Tendencias Mondiales de Ciberriesgo

Las tecnologías digitales, desde la inteligencia artificial y el Internet de las cosas hasta la disponibilidad de datos y el blockchain, siguen evolucionando a una velocidad vertiginosa.  Para no quedarse atrás, los ciberriesgos evolucionan aún más rápido.  El costo global de la ciberdelincuencia en 2020 alcanzó los 945.000 millones de dólares, casi el doble de las cifras de 2016[1]. Según la organización de investigación Cybersecurity Ventures, se espera que el costo global crezca un 15% anual, hasta alcanzar los 10,5 billones de dólares al año en 2025[2].

Las empresas deben prepararse para los nuevos retos que plantea la evolución de los objetivos, las técnicas y las repercusiones de los ciberdelitos. Este artículo se centrará en los crecientes riesgos relacionados con: el aumento de los incidentes de ransomware, la posibilidad de que se produzcan mas interrupciones de la actividad que resulten pertubadoras y costosas, las consecuencias de una regulación más sólida y los riesgos de litigio, el robo generalizado de la propiedad intelectual, así como los nuevos impedimentos para el éxito de las fusiones y adquisiciones.

EL RANSOMWARE AUMENTA

La escala y el alcance de los ataques de ransomware están aumentando a un ritmo sin precedentes.  Esto se debe a una combinación de factores que incluyen el rápido aumento de la digitalización, el creciente uso de criptodivisas, el aumento de las tensiones geopolíticas, el extraordinario entorno creado por la pandemia y la mejora de los esquemas que han hecho que el ransomware sea aún más rentable.

El ransomware es un programa malicioso que infecta los dispositivos informáticos y puede bloquear el acceso a redes informáticas enteras, manteniendo de hecho a una empresa como rehén hasta que se pague un rescate.

El malware suele infiltrarse en los servidores de un sistema mediante un correo electrónico inocuo ("phishing") enviado a un empleado de la empresa objetivo. La capa humana suele ser el eslabón más débil de la ciberdefensa y, por lo tanto, es un blanco fácil para los ciberdelincuentes.  Se estima que entre el 50% y el 90% de las violaciones de datos son causadas o instigadas por los empleados[3].

El precio de los rescates está creciendo junto con el aumento del uso del ransomware.  El rescate medio pagado por las empresas con sede en Europa, Estados Unidos y Canadá casi se ha triplicado, pasando de 115.123 dólares a 312.493 dólares en poco más de un año[4]. Este aumento se debe, en parte, a las nuevas tácticas empleadas por los ciberpiratas, que combinan el cautiverio de los datos con la amenaza de filtrarlos en sitios públicos, una doble amenaza que deja a las empresas con poco o ningún recurso más que pagar el rescate.[5].

También se debe en parte al cambio de objetivos. En lugar de dirigirse a ordenadores personales individuales, los ciberdelincuentes se dirigen a organizaciones del sector público y privado de diverso tamaño, lo que permite aumentar tanto el rescate solicitado como la probabilidad de éxito en el pago[6].

Se prevé que la amenaza de un ataque de ransomware no hará más que empeorar con el creciente uso del modelo de "franquicia" adoptado por los ciberdelincuentes, según el cual el malware se alquila en la red oscura a los llamados afiliados en un esquema de ransomware como servicio en el que los arrendadores ganan una regalía o canon, lo que hace que el ransomware sofisticado esté más disponible y sea más rentable[7].

INTERRUPCIÓN DEL NEGOCIO

Si un incidente cibernético conduce o no al pago de un rescate, los costos asociados a cualquier interrupción de la actividad empresarial resultante superan con creces la cantidad exigida.  De hecho, estos costos pueden ser entre cinco y cien veces mayores que el costo del propio rescate, lo que a menudo incita a las empresas a pagar el rescate solo para evitar los costos de la interrupción[8].

