El ataque Sunburst, descubierto el pasado mes de diciembre, es un ejemplo de la magnitud del desafío que supone la ciberseguridad. Sus autores lograron acceder a los sistemas de las principales agencias gubernamentales estadounidenses y de otras organizaciones en todo el mundo a través de una actualización de uno de sus proveedores de software, SolarWinds.
Actualmente, las empresas pueden requerir los servicios de cientos o incluso miles de proveedores o terceros que los cibercriminales pueden usar para infiltrarse.
Estas compañías pueden ser proveedores informáticos, pero también de otro tipo. Por ejemplo, en 2017, se logró acceder a los datos de un casino de Las Vegas a través de un acuario conectado. En 2014, la cadena de supermercados estadounidense Target sufrió un ataque a través de su proveedor de aire acondicionado.
Un aspecto que complica la evaluación de los ciberriesgos es la aparición constante de nuevos actores y nuevos tipos de ataques. Últimamente han empezado a producirse ataques que utilizan la inteligencia artificial (IA). Recientemente se produjo un caso con gran repercusión mediática en el que los ciberdelincuentes usaron la IA para simular la voz del CEO de una empresa y consiguieron que un empleado les transfiriera dinero.
El enfoque actual de la gestión de riesgos vinculados con la ciberseguridad presenta importantes lagunas. En general, se basa en una matriz de riesgos que utiliza una tabla para comparar la probabilidad de riesgo y la gravedad del impacto.
Los valores numéricos atribuidos a la probabilidad y a la gravedad suelen ser ambiguos, puesto que puede obtenerse un mismo valor numérico para amenazas muy diferentes. Esto puede llevar a las organizaciones a clasificar incorrectamente los riesgos de ciberseguridad y, como consecuencia, a distribuir los recursos incorrectamente.
El papel de los ciberseguros
Cada vez más empresas contratan ciberseguros para mejorar la gestión de los riesgos en el ámbito de la seguridad informática.
El objetivo de estos ciberseguros o pólizas de ciberriesgo es dar cobertura a las compañías transfiriendo el riesgo a las aseguradoras. Pero también pueden incentivar que los clientes mejoren su ciberseguridad ofreciéndoles primas a aquellos que pongan en práctica medidas de seguridad más robustas.
No obstante, los ciberseguros siguen sin ser masivamente adoptados por diversos motivos. Por un lado, como ya hemos mencionado, la evaluación de ciberriesgos sigue planteando dificultades, incluso para las propias empresas aseguradoras.
Al contrario de lo que sucede en otros ámbitos que también presentan niveles de riesgo elevados (como, por ejemplo, las pandemias), nos encontramos ante una escasez de datos históricos. Este tipo de riesgos es relativamente reciente y, además, las empresas no suelen divulgar sus ataques para proteger su reputación.
Por otro lado, el perfil de riesgo de una compañía en el momento en el que se contrata una póliza de ciberriesgo puede cambiar varios meses después, ya que las firmas colaboran diariamente con nuevos proveedores y con otras organizaciones. Esto aumenta su exposición a riesgos. Pero también pueden adaptarse y añadir nuevas herramientas de seguridad para reducir su exposición.
A estos problemas debemos añadir la escasez de aseguradores especializados en materia de ciberseguridad, cuya función consiste en evaluar el perfil de los clientes potenciales.
Otro desafío es el riesgo de acumulación, es decir, el riesgo de que los siniestros de un solo incidente se propaguen a otros clientes de la aseguradora.
En el plano físico, un desastre natural, como un huracán, puede desencadenar un aumento de las solicitudes de indemnización, pero las solicitudes se limitarán a una zona geográfica concreta.
Sin embargo, en el ciberespacio, un ataque informático puede desencadenar solicitudes de indemnización desde cualquier parte del mundo. Por ejemplo, el ataque de ransomware WannaCry afectó a unos 200 000 sistemas informáticos de 150 países y alteró el funcionamiento de grandes organizaciones como el servicio de paquetería FedEx o el sistema de salud pública británico.
El riesgo sistémico es otro de los retos. Se trata de la posibilidad de que un solo incidente pueda provocar un fallo en cascada capaz de colapsar todo un sistema. Por ejemplo, un ciberataque que provoque un fallo en la red de suministro eléctrico tendrá repercusiones en distintos sectores, como los transportes, la comunicación, o incluso el sistema sanitario.
Mejorar nuestra comprensión del ciberriesgo
Para dar respuesta a todas estas cuestiones, en nuestro último libro proponemos una serie de nuevos modelos para ayudar a las organizaciones y las aseguradoras a gestionar los riesgos relacionados con la ciberseguridad.
Estos modelos utilizan una nueva metodología conocida como análisis de riesgos adversarios (ARA) que permite realizar una evaluación más precisa del riesgo de amenaza que pueden suponer determinados actores para una organización.
