Innovación

El ransomware sigue siendo uno de los principales riesgos cibernéticos para las empresas, pero están surgiendo nuevas amenazas

El ransomware sigue siendo uno de los principales riesgos cibernéticos para las organizaciones a nivel mundial, mientras que los incidentes que comprometen el correo electrónico de las empresas van en aumento y se incrementarán aún más en la era de los ‘deep fake’. Al mismo tiempo, la guerra en Ucrania y las tensiones geopolíticas más amplias son una gran preocupación, ya que las hostilidades podrían extenderse al ciberespacio y provocar ataques dirigidos contra empresas, infraestructuras o cadenas de suministro, según un nuevo informe de Allianz Global Corporate & Specialty (AGCS).

La revisión anual de la aseguradora sobre el panorama de los riesgos cibernéticos también destaca las amenazas emergentes que plantea la creciente dependencia de los servicios en la nube, un panorama de responsabilidad civil en evolución que implica mayores indemnizaciones y sanciones, así como el impacto de la escasez de profesionales de la ciberseguridad. Estas vulnerabilidades potenciales significan que hoy en día la resiliencia de la ciberseguridad de una empresa es examinada por más partes que nunca, incluidos los inversores globales, lo que significa que muchas empresas ahora lo clasifican como su principal preocupación de riesgo ambiental, social y de gobernanza – ASG (ESG en inglés), señala el informe.

«El panorama de los ciberriesgos no permite dormirse en los laureles. El ransomware y las estafas de phishing están más activos que nunca y, además, existe la perspectiva de una ciberguerra híbrida», afirma Scott Sayce, Director Global de Cyber en AGCS y Director del Grupo del Centro de Competencia Cibernética. «La mayoría de las empresas no podrán eludir una ciberamenaza. Sin embargo, está claro que las organizaciones con una buena madurez cibernética están mejor equipadas para hacer frente a los incidentes. Incluso cuando son atacadas, las pérdidas suelen ser menos graves debido a los mecanismos de identificación y respuesta establecidos.

«Aunque vemos un buen progreso, nuestra experiencia también muestra que muchas empresas todavía necesitan reforzar sus cibercontroles, especialmente en torno a la formación en seguridad informática, una mejor segmentación de la red para los entornos críticos y planes de respuesta a incidentes cibernéticos y gobernanza de la seguridad. Como aseguradora cibernética estamos dispuestos a ir más allá de la mera transferencia de riesgos, ayudando a los clientes a adaptarse a un panorama de riesgo cambiante y elevando sus niveles de protección.»

En todo el mundo, la frecuencia de los ataques de ransomware sigue siendo alta, al igual que los costes de los siniestros relacionados. En 2021 se produjo un récord de 623 millones de ataques, el doble que en 2020.  Aunque la frecuencia se redujo en un 23% a nivel mundial durante el primer semestre de 2022, el total del año hasta la fecha sigue superando el de los años completos de 2017, 2018 y 2019, mientras que en Europa se produjo un aumento de los ataques durante este período. Se prevé que el ransomware causará 30.000 millones de dólares en daños a las organizaciones a nivel mundial para 2023. Desde el punto de vista de AGCS, el valor de los siniestros por ransomware en las que participó la compañía junto con otras aseguradoras, representó bastante más del 50% de todos los costes de los siniestros cibernéticas durante 2020 y 2021.

La doble y triple extorsión es ahora la norma

«El coste de los ataques de ransomware ha aumentado a medida que los delincuentes se han dirigido a empresas más grandes, infraestructuras críticas y cadenas de suministro.  Los delincuentes han perfeccionado sus tácticas para extorsionar más dinero», explica Sayce. «Los ataques de doble y triple extorsión son ahora la norma: además del cifrado de los sistemas, cada vez se roban más datos sensibles y se utilizan como palanca para las demandas de extorsión a socios comerciales, proveedores o clientes.» Es probable que la gravedad del ransomware siga siendo una amenaza clave para las empresas, alimentada por la creciente sofisticación de las cuadrillas y el aumento de la inflación, que se refleja en el incremento del coste de los especialistas en informática y ciberseguridad.

Cada vez más, las empresas pequeñas y medianas, que a menudo carecen de controles y recursos para invertir en ciberseguridad, son el objetivo de los delincuentes, ya que las grandes empresas invierten más en seguridad. Las cuadrillas también están utilizando una amplia gama de técnicas de acoso, están adaptando sus demandas de rescate a empresas específicas y están utilizando negociadores expertos para maximizar las ganancias.

Estafas sofisticadas

Los ataques al correo electrónico empresarial (BEC) siguen aumentando, facilitados por la creciente digitalización y disponibilidad de los datos, el cambio al teletrabajo y, cada vez más, la tecnología «deep fake» y las conferencias virtuales. Las estafas BEC ascendieron a 43.000 millones de dólares en todo el mundo entre 2016 y 2021, según el FBI, con un aumento del 65% solo entre julio de 2019 y diciembre de 2021. Los ataques son cada vez más sofisticados y selectivos, y los delincuentes utilizan ahora plataformas de reuniones virtuales para engañar a los empleados para que transfieran fondos o compartan información sensible. Cada vez más, estos ataques están habilitados por la inteligencia artificial que permite el audio o los videos «deep fakes» que imitan a los altos ejecutivos. El año pasado, un empleado de un banco de los Emiratos Árabes Unidos realizó una transferencia de 35 millones de dólares tras ser engañado por la voz clonada de un director de la empresa.

