Ciberguerra y aseguradoras: ¿estamos protegidos?

Los ciberataques respaldados por estados se han convertido en un arma de desestabilización política y de guerra de baja intensidad. ¿Cuál es la respuesta del sector Seguros ante esta ciberguerra?

El ciberespacio se ha convertido en el nuevo campo de batalla para los estados. La guerra de Ucrania es una muestra de ello. Según los analistas de Check Point, los ciberataques al sector gubernamental y militar ucraniano aumentaron un 112% entre los meses de febrero y agosto, tras la invasión rusa. Asimismo, las redes corporativas de Ucrania recibieron más de 1.500 ciberataques semanales de media, superando ampliamente la media mundial, que se sitúa en 1.124 ciberataques semanales.

Y no es el único ejemplo. Se sabe que algunos de los grupos de cibercriminales más activos están respaldados por Rusia, China, Corea del Norte o Irán. Parece evidente que las tensiones geopolíticas y los conflictos entre naciones han entrado en una nueva era, donde la ciberguerra está llamada a adquirir cada vez más protagonismo.

“La Asociación Sueca de la Industria de Seguridad y Defensa ha elaborado recientemente un informe en el que revela que las actividades de ciberespionaje promovidas por los estados suponen ya el 25% del total. Es decir, uno de cada cuatro ciberataques es promovido por gobiernos”, señala Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“El problema principal es que cuentan con grandes recursos y, por tanto, los ataques son de grandes dimensiones y alcance”, comenta Álvaro Satrústegui, CEO de Exsel Underwriting Agency. Asimismo, Benjamín Losada, suscriptor especializado en ciberriesgos de Hiscox España, recalca que “los estados disponen de talento, herramientas e inversión para llevar a cabo ciberataques del más alto nivel, lo que se traduce en mayor exposición de las empresas al riesgo”.

¿Cuáles son sus objetivos?

Daniel Hernández, director de Risk Advisory – Cyber de Deloitte, indica que “la motivación que subyace es una combinación de factores económicos, de influencia social y de desestabilización de determinados procesos de los mecanismos propios del sano funcionamiento de una sociedad y el estado que la presenta”.

Nieva precisa que estos actos de ciberguerra pueden tener varias intenciones. “Por un lado, la obtención y recopilación de información. Por otro, la exploración de vulnerabilidades, mecanismos de detección, etc. Es decir, probar la postura de seguridad del atacado. Por último, la disrupción de servicios o sistemas”, desgrana. Y especifica “el caso más habitual es la obtención de información relacionada con las actividades de los gobiernos”, especialmente en materia de defensa, política exterior o seguridad nacional.

Pero el interés de este tipo de ataques ‘silenciosos’ no se limita sólo el espionaje en estos ámbitos críticos. “Casi cualquier tipo de información puede ser aprovechada para ganar ventaja en una competición geoestratégica donde no debemos pensar sólo en ciberguerra, sino también en la competencia interempresarial apoyada por los estados”, anota Joseba Enjuto, Head of Consulting de S21sec.

Los estados también promueven otro tipo de ataques ‘ruidosos’, que provocan la caída de servicios o afectan a la operación normal de las organizaciones. “Buscan desestabilizar, provocar malestar en el entorno de las organizaciones y, en el caso de que sean sectores estratégicos, generar disturbios en el funcionamiento de dicho sector, con el consiguiente daño a la ciudadanía afectada”, explica Enjuto.ciberguerra Ucrania

Además, Manuel Pérez, director de Ciberriesgos de Howden Iberia, reseña que “en casos recientes, los estados buscan financiarse a través de robos y extorsiones a empresas privadas”. Por ejemplo, indica que “el escenario más claro en este sentido es el robo de criptomonedas”.

Así pues, esta ciberguerra patrocinada por los estados ya no se circunscribe sólo a instituciones y organismos gubernamentales, sino que se extiende a toda la sociedad. “El gran problema que nos plantea este escenario es que todos nos convertimos en potenciales objetivos, directos o indirectos, de esta ciberguerra”, asegura Emilio Jesús Sánchez Pintado, abogado responsable de IT del bufete C&P Abogados. “Empresas de todo tipo y condición, infraestructuras estratégicas, entidades públicas como administraciones o universidades, e incluso particulares, se han convertido en potenciales objetivos directos de estas acciones promovidas por los Estados”, añade.

