El cibercrimen es uno de los delitos que más auge ha tomado en los últimos años. En el 2018, las aseguradoras recibieron tantas reclamaciones por este tema como en los 3 años anteriores juntos, es decir, casi un reclamo relacionado con un cibercrimen por día laboral. La diversidad y complejidad de los riesgos cibernéticos es directamente proporcional al nivel de dificultad y sofisticación de las operaciones de una compañía, lo que en la actualidad está generando un impacto sin precedentes.
El escenario actual de las vulnerabilidades informáticas en el Ecuador, no es diferente al del resto de países de la región. Existe una creciente preocupación e interés por parte de las empresas, pero también por parte de los entes reguladores. Si bien no tenemos una regulación tendiente a proteger riesgos cibernéticos, es destacable la resolución de la Superintendencia de Bancos y Seguros en el año 2012, con la cual se dispuso la contratación de pólizas de seguro que cubran a las entidades financieras contra fraudes generados a través de su tecnología de la información.
El 19 de septiembre, el Ministerio de Telecomunicaciones entregó el proyecto de Ley Orgánica de Protección de Datos a la Asamblea Nacional, días después de que se conociera la filtración masiva de datos sensibles de millones de ecuatorianos tras un informe de la empresa israelí de ciberseguridad vpnMentor. Sin embargo, no existe aún una normativa que proteja directamente los riesgos cibernéticos, lo cual es una necesidad inminente, pues cada vez se vuelve más importante contar con herramientas técnicas, administrativas y físicas en el tratamiento y protección de los datos, y promover una verdadera cultura referente a la protección de la información vulnerable en las empresas.
Sobre los ataques cibernéticos más comunes y sus principales objetivos
- El ransomware es la principal causa de pérdidas en las reclamaciones de ciberriesgos, debido a que, en la mayoría de los casos, genera la interrupción del negocio, lo que refleja una mayor incidencia de estos ataques en todo el mundo. Más de un cuarto de las reclamaciones de ciber-riesgos (26%) recibidas en el 2018 y atendidas por AIG-Metropolitana, señalan como la causa principal de pérdida al ransomware. Este es un salto significativo versus un 16% de las reclamaciones en los años 2014 a 2017.
Los sectores empresariales y productivos más vulnerables
Durante el 2018, ocho sectores que anteriormente no figuraban en las estadísticas de siniestros de ciber-riesgos realizaron notificaciones de ciber-incidentes. Esto representa una tendencia constante, pues cada año un mayor número de notificaciones proceden de una gama cada vez más amplia de sectores industriales, como la energía y el transporte.
Si bien los servicios financieros siguen siendo los principales denunciantes de este tipo de siniestros, en el 2018 este sector representó un porcentaje más bajo en comparación al 23% de los años 2014-2017.
La naturaleza de los negocios financiero y asegurador, y el hecho de que en estos sectores se recopilen y almacenen grandes cantidades de datos y estén sujetas a una estricta regulación (y a multas potencialmente elevadas), ha supuesto que estas empresas requieran un planteamiento sólido frente al riesgo cibernético.
La reducción de la proporción de reclamaciones procedentes de las entidades financieras podría reflejar simplemente el crecimiento constante de las reclamaciones de otros sectores, como resultado del aumento del portafolio de pólizas de ciber-riesgos.
Acciones preventivas de las empresas frente a las amenazas
La tendencia indica que durante el 2019 y los próximos años, las empresas seguirán viéndose afectadas por la mercantilización del ransomware. También se pronostica que, para el final de año, haya un aumento en las pérdidas por violación de seguridad de datos. La extorsión cibernética tradicional y el fraude de suplantación de identidad se encuentran en las tendencias a observar.
Se ha producido un cambio de actitud hacia los datos personales desde que se produjo el escándalo de Cambridge Analytica y Facebook. Los expertos esperan que esto repercuta en el tipo de reclamaciones recibidas en el 2019, pues los consumidores aceptan mucho menos que en el pasado, que se violen sus datos personales.
Ante ello, se requiere tomar medidas para proteger la información generada que pueda ser vulnerable. Entre las medidas de protección existen: Antivirus; firewalls; políticas y procedimientos frente a protección de datos; conocimiento del manejo de información por parte de los empleados; contar con un método para encriptar o almacenar la información confidencial para que esta no se exponga al riesgo de destrucción; realizar auditorías de control interno para determinar el uso de la información, autorizaciones y acceso específico para los empleados.
Una parte importante de la gestión de riesgos dentro de una empresa incluye la cobertura de una póliza de seguros frente a amenazas cibernéticas.
Los seguros de riesgos cibernéticos amparan la responsabilidad de la institución por la información personal o corporativa ante cualquier pérdida derivada de la violación de seguridad. También amparan los gastos de defensa ante cualquier reclamo incluido en la póliza. Este tipo de seguros cubren pérdida financiera derivada de:
- La responsabilidad por uso y tratamiento de información.
- La responsabilidad por la seguridad de datos.
- Las Inspecciones y procedimientos administrativos – investigación.
- La pérdida de datos electrónicos.
- La restitución de imagen del asegurado.
- La notificación y monitoreo.
- La extorsión cibernética
- La pérdida de beneficios por fallos de seguridad en las redes – interrupción de la red.