Una crónica que este blog publicó el pasado 23 de noviembre con el titular Solos ante el secuestro de datos se ha convertido en una de las tres piezas más leídas durante 2021.  No debería ser sorprendente, ya que ofrecía una faceta poco conocida del gravísimo problema de los ataques de ransomware: la creciente negativa de la mayoría de las compañías de seguros a cubrir ese riesgo. Y su consecuencia, el alarmante encarecimiento de las primas. Se basaba en un estudio publicado por la compañía Howden, cuarto broker de seguros del mundo. Con el director de ciberriesgos de su filial ibérica, Manuel Pérez, el autor mantuvo una larga e interesantísima conversación que se transcribe a continuación.

Manuel Pérez

Los ciberataques se han concentrado últimamente en el ransomware. Es, con diferencia, el protagonista habitual¸ de la captura de datos se ha pasado al chantaje. ¿Es también el riesgo dominante para los seguros?  

Sin duda. Ahora mismo, el riesgo dominante es la extorsión y el ransomware es el mayor miedo. Lo que ha cambiado fundamentalmente es que los ataques son operados mediante robots: se venden preprogramados y se pueden comprar siguiendo el modelo as-a-service: RaaS. Imagine lo que pasaría si se empezaran a vender robots capaces de entrar en las casas para saquear joyas.

Detengámonos un momento en esa sentencia: el riesgo es la extorsión […]

Semana tras semana se producen ataques que no dejan títere con cabeza y que por lo general no trascienden. Ha habido mucho ruido con el caso Solar Winds y sus repercusiones, pero a la opinión pública sólo le llega noticia de que se ha producido lo en nuestro sector conocemos como extorsión simple: un virus encripta el sistema, bloquea el acceso a los datos y a renglón seguido los delincuentes exigen una recompensa por liberarlos. El problema es aún más grave cuando entra en juego una distinción importante: los datos siguen teniendo valor para el hacker, aun después de haber cobrado el rescate.

[…] No me diga que vuelven a por más dinero

Está ocurriendo, sí. Aunque la víctima pague, el hacker reaparece tiempo después y dobla la extorsión. La probabilidad de un segundo pago es menor, porque la víctima ha escarmentado y tomado medidas […] entonces empezamos a ver una triple extorsión, ahora dirigido contra algún afectado cuyos datos han sido comprometidos. Por ejemplo, un hospital ha pagado el rescate, pero hacker se ha quedado con información sobre un paciente que, lógicamente, no quiere que se desvele. Este es, por así decir, un efecto colateral del ataque original.

¿Qué garantías se pide al asegurado para concederle una póliza y luego verificar que está cumpliendo con las medidas para que no se repita el delito?

Hay que empezar por entender que el ransomware tiene seis fases y ha cambiado las reglas de juego debido a su autonomía. Antes, en el malware convencional, el delincuente creaba un canal de comunicación secreto e iba moviendo ´el bicho` para capturar información sensible. En cambio, el ransomware se hace con robots, un software autónomo que, una vez ha entrado en el sistema sabe lo que tiene que hacer de principio a fin hasta lanzar el mensaje de que ha secuestrado los datos y reclamar el pago. Y, como no deja de ser un autómata, cumple sistemáticamente cada fase.

Que son seis, ha dicho

La primera es de campaña: entrar en el sistema; le sigue la de infección o descarga por un usuario que ignora la amenaza. Luego viene la fase de puesta a punto, en la que se prepara y se instala en un punto que tenga cierta vulnerabilidad. La cuarta fase es el escaneado y la quinta es el cifrado. La sexta, finalmente, es la exigencia del pago de rescate. Volviendo a la pregunta anterior, lo que piden las aseguradoras es que en cada una de estas fases existan medidas de mitigación que impidan al robot seguir con su misión […]

¿Podemos repasarlas, si no le importa?

Claro, ¿por dónde entra el malware? Normalmente por un email, a través de un fichero adjunto descargable. Por consiguiente, la aseguradora pide que haya unos filtros antispam, que se bloqueen las macros, el HTML, etcétera. ¿Por dónde más entra el virus? Por páginas web que han sido identificadas como sospechosas o poco éticas; lo que se exige es muy razonable, que los empleados no tengan capacidad de navegar por estas páginas […] O puede que entre mediante vulnerabilidades que no han sido parcheadas, y de ahí que se compruebe si la empresa ha aplicado los parches oportunos. Saltemos a la segunda fase, en la que ´el bicho` se instala en el sistema: lo que se reclama es alguna forma de monitorización o que se determine si hay alguna anomalía en las descargas […] Por supuesto, en el mercado hay software antimalware que cumple con estos requisitos, pero aun así hay muchas situaciones distintas. Creemos que lo óptimo sería que cada ubicación, área de negocio o departamento tengan su red segmentada de otras, de manera que se pongan trabas a los intentos de escaneado.

[…] ¿Se comprueba cómo está hecho el cifrado de la información?