Aunque también es cierto que los ciberdelincuentes apoyados por los estados prefieren cierto tipo de objetivos. “La mayor parte de los ataques son dirigidos a empresas o sectores cuyo colapso puede llegar a suponer un problema de índole social o política si tiene éxito”, apunta Hernández. Igualmente, puntualiza que se dirigen especialmente a “sectores estratégicos cuya disponibilidad tiene un gran impacto en el funcionamiento de servicios esenciales para un país, como la salud, el aprovisionamiento y la distribución de materias primas, energía, alimentación, seguridad, etc.”. Y el CEO de Exsel agrega que se suelen centrar en “infraestructuras, red sanitaria, grandes centros de datos y entidades gubernamentales”.

¿Cubiertos por el ciberseguro?

Ante el aumento de las amenazas, cada vez son más las empresas e instituciones que buscan soluciones en el sector asegurador. Según un informe ‘Cybersecurity in Insurance’ de GlobalData, el sector asegurador ingresará 10.600 millones de dólares en primas de pólizas ciber dentro de tres años, con una tasa de crecimiento anual compuesto del 10% en el periodo 2020-2025.

Sin embargo, cabe señalar que los seguros suelen incluir entre sus exclusiones los ‘actos de guerra’ o ‘terrorismo’. “Los ataques directamente y/o indirectamente patrocinados por estados en contextos bélicos y no bélicos constituyen escenarios de pérdidas tan masivas que los convierten en riesgos no asegurables. Las compañías de seguros disponemos a tal efecto de exclusiones correspondientes”, puntualiza el experto de Hiscox.

De hecho, Lloyd’s ha anunciado recientemente que sus ciberseguros tendrán que aplicar una cláusula que excluya la responsabilidad por pérdidas derivadas de cualquier ciberataque respaldado por un estado, según informaba Füture.

Nieva considera que “las aseguradoras están limitando sus posibles daños bajo la asunción de que la protección frente a este tipo de ciberataques es más difícil que frente a otros ataques tradicionales y que potencialmente podrían ser masivos y con una amplitud superior a otros ciberataques tradicionales, lo cual podría comprometer la subsistencia de la propia aseguradora si el ataque se expande a diferentes compañías de un país”.

Ante tal situación, el presidente de Mapfre, Antonio Huertas, aboga por la implicación de los propios estados en la protección ante este tipo de ataques. De este modo, reclama la creación de pools de aseguradoras u otro tipo organismos “que asuman las capas de cobertura de mayor riesgo” si se producen ciberataques respaldados por estados, tal y como recogía Estrategias de Inversión.

Esta solución no nos sería ajena. En nuestro país ya existe un pool de Riesgos Medioambientales y contamos con el Consorcio de Compensación de Seguros (CCS), que da cobertura a los riesgos extraordinarios, entre los que se incluyen los siniestros derivados de eventos climatológicos extremos, cada vez más frecuentes.

Pérez también cree que habría que buscar una solución de este tipo. “El mercado de reaseguro, en una amplia mayoría, rechaza cubrir actos terroristas, lo que nos deja en un escenario en el que o las propias aseguradoras amparamos estos riesgos con capacidad propia o debemos girarnos a conocer la postura del CCS”, apunta. Por ejemplo, recuerda que “esta situación ya se vivió en España con los seguros de vida, que no ofrecían cobertura a ataques terroristas hasta que, en 2006, el Ministerio de Economía aceptó que la responsabilidad de esta cobertura era del CCS”.

El problema de la atribución

La exclusión de los ataques apoyados por estados presenta algunas complicaciones. “La primera es la particularidad del riesgo ciber consistente en la más que común imposibilidad de rastrear, localizar e identificar a la persona o entidad que ha llevado a cabo el ataque. La segunda cuestión se refiere a la delimitación del concepto ‘acto de guerra’ o ‘terrorismo’ en las pólizas. Por tanto, si un acto de guerra o de terrorismo se define por la clase de actor que lo lleva a cabo, ¿cómo podemos afirmar que un ciberataque ha sido un acto de guerra si somos incapaces de identificar al actor?”, plantea Sánchez Pintado.
Igualmente, el experto de S21sec reconoce que “el problema de este tipo de ciberataques es la atribución, que suele ser compleja”. “Aunque se puedan obtener indicios de la autoría, ser capaces de demostrar que esos ataques han sido promovidos por un estado no es en absoluto sencillo. Y si no se puede llevar a cabo dicha atribución, la exclusión no estaría justificada. Por lo tanto, ese tipo de exclusiones es probable que den lugar a muchos litigios entre aseguradoras y asegurados porque, en realidad, la diferencia principal entre un ciberataque ‘normal’ y otro considerado como ‘acto de guerra’ o ‘terrorismo’ es la autoría, ya que el resto de aspectos pueden ser prácticamente idénticos”.

