Cibercrimen

El cibercrimen, una realidad de la que nadie escapa.
No espere más para protegerse

Cuando se habla de piratas cibernéticos y ciberataques, generalmente se piensa que las víctimas son grandes compañías como, por ejemplo, los bancos. La realidad es que todo tipo de empresas, sin importar giro o tamaño, está expuesta a un ciberdelito de distinta índole, sobre todo de ransomware o secuestro de datos. De hecho, la evidencia demuestra que cualquier empresa, si no ha sido hackeada, en algún momento lo será.

México fue el país de América Latina que más intentos de ataques recibió en 2021, con 156 mil millones, seguido de Brasil, con 88.5 mil millones, y Perú, 11.5 mil millones, según FortiGuard Labs, el laboratorio de inteligencia de amenazas de la multinacional Fortinet.

En cuanto a ataques concretados, de acuerdo con el Panorama de Amenazas en América Latina 2021, realizado por el equipo de Investigación y Análisis de la empresa Kaspersky, en prácticamente todos los países de la región se registró un crecimiento. “En total, sólo el Top 20 de malware en la región genera un promedio de 35 ataques por segundo”.

De acuerdo con el informe, entre los códigos maliciosos se encuentran los troyanos –que elevan los privilegios y permiten hacer un root al teléfono, función que otorga acceso completo al dispositivo–, y también los troyanos espías o stalkerware. Este último registra más víctimas en Brasil, México y Perú.

https://latam.kaspersky.com/blog/ciberataques-en-america-latina-crecen-un-24-durante-losprimeros-ochomeses- de-2021/22718/

De acuerdo con la consultora KPMG, el cibercrimen aumentó en volumen durante la pandemia y no ha disminuido. Según la encuesta “Una triple amenaza en las Américas. 2022 KPMG Fraud Outlook”, en México 58% de las firmas vio un crecimiento en al menos uno de los tipos de ataque, y 75% de los directivos encuestados admite que el home office ha sido un gran desafío de ciberseguridad para su empresa. En los últimos 12 meses, 67% de las empresas en el país ha padecido un ciberataque.

https://assets.kpmg/content/dam/kpmg/xx/pdf/2022/01/fraud-survey-report-spanish.pdf

Así, la diferencia relevante no es tanto el cuándo podría sufrirse ese ataque sino el cómo protegerse y sobrevivir a él.

¿Alguna vez ha imaginado lo que sucedería si, súbitamente, no puede tener acceso a su propia información? ¿Qué ocurriría si un delincuente tiene literalmente secuestrados, no sólo los datos sensibles de su empresa, sino los de sus clientes?.

El riesgo de recibir demandas millonarias, hacerse acreedor a multas y entrar en problemas legales por la filtración de esa información personal sería inminente, ya que podría estarse violando la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la cual no sólo contempla multas sino penas corporales por su incumplimiento. En Estados Unidos el cibercrimen representó pérdidas por 3 mil 500 millones de dólares en 2019.

México, por supuesto no ha estado exento de golpes. En abril de 2018, los sistemas de conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI) de algunos bancos fueron víctimas de ataques cibernéticos que derivaron en pérdidas cercanas a los 400 millones de pesos, según el Banco de México, citado por la calificadora Fitch Ratings.

En el ámbito gubernamental, México cuenta con el Centro de Respuesta a Incidentes Cibernéticos de la Dirección General Científica de la Guardia Nacional. Esta instancia apoya en la respuesta a incidentes cibernéticos que afectan a las instituciones en el país que cuentan con infraestructura crítica de información.

No obstante, de acuerdo con un reporte del Banco Mundial y la Organización de Estados Americanos (OEA), si bien el Código Penal prevé el delito informático, México no cuenta con una ley dedicada de delito cibernético. Además, las disposiciones legales “son limitadas y dejan varias lagunas, lo que dificulta la lucha contra el cibercrimen”.

file:///Users/mariocarbonell/Downloads/Datos%20adjuntos%20sin%20 t%C3%ADtulo%2000109.pdf

Pero en el ámbito privado, más allá de las inevitables pérdidas económicas, el impacto negativo que un hecho así puede tener en términos de reputación suele ser incuantificable.