La interrupción del negocio es la pérdida de ingresos cuando no se puede utilizar un recurso o no se puede prestar un servicio, lo que conlleva la pérdida de ventas, la reducción de la eficiencia, el aumento de los gastos relacionados con el ciberincidente (recuperación de los sistemas informáticos, daños pagados a los clientes, etc.) y el daño a la reputación. 

Mientras que las empresas más grandes suelen estar mejor posicionadas para soportar las pérdidas provocadas por la interrupción del negocio, son las pequeñas y medianas empresas (PYMES) las que sufren de forma desproporcionada cuando son víctimas de un ciberataque.

Se calcula que el 45% de los ataques en línea se dirigen a las PYMES[9]. A diferencia de las empresas más grandes, las PYMES tienen defensas o higiene cibernética limitadas o incluso inexistentes. Para las empresas de todos los tamaños, el coste medio de la interrupción es de unos 200.000 dólares; para las PYMES este coste puede ser insuperable, ya que el 60% de ellas abandonan el negocio tras ser víctimas[10].

En cuanto al pago de un rescate para evitar los costes de la interrupción de la actividad empresarial, pagar no garantiza la recuperación total y, desde luego, no elimina todos los costes de la interrupción de la actividad empresarial asociados a la garantía de que cada máquina esté libre de infecciones. Además, el pago del rescate no garantiza que los datos de una empresa se devuelvan completos. La empresa de ciberseguridad Sophos descubrió que los que pagaron el rescate sólo recuperaron el 65% de los datos encriptados de media, dejando más de un tercio inaccesibles[11] E incluso si se devuelven los datos, no hay garantía de que no hayan sido copiados para su futuro uso, venta y/o chantaje.

Mientras que muchas empresas confían en los seguros de interrupción de negocio y de propiedad para ayudar a compensar los costes de los incidentes cibernéticos, cada vez más las compañías de seguros confían en las cláusulas de "acto de guerra" para protegerse de los pagos.  El sonado ataque de ransomware NotPetya y la consiguiente demanda contra Zurich American Insurance por su denegación de cobertura en virtud de su póliza de exclusión por "acto de guerra" demuestran que el ciberseguro no puede considerarse un sustituto de la ciberseguridad[12].

MAYOR RESPONSABILIDAD

Además de los riesgos relacionados con las interrupciones del negocio y el pago de rescates, las empresas también se enfrentan a una responsabilidad potencial cada vez mayor si se descubre que no han cumplido con las leyes y reglamentos vigentes en los países en los que operan o si se descubre que han sido negligentes, al no ejercer la debida atención para limitar el riesgo cibernético.

En Europa, el Reglamento General de Protección de Datos (RGPD) impone multas a las empresas si no siguen las normas de protección de datos o los requisitos de notificación de violaciones de datos.  Las empresas se arriesgan a recibir una multa de hasta el 4% de sus ingresos globales anuales o de 20 millones de euros, lo que sea mayor, si infringen el reglamento[13].

La aplicación del RGPD ya ha provocado un aumento de las notificaciones de reclamaciones. Según el bufete de abogados Pinsent Manson, entre marzo de 2019 y mayo de 2020, las autoridades europeas de protección de datos impusieron un total de 190 multas relacionadas con el RGPD, por un valor de casi 500 millones de dólares[14] Entre las grandes multas por infracciones destacan la de 57 millones de dólares a Google en Francia y la de 41 millones a H&M en Alemania[15].

De Europa a Estados Unidos, y a todo el mundo, las regulaciones de privacidad de datos y las leyes de divulgación obligatoria de violaciones varían ampliamente, lo que hace que la debida diligencia legal en los mercados sea esencial para las empresas, y en particular, para las multinacionales. El grupo hotelero Marriott y la agencia de calificación crediticia Equifax sufrieron violaciones de datos muy publicitadas en 2018 y 2017, respectivamente, y fueron objeto de numerosas demandas y acciones regulatorias en múltiples jurisdicciones, con Marriott enfrentando una multa de 130 millones de dólares solo en el Reino Unido por la violación[16]. 

