El ransomware lleva tiempo convirtiéndose, sin duda, en una de las grandes amenazas tanto para las compañías en todo tipo de industrias, como para las aseguradoras, lo que está llevando a un fuerte incremento de las tarifas para poder hacer frente a ataques cada vez más serios y frecuentes.
A la persecución policial de algunos grupos relacionados con el aumento de la actividad delictiva, que ha llevado a que se fragmenten en pequeños grupos más difíciles de perseguir, se une la continua evolución de las herramientas y la tendencia cada vez más significativa hacia el trabajo distribuido, que eleva la frecuencia de ataques relacionados con las credenciales de los trabajadores.
El problema, fundamentalmente, está en la falta de desarrollo de una cultura de seguridad en las compañías, que siguen en muchos casos imponiendo a sus trabajadores procedimientos absurdos y contraproducentes de seguridad mal entendida o asentada en mitos como el del cambio frecuente de contraseña: si pides a tus trabajadores que cambien su contraseña cada poco tiempo y que utilicen una muy sólida y, por tanto, difícil de recordar, lo que estás haciendo en la gran mayoría de los casos no es mejorar tu seguridad, sino empeorarla dando lugar a nuevas vulnerabilidades. Un reenfoque de esos procedimientos hacia el uso de gestores de contraseñas, añadiendo además autenticación de segundo factor mediante aplicaciones que, en muchos casos, se integran con esos propios gestores tiene muchísimo más sentido, y permite no solo a los trabajadores operar en un entorno menos farragoso, sino también dificultar los ataques.
Por supuesto, a este tipo de herramientas hay que añadir el factor humano: la formación en buenas prácticas de ciberseguridad es cada vez más esencial en las organizaciones, y se convierte en uno de los elementos más sólidos de defensa. La mayoría de los ataques de ransomware tienen su origen en algún tipo de vulnerabilidad vinculada a la actuación de un trabajador y explotada mediante procedimientos de hacking social. Pero obviamente, poco puede hacerse si la dirección de las compañías sigue, en muchos casos, utilizando ellos mismos contraseñas absurdas que no ofrecen ni el más mínimo nivel de protección. Se calcula que en torno al 88% de las compañías que sufren un ataque de ransomware tratarían de solucionarlo pagando el rescate correspondiente, algo que por un lado incrementa el incentivo para los delincuentes y, por otro, nunca supone ningún tipo de garantía.
El conjunto de malas prácticas en este ámbito de una compañía constituye la llamada «deuda de ciberseguridad«, que incide de manera muy directa sobre su probabilidad de sufrir un ataque de este tipo. Un factor que puede ser evaluado de manera relativamente sencilla en una auditoría por parte de una aseguradora, y que debería convertirse en el factor fundamental a la hora de calcular el importe de la póliza que exigen a sus clientes. Asegurar un riesgo cuando la propia compañía que aseguras está llena de agujeros, de directivos o empleados ignorantes e irresponsables, y de malas prácticas en ciberseguridad es simplemente cruzarse de brazos y esperar una pérdida económica significativa.
¿Pueden las aseguradoras convertirse en un factor fundamental a la hora de obligar a mejores prácticas y al desarrollo de una cultura de ciberseguridad en las compañías? Dotarse de buenos indicadores y de procedimientos adecuados para llevar a cabo una auditoría previa a la firma del contrato, o incluso hacer uso de compañías de white hat hacking para determinar el nivel de riesgo esperado es algo que, sin duda, deberían plantearse, en lugar de simplemente firmar contratos e ir elevando las primas a medida que se incrementa la frecuencia de este tipo de ataques. Las aseguradoras pueden convertirse en un factor importante… pero primero, por supuesto, deberán dotarse ellas mismas de ese tipo de experiencia y expertise.
This article is also available in English on my Medium page, «How insurers could help beat ransomware criminals«
Muy interesante el artículo.
No se me había ocurrido que el sector de seguros pudiese convertirse en un agente de cambio tan poderoso en el campo de la conversadas en las empresas.
Recientemente he podido asistir a varios cursos sobre seguridad informática y me he sorprendido al descubrir lo que ha bajado el umbral de entrada a la práctica del hacking gracias a infinidad de herramientas que ya hay disponibles. Antes era un campo accesible sólo a unos pocos.
«deberían plantearse, en lugar de simplemente firmar contratos…» (EDans).
Una línea a seguir por toda empresa que quiera solucionar realmente algún problema determinado. Y no solo de seguridad.
La rutina de dejar un porcentaje de ganancias para suplir los robos, por ejemplo, indica lo «bien» amueblado que tiene el cerebro ese empresario (o Consejo de Administración).
Normalmente la base del edificio del «coroboking» es la imperiosa necesidad de de comer, vestirse o, incluso, tener un juguete que te apetece, porque la publicidad te lo metió por los ojos.
Y luego viene el uso que el poder establecido, en sus diferentes niveles sociales de actuación, hace de esa necesidad una casi virtud, para reforzar la sensación individual de poder, que mucha gente necesita (para sentirse vivo).
Si se dedicara un porcentaje (grande) de los beneficios empresariales a resolver problemas de hambre, por ejemplo, sería más difícil formar bandas callejeras, que se dedican a ser pilares de los poderes establecidos a nivel de barrio, municipio, comarca, provincia, estado, comunidad federal… y, como no, a nivel planetario.
Porque los que roban para tener poder, seguirían actuando. Pero tendrían menos apoyos (por debajo) y, sobre todo, se notaría mejor cuando un pirata le roba a otro pirata. ¿O acaso, los corsarios (legales) de su majestad la reina de Inglaterra, ya dejaban de ser piratas, por tener su sede en la City y celebrar el cumpleaños de la reina en Buckingham Palace?
Aunque coincido en que el nivel de seguridad de la gran mayoría de sistemas es mejorable, el problema reside en que las aseguradoras han hecho una muy mala evaluación de riesgos. Se han limitado a hacer un cuestionario y a revisar una evaluación externa de las compañías en lugar de realizar una evaluación exhaustiva del riesgo (por ejemplo, requiriendo una calificación de cibersguridad).