La amenaza de la ciberguerra

La guerra en Ucrania y las tensiones geopolíticas más amplias son un factor importante que está reconfigurando el panorama de las ciberamenazas, ya que aumenta el riesgo de espionaje, sabotaje y ciberataques destructivos contra empresas vinculadas a Rusia y Ucrania, así como contra aliados y países vecinos. Los actos cibernéticos patrocinados por el Estado podrían tener como objetivo infraestructuras críticas, cadenas de suministro o empresas. «Hasta ahora, la guerra entre Rusia y Ucrania no ha dado lugar a un aumento notable de los siniestros de ciberseguros, pero sí apunta a un riesgo potencialmente mayor por parte de los estados-nación», explica Sayce. Aunque los actos de guerra suelen estar excluidos de los productos de seguros tradicionales, el riesgo de una ciberguerra híbrida ha acelerado los esfuerzos en el mercado de los seguros para abordar la cuestión de la guerra y los ciberataques patrocinados por el Estado en la redacción y proporcionar claridad de la cobertura para los clientes.

Los expertos de la AGCS identifican otras tendencias en el informe Cyber: El cambiante panorama de las amenazas, que incluyen:

  • Los hackers se centran en las cadenas de suministro vulnerables: Los ataques a la cadena de suministro – ya sea a infraestructuras críticas como el Colonial Pipeline o a servicios en la nube – se han convertido en un riesgo importante. Cada vez más, las bandas de ransomware utilizan la amenaza de interrupción para presionar a las empresas para que paguen rescates, siendo las empresas manufactureras especialmente vulnerables.
  • Outsourcing en la nube: Las empresas siguen trasladando sus servicios y el almacenamiento de datos a la nube, a pesar de la creciente preocupación por la seguridad y la acumulación de riesgos. Al confiar en un número reducido de proveedores de servicios en la nube o de ciberseguridad, la sociedad está creando grandes concentraciones en torno a unos pocos puntos únicos de fallo. Es un error común pensar que el proveedor de subcontratación o de la nube asumirá toda la responsabilidad en caso de incidente.
  • La responsabilidad civil frente a terceros, incluidas las multas y sanciones, es cada vez más relevante con los avances tecnológicos, la recopilación de más información por parte de las organizaciones y la aplicación de la normativa sobre privacidad de datos. Casi cualquier incidente cibernético – incluido el ransomware de doble extorsión – puede dar lugar a litigios y demandas de indemnización de las partes afectadas.
  • La escasez de profesionales está obstaculizando los esfuerzos por mejorar la ciberseguridad. Aunque las juntas directivas están cada vez más concienciadas, el número de puestos de trabajo de ciberseguridad sin cubrir en todo el mundo ha crecido un 350% en los últimos ocho años, hasta alcanzar los 3,5 millones, según las estimaciones, lo que significa que muchas empresas tienen dificultades para contratar, lo que afecta a su capacidad para mejorar su postura de ciberseguridad.
  • La ciberseguridad se ve cada vez más a través de la lente ESG. Hoy en día, la resiliencia de la ciberseguridad de las empresas es examinada por muchos más grupos de interés que en el pasado. Cada vez más, las consideraciones de ciberseguridad se incorporan a los marcos de análisis de riesgos ESG de los proveedores de datos, que examinan las prácticas de las empresas para evaluar su preparación para la ciberdelincuencia. Nunca ha sido tan importante asegurarse de que los procesos y políticas cibernéticas de una empresa se entienden a nivel del consejo de administración y de que los procesos de supervisión de riesgos están en marcha.

En respuesta a un entorno de riesgo más complejo y a la creciente actividad de siniestros cibernéticos, el sector de los seguros está evaluando con mayor diligencia los perfiles de riesgo cibernético de las empresas en un intento de incentivarlas para que mejoren sus controles de seguridad y gestión de riesgos.

«La buena noticia es que ahora estamos viendo una conversación muy diferente sobre la calidad del ciberriesgo que hace unos años», dice Sayce. «Estamos obteniendo conocimientos mucho mejores y apreciamos que los clientes hagan un esfuerzo adicional para proporcionarnos datos completos. Esto también nos ayuda a proporcionar más valor y ofrecer información y consejos útiles a los clientes, como qué controles son más eficaces o dónde mejorar aún más la gestión de riesgos y los enfoques de respuesta. El resultado debería ser menos eventos cibernéticos – o menos significativos – para nuestros clientes y menos siniestros para nosotros. Esta colaboración también ayudará a crear un mercado de ciberseguros sostenible a largo plazo que no sólo se base en las coberturas tradicionales sino, cada vez más, en la integración de los ciberriesgos en programas cautivos y otros conceptos alternativos de transferencia de riesgos.»