ROBO DE PROPIEDAD INTELECTUAL   

Dada la omnipresencia de las violaciones de datos, las empresas lo consdieran cada vez más como un coste adicional a su actividad. Sin embargo, este no es en absoluto el caso del robo de datos relativos a la propiedad intelectual (PI), que se considera una de las mayores amenazas a las que se enfrentan las empresas.

Aunque el robo de la propiedad intelectual existe desde hace tanto tiempo como la propia propiedad intelectual, los últimos avances en materia de ciberespionaje y robo deberían preocupar a las empresas.

Los ciberpiratas recurren cada vez más a las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), en las que el acceso a un sistema puede permanecer sin ser detectado durante un largo periodo de tiempo con el objetivo de robar datos o penetrar en una red.  Los ataques APT suelen tener como objetivo el robo de propiedad intelectual o datos sensibles para obtener beneficios políticos o económicos[17].

En los primeros meses de la pandemia, los piratas informáticos se dirigieron a la Organización Mundial de la Salud infiltrándose en sus redes con el APT conocido como "Dark Hotel"; un esfuerzo por robar información sensible relacionada con el Covid-19.[18] La industria de la salud y, más recientemente, la investigación de vacunas, son objetivos muy importantes porque, en última instancia, su propiedad intelectual es muy valorada.

Sin embargo, en algunos casos el robo de la propiedad intelectual tiene como objetivo robar una ventaja competitiva, secuestrar nuevas tecnologías y secretos comerciales y hacer que se pierdan cientos de millones de dólares en inversiones en I+D.  Este fue el caso del fabricante de chips AMD, donde los atacantes robaron y filtraron el código fuente de los gráficos de la serie X de Xbox.

En todos los casos, el impacto en los flujos de ingresos del robo de PI por intrusiones cibernéticas puede llevar a una reducción de los esfuerzos de I+D y a un aumento del coste del capital si los inversores consideran que la PI no está suficientemente protegida[19].

RIESGOS DE LAS FUSIONES Y ADQUISICIONES

Las fusiones y adquisiciones (M&A) son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades a corto y largo plazo.

A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, las transacciones de fusiones y adquisiciones son una oportunidad excelente para infiltrarse en las redes de la empresa que se fusiona o adquiere, a menudo mediante el empleo de APT, en un esfuerzo por obtener acceso al entorno y la información de la empresa objetivo durante un largo período de tiempo.

Las amenazas a las que se enfrentan las fusiones y adquisiciones ponen de manifiesto la importancia de llevar a cabo la diligencia debida en materia de ciberseguridad en la fase previa a la adquisición.  De hecho, más del 50% de las empresas encuestadas por IBM esperan a que se complete la diligencia debida antes de realizar evaluaciones de ciberseguridad de las transacciones de fusiones y adquisiciones[20].

Aunque una empresa puede tener una seguridad cibernética de vanguardia, si adquiere una empresa con una seguridad débil o con vulnerabilidades existentes, podría ser responsable de cualquier daño por incidentes ocurridos antes de la fusión, como se vio en la violación de datos del grupo hotelero Marriott.Aunque la violación de datos se descubrió en 2018, se rastreó a una intrusión cibernética que ocurrió en 2014 en Starwood, un grupo hotelero que adquirió en 2016[21]. [21] Si Marriot hubiera llevado a cabo la debida diligencia cibernética durante la preadquisición, esta vulnerabilidad podría haberse descubierto y/o se podrían haber tomado medidas junto con una valoración revisada.Además, adquirir una empresa que puede tener vulnerabilidades puede equivaler a integrar un caballo de Troya.

CREACIÓN DE CIBERRESISTENCIA: CONOZCA SU SOFTWARE

A pesar de estos retos y del hecho de que ser víctima de la ciberdelincuencia se está convirtiendo más en una cuestión de "cuándo" en lugar de "si", la mayoría de las organizaciones no cuentan con un plan para prevenir y responder a las violaciones de la ciberseguridad[22].

