Sus autores lograron acceder a los sistemas de las principales agencias gubernamentales estadounidenses y de otras organizaciones en todo el mundo a través de una actualización de uno de sus proveedores de software, SolarWinds.
Por Caroline Baylon y David Ríos (*)
Actualmente, las empresas pueden requerir los servicios de cientos o incluso miles de proveedores o terceros que los cibercriminales pueden usar para infiltrarse.
Estas compañías pueden ser proveedores informáticos, pero también de otro tipo. Por ejemplo, en 2017, se logró acceder a los datos de un casino de Las Vegas a través de un acuario conectado. En 2014, la cadena de supermercados estadounidense Target sufrió un ataque a través de su proveedor de aire acondicionado.
Un aspecto que complica la evaluación de los ciberriesgos es la aparición constante de nuevos actores y nuevos tipos de ataques. Últimamente han empezado a producirse ataques que utilizan la inteligencia artificial (IA). Recientemente se produjo un caso con gran repercusión mediática en el que los ciberdelincuentes usaron la IA para simular la voz del CEO de una empresa y consiguieron que un empleado les transfiriera dinero.
El enfoque actual de la gestión de riesgos vinculados con la ciberseguridad presenta importantes lagunas. En general, se basa en una matriz de riesgos que utiliza una tabla para comparar la probabilidad de riesgo y la gravedad del impacto.
Los valores numéricos atribuidos a la probabilidad y a la gravedad suelen ser ambiguos, puesto que puede obtenerse un mismo valor numérico para amenazas muy diferentes. Esto puede llevar a las organizaciones a clasificar incorrectamente los riesgos de ciberseguridad y, como consecuencia, a distribuir los recursos incorrectamente.
El papel de los ciberseguros
Cada vez más empresas contratan ciberseguros para mejorar la gestión de los riesgos en el ámbito de la seguridad informática.
El objetivo de estos ciberseguros o pólizas de ciberriesgo es dar cobertura a las compañías transfiriendo el riesgo a las aseguradoras. Pero también pueden incentivar que los clientes mejoren su ciberseguridad ofreciéndoles primas a aquellos que pongan en práctica medidas de seguridad más robustas.
No obstante, los ciberseguros siguen sin ser masivamente adoptados por diversos motivos. Por un lado, como ya hemos mencionado, la evaluación de ciberriesgos sigue planteando dificultades, incluso para las propias empresas aseguradoras.
Al contrario de lo que sucede en otros ámbitos que también presentan niveles de riesgo elevados (como, por ejemplo, las pandemias), nos encontramos ante una escasez de datos históricos. Este tipo de riesgos es relativamente reciente y, además, las empresas no suelen divulgar sus ataques para proteger su reputación.
Por otro lado, el perfil de riesgo de una compañía en el momento en el que se contrata una póliza de ciberriesgo puede cambiar varios meses después, ya que las firmas colaboran diariamente con nuevos proveedores y con otras organizaciones. Esto aumenta su exposición a riesgos. Pero también pueden adaptarse y añadir nuevas herramientas de seguridad para reducir su exposición.
A estos problemas debemos añadir la escasez de aseguradores especializados en materia de ciberseguridad, cuya función consiste en evaluar el perfil de los clientes potenciales.
Otro desafío es el riesgo de acumulación, es decir, el riesgo de que los siniestros de un solo incidente se propaguen a otros clientes de la aseguradora.
En el plano físico, un desastre natural, como un huracán, puede desencadenar un aumento de las solicitudes de indemnización, pero las solicitudes se limitarán a una zona geográfica concreta.
Sin embargo, en el ciberespacio, un ataque informático puede desencadenar solicitudes de indemnización desde cualquier parte del mundo. Por ejemplo, el ataque de ransomware WannaCry afectó a unos 200 000 sistemas informáticos de 150 países y alteró el funcionamiento de grandes organizaciones como el servicio de paquetería FedEx o el sistema de salud pública británico.
El riesgo sistémico es otro de los retos. Se trata de la posibilidad de que un solo incidente pueda provocar un fallo en cascada capaz de colapsar todo un sistema. Por ejemplo, un ciberataque que provoque un fallo en la red de suministro eléctrico tendrá repercusiones en distintos sectores, como los transportes, la comunicación, o incluso el sistema sanitario.
Mejorar nuestra comprensión del ciberriesgo
Para dar respuesta a todas estas cuestiones, en nuestro último libro proponemos una serie de nuevos modelos para ayudar a las organizaciones y las aseguradoras a gestionar los riesgos relacionados con la ciberseguridad.
Estos modelos utilizan una nueva metodología conocida como análisis de riesgos adversarios (ARA) que permite realizar una evaluación más precisa del riesgo de amenaza que pueden suponer determinados actores para una organización.
Asimismo, estos modelos permitirían a las aseguradoras ajustar de manera automática las primas en función de la evolución del riesgo de ciberseguridad de una empresa asegurada.
Estas herramientas se basan en la información proporcionada por terceros. Por ejemplo, SecurityScorecard, Blueliv o BitSight recopilan información en tiempo real sobre la infraestructura informática de las organizaciones, los productos de seguridad y otros factores relacionados. Su objetivo es ofrecer una imagen más clara del estado de la ciberseguridad de una empresa en un momento determinado.
Uno de los modelos que hemos desarrollado permite entender mejor el riesgo de acumulación. De acuerdo con este modelo, los segmentos del mercado se dividen en componentes distintos para aislar el efecto de acumulación de un ciberataque en un segmento determinado y poder entenderlo y analizarlo por separado.
Algunas aseguradoras van más allá de la simple venta de una póliza para ayudar a sus clientes a mejorar su nivel de ciberseguridad. Entre otros servicios, les informan de su vulnerabilidad y analizan su estructura informática para detectar los fallos de seguridad. También les ayudan a implementar pruebas de penetración de sus sistemas informáticos y a proponer campañas de sensibilización sobre, por ejemplo, la suplantación de identidad o phishing para sus empleados.
Asimismo, las aseguradoras proponen a sus clientes servicios de apoyo para superar los ataques informáticos –gestión de crisis, asistencia jurídica, reanudación rápida de las actividades–. Por lo general, lo hacen a través de colaboraciones con empresas especializadas en ciberseguridad, empresas de relaciones públicas o bufetes de abogados.
Todas estas mejoras pueden desempeñar un papel importante en la gestión de los riesgos en seguridad informática, y contribuir a la creación de un círculo virtuoso en el que los ciberseguros promuevan un aumento de la ciberseguridad globalmente.
(*) Caroline Baylon, de la Universidad de Cambridge, y David Ríos, Axa
––––––––––––
Este artículo se basa parcialmente en nuestro último libro, Security Risk Models for Cyber Insurance, publicado por Routledge/Taylor & Francis. El libro es el resultado del proyecto CYBECO (Supporting Cyber Insurance from a Behavioral Choice Perspective) que se ha llevado a cabo durante dos años con la financiación de la Unión Europea en el marco del programa Horizon 2020.