Ciberseguridad y aseguradoras

IMAGE: Gerd Altmann - Pixabay

Mi columna en Invertia de esta semana se titula «¿Debe pagar el seguro los ciberataques por negligencia?» (pdf), y refleja mi curiosidad por el hecho de que las aseguradoras no hayan aún implantado sistemas que traten de asegurar un mínimo nivel de competencia en sus clientes a la hora de asegurar riesgos relacionados con la ciberseguridad.

La idea me surgió leyendo una entrevista en el Financial Times con Mario Greco, CEO de una de las aseguradoras europeas más grandes, Zurich, en la que comentaba cómo, a pesar de que los riesgos derivados de fenómenos naturales se han incrementado una auténtica barbaridad debido a la emergencia climática, hasta un 42% más que la media de los últimos diez años y van a superar, por segundo año consecutivo, los cien mil millones de dólares (de hecho, deberíamos ya dejar de considerarlos «fenómenos naturales», dado que los estamos provocando nosotros mismos), lo que realmente le preocupa desde el punto de vista de negocio son los riesgos derivados de los ciberataques, que están convirtiéndose simplemente en imposibles de asegurar.

Los ataques de ciberseguridad están convirtiéndose ya no en simples delitos, sino en auténticos ataques a la civilización. Atacar un hospital, una infraestructura energética, un departamento de la administración o muchos otros casos similares es susceptible de generar responsabilidades enormes, que en muchos casos se derivan de simples negligencias. Algunas compañías están empezando a tratar los riesgos derivados de la ciberseguridad con prácticas similares a las de los desastres naturales, estableciendo bonos que cubren un límite determinado. Otras simplemente van subiendo los precios de las pólizas, o introducen cláusulas que excluyen los ciberataques originados en acciones de gobiernos, aunque suelen ser relativamente frágiles debido a la dificultad, en muchos casos, de trazar el origen de este tipo de delitos. Simplemente el ransomware, que crece sobre todo debido a la práctica de muchas empresas de pagar el rescate para no complicarse (aunque, al estar tratando con delincuentes, nada asegura que vayas a recuperar tus datos ni que no vuelvan a pedirte otro rescate), puede llegar a suponer casi la mitad de las reclamaciones en un año determinado, y está convirtiéndose en un riesgo imposible de cubrir.

Cuando hablamos de seguros de automóviles, la compañía aseguradora extiende su cobertura, en primer lugar, únicamente a conductores que sepan conducir y que, además, respeten una serie de normas. Si no tienes carnet, si no llevas el cinturón de seguridad o si circulas de manera claramente imprudente, es muy posible que la aseguradora se niegue a cubrir los daños que produzcas, o al menos, los que te produzcas a ti mismo. La regla parece muy obvia, pero ¿no deberíamos plantearnos hasta qué punto las aseguradoras no están intentando proteger de ciberataques a una serie de compañías que, en realidad, hacen muy poco o nada para protegerse de ellos? En muchos casos, los ciberataques son fruto de empleados muy mal preparados y nada concienciados de la necesidad de mantener ciertas prácticas de puro sentido común referentes a la ciberseguridad, o a los que su compañía les impone disciplinas absurdas, como los absurdos y anticuados cambios periódicos de contraseña, que terminan redundando en un mayor nivel de vulnerabilidad. ¿Por qué debe una aseguradora hacerse cargo de una indemnización por un ataque que la compañía que lo ha sufrido estaba prácticamente pidiendo a gritos?

¿Cómo proteger a compañías que, en realidad, ignoran prácticas de seguridad absolutamente básicas? Si una compañía no lleva a cabo un buen mantenimiento de su software y se expone por ello a ataques basados en vulnerabilidades ya conocidas, si no educa a sus empleados en la necesidad de poner en práctica ciertas medidas y termina teniendo a muchos de ellos, incluidos directivos, utilizando contraseñas absurdas e inútiles como «password», «12345678» o la fecha de nacimiento de su hijo, si decide no pagar por un buen gestor de contraseñas o por un sistema de verificación en dos pasos, entre otras prácticas recomendables, la compañía aseguradora debería simplemente ignorar sus reclamaciones y dejar que los daños los cubriese ella misma, por irresponsabilidad patente y notoria.

La ciberseguridad no es una cuestión de arcanos indescifrables, ni debemos considerar disculpable el hecho de que cualquiera sufra un incidente de ese tipo. Unas pocas prácticas obvias de ciberseguridad son susceptibles de reducir muchísimo el riesgo de un ciberataque, y es cada vez más importante exigirlas a quienes reclaman ser protegidos. La ciberseguridad, cada día más, no puede ser el problema de un tercero, la aseguradora, sino que tiene que ser necesariamente una responsabilidad compartida.