Proporción de organizaciones que tienen un plan para prevenir y responder a los incidentes de seguridad informática. Fuente: McAfee, "Los costes ocultos de la ciberdelincuencia"

No se puede subestimar la importancia de contar con un sólido programa de gestión de ciberriesgos.  Cada día se descubren nuevas brechas técnicas y de seguridad.  Cada cambio en la empresa puede crear vulnerabilidades involuntarias.  Cada nuevo empleado, consultor o contratista es un nuevo riesgo que hay que gestionar. Un pirata informático sólo necesita tener éxito una vez, mientras que las medidas de seguridad de una empresa deben tener éxito el 100% de las veces, en un panorama de amenazas siempre cambiante.  La realización periódica de auditorías de ciberseguridad, la evaluación de sus resultados y la investigación y aplicación de mejoras es, por tanto, un proceso esencial e interminable que deberían adoptar todas las organizaciones que se toman en serio el ciberriesgo. 

Vaultinum, una empresa de soluciones digitales con sede en Suiza, ha desarrollado una herramienta de auditoría inteligente que permite a las empresas llevar a cabo su propia diligencia debida en materia de ciberseguridad, examinando el programa de gestión de riesgos de seguridad de una organización, los procedimientos de protección de datos, las certificaciones de seguridad y las protecciones de oficinas, equipos e infraestructuras.  La solución Know Your Software es un cuestionario de autoevaluación desarrollado por los principales expertos en ciberseguridad con el objetivo de ayudar a las empresas a mejorar su concienciación en materia de ciberseguridad, mitigar los riesgos y poner en marcha políticas y procedimientos recomendados basados en los estándares de la industria, con el fin de ayudar a prevenir que se produzcan incidentes cibernéticos y crear resiliencia ante uno.

Referencias:

[1] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

[2] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[3] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[4] Sroxton, Alex. “Average ransomware cost triples, says report”. Computer Weekly.com, 17 Mar. 2021

[5] Singleton, C. (2021). X Force Threat Intelligence Index 2021. IBM Corporation.

[6] (2020). Internet Organized Crime Threat Assessment 2020. Europol.

[7] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[8] Riley, Tonya. “The Cybersecurity 202: Global losses from cybercrime skyrocketed to nearly $1 trillion in 2020, new report finds”. Washington Post, 7 Dec. 2020

[9] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[10] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[11] Bajak, Frank. “Ransomware gets paid off as officials struggle for fix”. Associated Press, 22 June 2021

[12] Garrie, Daniel; Rosen, Peter. “'Act Of War' Questions In Cyberattack Insurance Case”. Law 360, 23 April 2019

[13] EU General Data Protection Regulation (GDPR): Article 83, Section 6.

[14] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[15] Idem

[16] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[17] Adam, M. “Cyber Risk in a new era: insurers can be part of the solution”. S&P Global Ratings, 2 Sep 2020

[18] Seals, T. “Hackers amp up Covid-19 IP Theft Attacks”. Threat Post, 28 Dec 2020

[19] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. Center for Strategic and International Studies.

[20] Idem.

[21] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018

[22] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

Descargo de responsabilidad

Las opiniones, presentaciones, cifras y estimaciones expuestas en el sitio web, incluido este blog, tienen únicamente fines informativos y no deben interpretarse como asesoramiento jurídico. Para obtener asesoramiento jurídico debe ponerse en contacto con un profesional del derecho de su jurisdicción.

El uso de cualquier contenido de este sitio web, incluido este blog, para cualquier fin comercial, incluida la reventa, está prohibido, a menos que se obtenga primero el permiso de Vaultinum. La solicitud de permiso debe indicar el propósito y el alcance de la reproducción. Para fines no comerciales, todo el material de esta publicación puede ser citado o reproducido libremente, pero se requiere un reconocimiento, junto con un enlace a este sitio web.