Si bien un ataque cibernético, ya sea en la esfera pública o privada, es prácticamente imposible de evitar (le ha ocurrido a compañías gigantes como Facebook), lo que sí se puede es estar preparado para cuando ello ocurra y reducir los daños, evitar que se comprometa la continuidad del negocio, y tener las herramientas para reponerse del golpe. ¿Cómo? Con una póliza de seguro contra delitos cibernéticos, también conocida como seguro cyber.

TRES MOMENTOS EN TORNO DE UN CIBERATAQUE

Mientras en Estados Unidos existen 4 millones de pólizas de cyber, en México la mayoría de las empresas, grandes y pequeñas, ni siquiera saben de la existencia de este tipo de seguros, lo que refleja una evidente falta de cultura empresarial.

De hecho el citado reporte del Banco Mundial y la OEA revela que sólo 60% de la población tiene una “mentalidad de seguridad cibernética”. En el país, el cumplimiento de Estándares de Seguridad de las TIC es de sólo 40 por ciento, y en el rubro de “Mercado de Seguridad Cibernética” reporta sólo un 20 por ciento de penetración de un Seguro Cibernético (seguro cyber).

En el país, de una gama de 50 tipos de seguros que hay en el mercado, el de cyber se encuentra ‘escondido’ en el rubro de “Otros”, pese a figurar entre los 10 principales riesgos.

El seguro de cyber contempla tres momentos fundamentales:
1) Previo a la intromisión, 2) Durante el ataque y 3) Posterior al evento.

La fase Previa tiene que ver con la adopción de medidas de seguridad para, si no impedir, sí hacer más complicado un ataque, dificultar la posibilidad de que vulneren sus sistemas de seguridad.

Este momento es clave, pues se definen no sólo los candados (para la accesibilidad a los datos e información sensible) sino las coberturas que se requieren contratar para hacer frente a un eventual ciberataque.

Cuando el ataque está en curso, es decir Durante la intromisión de los delincuentes a los sistemas y contenidos de la empresa, se atraviesa por una fase crítica, y es aquí donde se requiere de un equipo –tipo SWAT– que de manera inmediata entre en acción para “apagar el fuego”, cortar el avance del flujo indebido de información y bloquear los accesos a las áreas que aún no han sido invadidas. Este equipo de expertos, que pone a disposición la aseguradora que ofrece la póliza, está comandado por un gerente de respuesta a incidentes, y pone en marcha, en un lapso de ocho a 12 horas, un plan emergente para frenar el hackeo.

En un primer paso dentro de esta fase, los primeros respondientes van a identificar el alcance y la severidad del ataque, para lo cual requieren recolectar información a fin de identificar qué medidas de ciberseguridad superó el atacante, cómo ocurrió el incidente, etc.

El segundo paso es identificar qué asesores se van a requerir, quienes determinarán qué procede en función del tipo de información que ha sido vulnerada o incluso analizarán la pertinencia de pagar algún rescate. Y un tercer paso consiste en verificar si se tiene o no la cobertura necesaria para hacer frente a las pérdidas y realizar los arreglos necesarios con el ajustador.

Tipos de coberturas

Dentro de las coberturas hay distintos alcances. Por ejemplo, en la gama cyber está el seguro de protección de datos, que puede cubrir la responsabilidad por pérdidas derivadas de violación de información personal, ya sea en la propia compañía o en empresas subcontratadas, así como la violación de información corporativa.

También responsabilidad por contaminación de datos de terceros, encaminada a dañar sistemas de cómputo, o bien la negación de derecho de acceso a terceros autorizados. O, peor aún, el robo de códigos de acceso a las instalaciones. En cuanto a los endosos del seguro de protección de datos, se incluyen indemnizaciones por infracción a derechos de autor, plagio o piratería o invasión de privacidad, por ejemplo. Se contemplan también indemnizaciones ante pérdidas por amenazas a la seguridad, pago de extorsiones a fin de poner alto a una amenaza que suponga un posible daño, o incluso pago del costo por realizar una investigación en torno del ataque.

Asimismo, se consideran indemnizaciones –con ciertas exclusiones en las cláusulas– por pérdidas o fallas en la red.

Reponerse al golpe

Se debe considerar que desde el inicio de un atentado cibernético hasta el momento en que se puede considerar totalmente superado, transcurre un promedio de 279 días.