¿Cuáles deberían ser esas prácticas de seguridad mínimas exigibles a cualquiera que pretenda asegurar el riesgo de un ciberataque? En primer lugar, el uso de un gestor de contraseñas. Decirlo precisamente ahora, tras la brutal intrusión que ha sufrido LastPass, podría parecer poco adecuado, pero es importante notar que, a pesar del ataque a quien almacena todas las contraseñas de mucha gente, esas contraseñas no han estado expuestas, y los usuarios siguen estando más seguros así que si no hubieran utilizado el gestor en cuestión.

En segundo lugar, un buen sistema de verificación en dos pasos, preferentemente basado no en correo electrónico ni en el envío de un SMS, sino en una aplicación de autenticación. La rutina de ver a un trabajador introduciendo su contraseña para, inmediatamente, echarse la mano al bolsillo y obtener otra de su aplicación de autenticación debería ser completamente habitual, y no resulta tan engorrosa, sobre todo si lo comparamos con el nivel de riesgo que reduce.

Y en tercero, mantener correcta y rigurosamente actualizado el software corporativo, algo que en la mayoría de las compañías de cierto tamaño suele depender de un departamento centralizado, pero que se descuida con mucha más frecuencia de lo que es aconsejable, y que expone a la compañía a vulnerabilidades que ya eran conocidas o que habían sido publicadas.

Se trata, básicamente, de generar una cultura de ciberseguridad que los empleados entiendan y compartan, de no intentar proteger el acceso a cosas cuando los propios interesados están dejando la llave debajo del felpudo o apuntando sus contraseñas en un post-it detrás de la pantalla. En el fondo, puro sentido común.


This post is also available in English on my Medium page, «If a company can’t be bothered to protect its IT, why should insurers pay out when the cybercrooks come calling?»

28 comentarios

  • #001
    Xaquín - 11 enero 2023 - 12:34

    «la compañía aseguradora extiende su cobertura, en primer lugar, únicamente a conductores que sepan conducir y que, además, respeten una serie de normas» (EDans).

    Nunca me cayeron bien las aseguradoras. Ya que son lo más parecido al fondo buitre , antes incluso de que este fuera inventado. Pero , como los bancos, si pagan con cierta justicia, se hacen inevitables. Como la policía.

    Pero esa regla de oro, tendría que ser la norma esencial para considerar que un profesional cumple con su profesión. Y, como no, estoy pensando directamente en el sistema educativo/domesticador de marras.

    Porque lo difícil está en acordar las normas que se deben cumplir, pero lo que debería ser indiscutible es su tremenda necesidad. Los límites no solo son importantes en matemáticas. Y no solo para los empresarios.

    Y si no, que se lo pregunten a los adolescentes, que aún muestren cierta capacidad crítica, en su relación coa la realidad que les toco sufrir.

  • #002
    JPR - 11 enero 2023 - 12:35

    El problema principal de un seguro que cubra por ejemplo una incidencia de ransomware, es que se necesitaría una póliza de lucro cesante, es decir que el asegurador se obliga a indemnizar al asegurado por un mínimo diario desde que se produce el siniestro hasta que se solucione, o incluso que cubra el hipotético pago que se pudiera producir, ya que este tipo de pólizas suelen cubrir los gastos producidos a consecuencia directa del siniestro.

    No me parecía que sea muy legal que la cobertura de la póliza pudiera cubrir este gasto, ya que iría conta los límites establecidos por la Ley. Pero resulta que si existen esas pólizas, por ejemplo:

    Ejemplo ofrece completas coberturas de seguro de secuestro, rescate, extorsión y otras situaciones de crisis como extorsión cibernética, extorsión de productos, secuestros aéreos, retención ilícita, amenazas, desaparición, secuestro exprés, crisis de rehenes, secuestro de menores, agresión y violencia en el lugar de trabajo. Ejemplo trabaja exclusivamente con asesores expertos en respuestas ante situaciones de crisis: S-RM. Los tomadores de la póliza tienen acceso a servicios de respuesta en situaciones de crisis antes, durante y después del incidente.

    Si una empresa de las que pululan por este mundo empresarial español que son chapuceras a la hora de protegerse ante ataques de ciberseguridad, lo primero que va a hacer la aseguradora es pedir y demuestren que cumplen con unos requisitos (auditorias de seguridad) y obviamente se buscarán los disclaimers habituales para no incluir coberturas por negligencias de sus trabajadores…. la empresa hará su análisis de riesgos y evaluarán si les conviene una determinada cobertura o no les conviene. Más info aquí

    En definitiva la ciberseguridad es DisneyLandia para engordar las cuentas de las aseguradoras.