Esta dificultad para determinar la autoría está en la base misma de la concepción de la ciberguerra. “Para determinar el origen de los ciberataques esponsorizados por estados debemos remontarnos décadas atrás. El motivo principal del nacimiento de esta nueva práctica era la posibilidad que otorgaba a la hora de poder atacar a otro estado y sus infraestructuras sin necesitar de una declaración de guerra formal, con todo lo que esto conlleva en cuanto a sanciones, tratados y otros temas reputacionales. Por ejemplo, el primer ataque serio de Rusia a Ucrania se remonta a 2013, con la operación de ciberespionaje ‘Armageddon’. El cambio de paradigma actual es que estos ataques promovidos por los estados ya no van únicamente dirigidos a otros gobiernos, sino que se está extendiendo a negocios privados e incluso a personas particulares”, comenta el director de Ciberriesgos de Howden Iberia.

Además, la línea que separa un acto de ciberguerra de un ataque ‘convencional’ es muy fina. “Por poner un ejemplo reciente, el FBI, junto con otros organismos americanos, han publicado este mismo año un Aviso de Seguridad Cibernética (CSA) donde alertan de la presencia de un tipo de ransomware (Maui) cuyo target son diferentes organizaciones del sector salud, que está siendo utilizado por piratas informáticos contratados por Corea del Norte. ¿Puede un asegurador demostrar que la actuación del ransomware Maui es un ataque terrorista y, por tanto, excluirlo de la cobertura a sus clientes? La respuesta no está clara, ya que este mismo ataque tiene también características típicas de un Ransomware-as-a-Service (RaaS), modelos que usualmente son vendidos de forma preprogramada para la posterior ejecución de piratas informáticos terceros. Entonces, ¿quién lo ha ejecutado? ¿Se trata de un acto terrorista o no?”, cuestiona Pérez.

Posible aumento de la litigiosidad

Como se apuntaba más arriba, una posible consecuencia de la aplicación de estas exclusiones podría ser el aumento de los casos que acabarán dirimiéndose en los tribunales de justicia. “Las cuantías que cubren las pólizas de ciberseguros son lo suficientemente elevadas como para justificar dicha litigiosidad”, comenta el responsable de S21sec.

Y más aún si tenemos en cuenta la complejidad que supone certificar la autoría. “Habrá muchas ocasiones en las que no será posible apuntar a un atacante concreto, lo que puede que produzca situaciones ambiguas interpretables a su favor tanto por el tomador del seguro como por la aseguradora”, manifiesta el responsable de Check Point.

Asimismo, el suscriptor de ciberriesgos de Hiscox España admite que “podrían existir escenarios de incertidumbre sobre la autoría de los hechos; y aquí es donde cada asegurador actuará en función de sus valores e intereses”.

Por otro lado, el director de Ciberriesgos de Howden Iberia advierte que “al ser éste un seguro que aún es desconocido en detalle por una gran parte de sus contratantes, los asegurados pueden, en caso de incidencia, no entender por qué no se les cubre de este tipo de prácticas, aumentando la litigiosidad”.

En cualquier caso, Satrústegui hace hincapié en que “la carga de la prueba queda en el asegurador”, que tendrá que demostrar “de forma fehaciente” que se trata de un ataque respaldado por un estado para que la exclusión aplicada sea válida.

Otra posible consecuencia podría ser el retraimiento del mercado del ciberseguro. “Si este patrón de ataque sigue creciendo y se convierte en uno de los principales tipos de ejecución, los asegurados pueden tener la percepción de que su póliza no les cubre correctamente y dejarán de contratarla”, valora Pérez.

Igualmente, Nieva opina que “muchas instituciones se pensarán dos veces contratar un ciberseguro si tienen excluidas indemnizaciones si el ataque lo realiza un gobierno y no tienen posibilidad de poder demostrarlo”. “Aunque estén cubiertas de ataques de cibercriminales privados, si no cuentan con cobertura para otro tipo de ataques, y éstos son más cuantiosos que los demás, no tendrá sentido contratarlo”, añade.