Asimismo, estos modelos permitirían a las aseguradoras ajustar de manera automática las primas en función de la evolución del riesgo de ciberseguridad de una empresa asegurada.
Estas herramientas se basan en la información proporcionada por terceros. Por ejemplo, SecurityScorecard, Blueliv o BitSight recopilan información en tiempo real sobre la infraestructura informática de las organizaciones, los productos de seguridad y otros factores relacionados. Su objetivo es ofrecer una imagen más clara del estado de la ciberseguridad de una empresa en un momento determinado.
Uno de los modelos que hemos desarrollado permite entender mejor el riesgo de acumulación. De acuerdo con este modelo, los segmentos del mercado se dividen en componentes distintos para aislar el efecto de acumulación de un ciberataque en un segmento determinado y poder entenderlo y analizarlo por separado.
Algunas aseguradoras van más allá de la simple venta de una póliza para ayudar a sus clientes a mejorar su nivel de ciberseguridad. Entre otros servicios, les informan de su vulnerabilidad y analizan su estructura informática para detectar los fallos de seguridad. También les ayudan a implementar pruebas de penetración de sus sistemas informáticos y a proponer campañas de sensibilización sobre, por ejemplo, la suplantación de identidad o phishing para sus empleados.
Asimismo, las aseguradoras proponen a sus clientes servicios de apoyo para superar los ataques informáticos –gestión de crisis, asistencia jurídica, reanudación rápida de las actividades–. Por lo general, lo hacen a través de colaboraciones con empresas especializadas en ciberseguridad, empresas de relaciones públicas o bufetes de abogados.
Todas estas mejoras pueden desempeñar un papel importante en la gestión de los riesgos en seguridad informática, y contribuir a la creación de un círculo virtuoso en el que los ciberseguros promuevan un aumento de la ciberseguridad globalmente.
––––––––––––
Este artículo se basa parcialmente en nuestro último libro, Security Risk Models for Cyber Insurance, publicado por Routledge/Taylor & Francis. El libro es el resultado del proyecto CYBECO (Supporting Cyber Insurance from a Behavioral Choice Perspective) que se ha llevado a cabo durante dos años con la financiación de la Unión Europea en el marco del programa Horizon 2020.
El Axa Research Fund, creado en 2007 para impulsar y compartir conocimientos científicos, ha apoyado a unos 650 proyectos en todo el mundo dirigidos por investigadores de 55 países. Para más información, visite el sitio web Axa Research Fund o sígalos en Twitter @AXAResearchFund.
Caroline Baylon trabaja para AXA. Este proyecto ha sido financiado por el programa Horizonte 2020 de la Unión Europea.
David Rios Insua recibe fondos de AXA y del proyecto europeo CYBECO H2020.
Seguir
Seguir
Seguir
Seguir
Subscribe
Seguir
Trump y el perdón al rey del cripto: una lección de corrupción en tiempo real
El expresidente convierte el indulto a Changpeng Zhao en una operación de propaganda y autoprotección financiera.
De Franco a los ‘freedom fighters’: genealogía del nuevo autoritarismo cool
Del fascismo de uniforme al fascismo con filtro de TikTok.
El fascismo cotidiano: pequeños gestos que construyen monstruos
No hace falta un dictador para que el fascismo avance. Basta con la comodidad de quienes no quieren incomodarse.
Vídeo | LA ESPAÑA DEL ODIO 😤 El fascismo ya no se esconde en sótanos: ahora se tramita en ventanilla
El odio no es un meme: se financia, se registra y actúa con papeles oficiales. En el reportaje de Público hay todo un mapa del odio en España —partidos, asociaciones “culturales”, clubes— que cobran, organizan y normalizan la xenofobia. Hoy voy a ponerles nombre y cara (no por morbo, por prevención): Núcleo Nacional, Devenir Europeo (sí, la de Isabel Peralta), la Comunión Tradicionalista y la Falange. ¿Cómo es posible que el Ministerio “no lo viera venir”? Aquí no hay excusas: es impunidad institucional. Mira, comparte y apunta bien: para combatir el odio primero hay que ubicarlo.
Vídeo | No eres libre
Byung-Chul Han recogió este fin de semana el premio Princesa de Asturias de Comunicación y Humanidades 2025. En su discurso, el filósofo criticó duramente al sistema neoliberal, que nos ofrece una libertad ficticia basada en la autoexplotación, ante la atenta mirada de un nutrido grupo de representantes ibéricos y herramientas indispensables de ese mismo sistema neoliberal a nivel local. El autor de “La sociedad del cansancio” recordó que su obra busca cuestionar la ilusión de libertad que promueve el sistema neoliberal, un sistema ineficaz, injusto y ecocida que es incompatible con la sostenibilidad y la felicidad. Y mientras el pensador habla, reinas, princesas, burócratas y plebeyos fingen comprender al filósofo que los retrata. Un momento digno de recordar.