    • Alfredo Hoz - 11 enero 2023 - 16:21

      Parece ser que solo ha sido «un error informatico» (no se habla de ataque)

      FAA computer outage causes US flights to be grounded across America

      me pregunto como responderia una aseguradora (y cuanto costaria la poliza)

      • Chipiron - 11 enero 2023 - 19:13

        La FAA es un organismo federal estadounidense, dudo que se les puedan reclamar indemnizaciones…

  • #005
    Benji - 11 enero 2023 - 14:41

    De acuerdo con todo menos con LastPass. Un gestor en la nube es «cómodo» porque sincroniza con todos los dispositivos, pero si las contraseñas no se descrifran ahora, lo harán tarde o temprano.

    No, estoy totalmente en contra de LastPass, 1Password, Firefox, Chrome y similares. Lo mejor es tener un gestor de claves local (como KeePass) que no esté expuesto a ese nivel de robo.

    Incluso voy más allá, Mi clave bancaria y la del Gmail no se repiten y no están ni escritas ni documentadas, ni siquiera en mi gestor de contraseñas. Las cosas realmente importantes te las memorizas.

    Recomiendo el sistema de 3 palabras: Una contraseña como «Mejor_Playa_Valenciana» es prácticamente indestructible.

    • Alfredo Hoz - 11 enero 2023 - 14:49

      Si se ponen a ello, es cuestion de tiempo, y cada vez, menos tiempo…

      Are Your Passwords in the Green?

      10 caracteres Números, mayúsculas y minúsculas

      2012 -> 106 años
      2021 -> 7 meses
      2022 -> 3 semanas

      • Pepe - 11 enero 2023 - 17:06

        Creo que Benji se refiere a esto: https://xkcd.com/936/.

  • #008
    Gorki - 11 enero 2023 - 15:06

    Siempre he tratado de trabajar en un sector que esté en la cresta de la ola, porque pagan mejor tu trabajo. Si no estuviera jubilado aprendería ciberseguridad.
    Qué es el Cyber Profiling: las empresas buscan empleados para combatir la ciberdelincuencia

    • Chipiron - 11 enero 2023 - 19:14

      No lo dudes, seguro que un buen experto en seguridad está muy bien pagado….

      hasta que hackean su empresa ;-)))

  • #010
    Chipiron - 11 enero 2023 - 18:38

    Desde la absoluta ignorancia: Porqué es mejor un gestor de identificación que un SMS en un 2 factor autentification?

    Y, según la aplicación, puedes escoger tu el gestor de verificación o cada servicio te impondrá el suyo? Lo digo por si sería práctico o no.

    Al menos, todo el que tiene Smartphone, recibe SMSs, y no necesariamente necesita instalarse todos los gestores de autentificación que se le vayan exigiendo, no?

    Supongo que, desde mi ignorancia, me estoy perdiendo algo. Pero yendo al grano: cuales son las ventajas que ofrecen los servicios de verificación frente al envio de SMSs?

    Y ya puestos a preguntar, “CaixaSign” seria uno de ellos, no?

    Un saludo!

    • Carlos Quintero - 11 enero 2023 - 21:18
      • Chipiron - 12 enero 2023 - 10:56

        Cierto, Carlos. Gracias por recordarmelo.

  • #013
    Carlos Quintero - 11 enero 2023 - 21:24

    «La rutina de ver a un trabajador introduciendo su contraseña para, inmediatamente, echarse la mano al bolsillo y obtener otra de su aplicación de autenticación debería ser completamente habitual, y no resulta tan engorrosa»

    Esto sí era cómodo, y lo hemos perdido:

    Q: Is Apple Watch supported for Authenticator on iOS?
    A: In the upcoming Authenticator release in January 2023 for iOS, there will be no companion app for watchOS due to it being incompatible with Authenticator security features.

    Fuente: Common questions about the Microsoft Authenticator app

  • #014
    Gorki - 11 enero 2023 - 23:24

    Lo que me dice la experiencia, es que siempre encargamos una puerta blindada, el día DESPUE de que nos hayan robado en casa.

    • Chipiron - 12 enero 2023 - 12:41

      Lo que comentas es bastante cierto. Pero, por ejemplo, en casa de mis padres lo hicimos cuando robaron al vecino.

      Entonces te das cuenta que si tu puerta/piso tiene más medidas de seguridad, iran a por el vecino que parezca menos protegido.

      Pero claro, eso tiene poco que ver con el Ramsonware….

  • #016
    Juan T. - 12 enero 2023 - 09:19

    Off topic, Enrique.

    Hecho de menos un artículo de prospectiva a propósito del auge de la AI.

