaron que el ataque había sido atribuido al gobierno ruso por muchos países diferentes, incluido EE. El poder soberano o militar que estaba detrás del incidente solía ser crucial para determinar si algo era una guerra o no.
Mientras tanto, Mondelez y Merck cuestionaron que NotPetya fuera una «acción bélica» y Merck señaló además que no es seguro que Rusia esté detrás del ataque, dadas las dificultades para atribuir definitivamente los ataques cibernéticos a un perpetrador en particular.
El caso de Mondelez aún está pendiente, pero Merck ganó su caso en diciembre, cuando un tribunal de Nueva Jersey determinó que las aseguradoras no podían excluir a NotPetya de su cobertura porque la exclusión de guerra “se aplicaba solo a las formas tradicionales de guerra”. Fue una victoria significativa para la empresa, pero puede que no sea duradera para otras que sean víctimas de ciberataques patrocinados por el estado en el futuro.
A principios de este mes, Lloyd’s of London emitió un boletín en el que señalaba que, «al escribir riesgos de ataques cibernéticos, los aseguradores deben tener en cuenta la posibilidad de que puedan ocurrir ataques respaldados por el estado fuera de una guerra que involucre la fuerza física». Dado que el fallo de Merck sugiere que estos ataques pueden no considerarse lo suficientemente «bélicos» para caer dentro de las exclusiones de guerra existentes, el boletín de Lloyd’s requiere que los aseguradores comiencen a excluir explícitamente ciertos tipos de ataques cibernéticos respaldados por el estado de su cobertura, especialmente los ataques que «perjudican significativamente la capacidad de un estado para funcionar” o “que perjudiquen significativamente las capacidades de seguridad de un estado”.
Estas nuevas exclusiones pueden ayudar a las aseguradoras a reducir costos a corto plazo, pero serán malas para el mercado de seguros cibernéticos a largo plazo. Los ataques cibernéticos patrocinados por el estado ahora son tan comunes que si las aseguradoras comienzan a negarse a cubrirlos al mismo tiempo que los gobiernos continúan aumentando sus capacidades cibernéticas, entonces las compañías no comprarán estas pólizas de seguro.
Esto no solo significará que las empresas terminarán siendo menos capaces de recuperarse financieramente de los ataques cibernéticos, sino que también puede hacer que sean más probables. Existe la preocupación de que las empresas que deciden no comprar un seguro cibernético también tomen menos precauciones de seguridad para proteger sus propios datos y redes porque ya no tienen que cumplir con los requisitos de sus aseguradoras.
Las aseguradoras deben comprender que nadie querrá comprar pólizas (cada vez más caras) que no cubran los ataques de algunos de los adversarios en línea más sofisticados y activos. Al excluir de su cobertura solo aquellos ataques cibernéticos que ocurren en el contexto de guerras que involucran fuerza física, las aseguradoras pueden proteger mejor a sus asegurados y también a su propio negocio en un mundo ahora en constante alerta.
Read More: Las aseguradoras deben repensar el manejo de los ataques cibernéticos en los estados