La fase más álgida del ataque es durante la fuga o el secuestro de la información, pero hay afectaciones posteriores, más allá de las consecuencias económicas y legales evidentes, no menos costosas. Se trata del golpe a la reputación de la compañía, a la credibilidad de la empresa, luego de haberse visto vulnerada y haber “permitido” que los datos de sus clientes quedaran expuestos.

La merma en la imagen pública es algo difícil de cuantificar, y mitigar esos daños y restituir la confiabilidad es algo sobre lo que deberá ocuparse un consultor en relaciones públicas. El costo de sus honorarios también viene incluido en la mayoría de las pólizas, en lo que se conoce como extensión de coberturas. Lo mismo aplica para cubrir el costo de la asesoría legal, tecnológica y el análisis forense.

Para evaluar qué tan exitoso es el manejo de una crisis se deben responder tres sencillas preguntas:

¿Qué tan rápido cierras?, ¿qué tanto minimizas el golpe? y ¿qué tan rápido te recuperas?

En la etapa posterior a un incidente es obligado un periodo de reflexión. Qué se hizo mal o se dejó de hacer para que llegara un delincuente a vulnerar los sistemas de seguridad y poner en riesgo el negocio o comprometer la información sensible de tantas personas. Y esa etapa de autoevaluación para determinar qué falló va muy ligada a la primera fase, la de prevención.

En la prevención entran en juego no sólo protocolos que pudieran diseñarse e implementarse de manera autogestiva, sino que existen normas y estándares internacionales, como el ISO 27000 en materia de ciberseguridad, que permitirán a la empresa blindarse de la mejor manera posible ante un asalto cibernético. Queda claro ya que un incidente de ese tipo provoca graves afectaciones.

Ejemplos hay varios. Está el caso de una cadena hotelera internacional que, a raíz de un ataque cibernético, se vio involucrada en la fuga de información relacionada con millones de tarjetas de crédito. Por ello se hizo acreedora a una multa final de 18 millones de dólares.

Así como le ocurre a grandes empresas, pequeños y medianos negocios son igual o más susceptibles a un ciberataque y pudieran ver en riesgo la continuidad del propio negocio, es decir, sería su fin.

A escala mundial, el cibercrimen tiene un costo de 6 trillones de dólares. La cobertura de seguros de cyber presenta un incremento anual de 25% y, tan sólo en Estados Unidos, la cobertura en 2022 es de 9 mil millones de dólares.

Tome medidas y garantice supervivencia

La pertinencia de contratar un seguro de cyber se confirma aún más, dada la cada vez mayor actividad en internet en el mundo actual, donde cada minuto 6 millones de personas hacen una compra en línea; se envían 12 millones de correos electrónicos cada 60 segundos, y tan sólo en los últimos dos años se ha generado el 90 por ciento de todos los datos en la historia.

En este contexto, otro de los ciberdelitos más comunes es el phishing, es decir las técnicas de ingeniería social que usan los hackers para robar información personal o corporativa a través del correo electrónico.

En México, de acuerdo con la encuesta global Phishing Insights 2021, de la empresa Sophos, 61 por ciento de las empresas encuestadas reveló haber sufrido un ataque de phishing. En el ranking, el país se situó por arriba de países como Japón o Francia, en donde 60% reportaron un ataque.
https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-phishing-insights-2021-report.pdf

Los hackers evolucionan cada día y perfeccionan sus estrategias delictivas para vulnerar la seguridad de personas, empresas y gobiernos.

Pero cómo contratar un seguro, dónde asesorarse para tomar la mejor decisión en función de las necesidades de cada empresa, quién puede sugerir la póliza más adecuada… Lockton, el broker privado más grande del mundo, con 52 mil clientes en 125 países, tiene una importante área de Inteligencia en el Manejo de Riesgos (Risk Management Intelligence), con todo un equipo dedicado a identificar, evaluar, implementar y optimizar programas para mejorar la gestión de riesgo y capacidad de resiliencia de sus clientes.

La vasta experiencia de Lockton en administración de riesgos permitirá proteger de la mejor manera su empresa y a las personas o compañías relacionadas ante un ataque cibernético que, si bien es inevitable, no tiene por qué ser devastador. Contacte a su agente de Lockton y garantice la supervivencia de su negocio.

pdf Cibercrimen marzo 2022 (opens a new window)
Cibercrimen