    Si, como parece ser, la AI hará que el proceso de creación de un producto tienda a cero (provisto que la AI impacta directamente en lo digital y ahora ¿qué producto no tiene un componente digital?), del mismo modo que Internet hizo lo mismo con la distribución:

    ¿No quedaría como único coste relevante el coste energético de fabricación del producto, así como su transporte hasta el cliente final?

    ¿Y qué supondría eso para España siendo el pais que tendrá a corto plazo la energía mas barata de Europa ?

    ¿No supondría eso la llegada de empresas a España que buscan competitividad por ahorro del coste energético en su producto ademas de tener el mercado europeo a un paso con el consiguiente ahorro tambien en transporte del producto?.

    https://every.to/napkin-math/when-creation-goes-to-zero

    https://every.to/napkin-math/who-wins-the-ai-value-chain

    https://every.to/napkin-math/6-new-theories-about-ai?ref=refind

    • JPR - 12 enero 2023 - 11:34

      Si sería interesante, debatir este tema… aunque el tratamiento que hacen las fuentes es muy superficial y de rellenar artículos… como bien dice su título cálculos de servilletas… en eso son honestos.

      Aunque en teoría el coste de «creación digital» se hunda, siempre depende de un tercero con capacidades «sobresalientes» en AI que te proporcione por la nube ese acceso, esto tiene dos derivadas:

      a) Estratégicamente si tu negocio se basa en su uso estas a merced de eso tercero. Podría pasar algo parecido a lo que hace Amazon con ciertas tiendas, ya déjalo que veo que tu negocio es bueno, y me lo quedo yo. Como mínimo tu estrategia empresarial es muy débil.

      b) El coste real de creación no sería cero. Por dos causas la primera que la salida de «esa creación digital» habría que pagar al tercero por que te deje usarla, y porque con el desarrollo actual habría que ponerle «calidad humana» a esa creación que normalmente es mediocre. Tienes que formar a esas personas al nuevo entorno. Y usar tu mismo tu desarrollo en AI, no lo veo, ya que el driver es coste tendiendo a cero…

      Por un lado, no habría diferenciadores en esos productos, cualquiera que pagara «el derecho de uso de esa AI» tendría un producto similar al tuyo, por lo que no habría valor intrínseco y por tanto no conseguirías beneficios

      Por otro lado la «mediocridad» en si misma no suele ser un obstáculo insalvable en la producción y venta de productos, a la vista está como estça el mercado lleno de prouctos sin valor.

      Lo del coste de la energía es una mera coyuntura temporal que no debería entrar en la ecuación de costes como diferencial.

      PS: Perdón por no usar tacos, ni lenguaje mal sonante.

        • JPR - 12 enero 2023 - 13:08

          La versión que ahora mismo tenemos ha pasado de un OHHH!, a vaya truño si no funciona nunca….

          Y pagar por un SW como éste, va contra mi religión, se lo pueden quedar… ya consultaré la wiki,

          PS: y si nos encontramos solos siempre nos quedará Enrique… que no falla, XDDDD aunque a veces se le note que es una AI de primera generación

          • Enrique Dans - 12 enero 2023 - 13:19

            Pues precisamente estaba yo pensando en hacer la página de pago…

          • Alfredo Hoz - 12 enero 2023 - 13:55

            Pues la tripleta que conformamos esta cuenta nos haremos Gorkis…: Que es eso de pagar? :P XDD :)

          • Gorki - 12 enero 2023 - 14:22

            Mi religión prohíbe pagar por lo que puedo conseguir gratis…. Pero, sino lo puedo conseguir gratis,…. pago y no peco.

    • Gorki - 12 enero 2023 - 11:44

      ¿Qué te hace suponer que España tendrá la energía mas barata de Europa?

      • Chipiron - 12 enero 2023 - 11:53

        Supongo que, si lo hiciesemos bien, por el sol…

      • JPR - 12 enero 2023 - 11:59

        Me imagino que se refiere a la coyuntura de la excepción iberica

        https://www.eldiario.es/economia/claves-tope-precio-gas-pactado-ue-espana-llevaba-reclamando-ano_1_9807960.html

  • #027
    Juan T. - 12 enero 2023 - 17:42

    https://www.economiadehoy.es/espana-tendra-la-electricidad-mas-barata-de-europa-en-2030

    • JPR - 12 enero 2023 - 18:57

      Ha sido leer tu comentario y el mercado ha reaccionado, el bitcoin a 18700 USD. Cuarto Milenio batiendo records de audiencia y las acciones de Mediaset España ganando hoy 3,56€. No sé si será si la correlación será causal o casual, pero estos bombazos no los sueltes sin avisar, que estamos en el cuerno de la abundancia energética.

Dejar un Comentario a Chipiron

Los comentarios están cerrados