Reconocimiento oficial, pólizas claras y transparencia

Una posible solución para resolver cualquier tipo de discrepancia en torno a la autoría podría ser la creación de un organismo cuyas resoluciones fueran acatadas por todas las partes. “Aunque las organizaciones que nos dedicamos a la ciberseguridad seamos capaces de atribuir la autoría de un ciberataque, esta atribución no deja de ser una simple opinión de una empresa del sector de la ciberseguridad. Mientras no haya un organismo reconocido capaz de llevar a cabo dichas atribuciones, la inseguridad jurídica va a estar ahí. En el caso de España, quizás Incibe o el CCN-Cert pudieran ejercer esa función”, sugiere Enjuto.

Quizá la única manera de atenuar este problema es la redacción de un clausulado que despeje todas las dudas o, al menos, la mayor parte de ellas. “Conviene que las cláusulas estipulen de forma muy clara las posibles ‘zonas grises’ que podemos encontrarnos en algunas situaciones o, de lo contrario, veremos casos en los que serán los tribunales los que diluciden la legalidad o no de pólizas, compensaciones, etc.”, apunta el director técnico de Check Point.

Losada coincide con él. “Las compañías de seguros debemos ser muy claras y transparentes a la hora de describir el alcance de cualquier cobertura y exclusiones. El lenguaje empleado en los condicionados ha de ser muy sencillo para evitar confusiones, no sólo en cuanto a esta exclusión, sino para cualquier otra en cualquier producto de seguro”.

Igualmente, el especialista de C&P Abogados afirma que “cuanto mejor esté diseñado el clausulado de un contrato de seguro, más claro sea, tenga unos términos adecuados para referirse al objeto de seguro y cuanta mayor precisión emplee en delimitar las situaciones que son objeto de cobertura, menor será la litigiosidad”. Asimismo, remarca que “cuanto más se consiga objetivar una cobertura, menores dudas habrá al respecto de si unos daños concretos están bajo su paraguas o no, lo cual, en última instancia, también es de mucha ayuda para reducir la litigiosidad”.

En este sentido, reseña que ya se están dando algunos pasos en dicha dirección. “El sector asegurador ha ideado numerosas soluciones, entre las que podemos destacar las nuevas cuatro variantes de la exclusión por ciberguerra o ciberoperaciones, publicadas por el Lloyd’s a principios de este año”.

“Estas exclusiones contienen términos más adaptables al ámbito cibernético y que dejan fuera de la cobertura de la póliza aquellos daños que «ocurran a través o como consecuencia de una guerra o una operación cibernética», por ejemplo. Asimismo, se ha hecho un ejercicio de concreción adicional en la delimitación de conceptos tales como ‘guerra’ y ‘acciones gubernamentales’, ya que también juegan un rol fundamental en la interpretación de estas cláusulas de exclusión”, detalla.

También señala que “encontramos clausulados ‘modelo’ que toman como criterio suficiente para determinar que estamos ante un ‘acto de guerra’ si, por ejemplo, «el gobierno de un estado, incluyendo a sus servicios de inteligencia y seguridad» hace la atribución «a otro Estado o a quienes actúan en su nombre»”.

En cualquier caso, debemos tener en cuenta que la ciberguerra es un nuevo escenario, que se va configurando y redefiniendo casi cada día. Por eso, el ciberseguro tiene que ir adaptándose. “Está claro es que el seguro de ciberriesgos aún no ha alcanzado su madurez por el constante cambio que experimenta el riesgo. En parte, debido a los nuevos actores que van apareciendo y la mejora constante de los patrones de ataque. Debemos dar tiempo al sector asegurador para que pueda analizar y buscar la mejor forma de cobertura para cada uno de los vectores que surgen cada año. En el caso de que la cobertura aparezca sin un tiempo de análisis previo, podemos tener graves problemas en el ramo a causa de una siniestralidad descontrolada”.

Además, el seguro se encuentra con un problema añadido: la falta de transparencia de las organizaciones que han sufrido un ciberataque. Muchas de ellas no los denuncian ni informan con suficiente claridad acerca de su alcance.

Los actuarios de seguros ajustan las primas atendiendo a los riesgos, por lo que necesitan datos fiables que respalden sus decisiones. La falta de registros históricos de siniestralidad complica mucho su labor y dificulta la fijación de unos precios adecuados y suficientes, que permitan que las aseguradoras cumplan con sus obligaciones sin poner en riesgo su viabilidad y que respondan a las exigencias de solvencia que establece el regulador.