Más que eso: se recomienda un cifrado previo de la información sensible: hay una serie de pautas que respetar si una empresa quiere asegurarse contra su secuestro. Se trata de que el delincuente no entienda como archivo disponible esa información. Algo que estamos viendo es que el malware busca un perfil de usuario con privilegio de administrador, para lo cual tiene dos opciones: ha conseguido una llave y va tirando abajo las puertas, o bien tiene que encontrar alguien que tenga en su poder el llavero. ¿Quién lo tiene? Alguien con privilegio para administrar un dominio. De esta manera puede iniciar el escaneado antes de encriptar la red a la que esa persona tiene acceso privilegiado.

Y las aseguradoras piden que los administradores sean pocos […]

Cuantos menos, mejor. Y que su acceso a la red esté securizado, de modo que al hacker se le haga difícil escalar para encontrar la información. La medida que se exige normalmente es el doble factor de autenticación: que el cracker no pueda acceder por vía remota y que al administrador le llegue un mensaje de que se está intentando un acceso no autorizado.

Estas medidas que ha llamado de mitigación, ¿son recomendaciones o son exigencias sine qua non?

Tal como está el mercado, hay países en los que la siniestralidad ha llegado al 70% en el ransomware. Esto quiere decir que, si las primas suscritas son el 100%, un 70% se va en pagar siniestros y todavía queda por cubrir los costes del asegurador. No es un buen negocio, desde luego.

¿Esto sólo ocurre con el ransomware?

No. Vale para todo el riesgo de ciberseguridad, pero en los últimos tiempos el 80% de los incidentes son por ransomware. Con estas cifras, es comprensible la reticencia a cubrir este riesgo: no hay registros actuariales de los que tirar para evaluarlo a priori. Esto no es como en el ramo de autos o el de hogar, en el que se puede estimar la siniestralidad sobre la base de 20 años de tendencia. Por lo tanto, los mercados de reaseguro que aportan capacidad financiera a los aseguradores, se están alejando de este ramo: “para perder dinero aquí, mejor invierto en otros riesgos que conozco bien”, dicen.

[…] ante esta circunstancia, las primas suben.

Los aseguradores no arriesgan capacidad propia, por un lado. En los países grandes, el límite de capacidad puede estar en 300 millones por proyecto, mientras que si en España la petición fuera de 50 a 100 millones, hay que buscar esa financiación fuera. Ahora mismo, esa capacidad se ha secado. Y por otro lado se intenta estabilizar las primas ajustándolas a la siniestralidad que se observa. Evidentemente, las compañías tratan de preservar su rentabilidad […] Es cierto que las primas se están encareciendo y  a la vez se endurecen las condiciones, se piden más requisitos […]

Del estudio que he comentado en el blog, puede deducirse que hay diferencias entre seguros antiguos y nuevos y, sobre todo, entre distintos tipos de empresas, sobre la base de baremos de riesgo.

Durante la vigencia de un contrato, que normalmente es anual, no es viable cambiar las condiciones, pero cuando toca renovarlo lo normal sería endurecerlas. Si se trata de empresas grandes, con más de 250 millones de facturación, hay un nivel de requisito que se consideran obligatorios en el tramo superior y si seguimos subiendo, por encima de 1.000 millones la cuestión es: si cumples con esta lista, te aseguro; si no, no te aseguro.

¿Y las pymes?

En empresas de 50 o 70 millones de facturación hay más flexibilidad: el mercado se divide en rangos y conforme a estos se aprecia la mayor o menor siniestralidad.

Pero esa apreciación se hace con información estadística de poco alcance […] en ningún caso puede ser histórica como en otros ramos en los que el historial puede remontarse a 10 o 20 años

Se usa la información disponible, no hay otra. Hablo mucho de esto con nuestros clientes y en el fondo la opción que les queda es pagar primas más altas o bien invertir en su propia seguridad para que el seguro sea posible.

O las dos cosas

Evidentemente. No hay seguro de ciberriesgo si no se tiene una seguridad óptima en la empresa. He trabajado en otras filiales internacionales de Howden y puedo decir que España es un mercado asegurador muy barato, con tendencia a aceptar todos los riesgos; el cambio ha sido muy drástico en este ramo concreto.

Drástico, ¿lo pongo literalmente?

Cuando regresé a España, hace cuatro años, el país estaba en el trigésimo puesto del ranking en ciberseguridad; ahora mismo es el cuarto mundial y el segundo de la Unión Europea. Hemos mejorado en la tabla […]

¿Significa que estamos más preocupados o menos preocupados?

Estas clasificaciones siguen determinados criterios. España ha mejorado en aspectos legales, en formación y en disponibilidad de información pública a las empresas. En gran medida gracia a la excelente labor del INCIBE […] A nuestros clientes grandes les vemos una preocupación exponencial que interpretamos como mejora. Además, hay mucha más inversión. La mala noticia es que un mercado que era demasiado barato ha dado un giro muy drástico.

Si en lugar de una clasificación por tamaño de empresa se hiciera una por sectores, ¿los de infraestructura y finanzas serían los más afectados o sólo los más notorios?

Las dos cosas. Las infraestructuras críticas están prioritariamente en el punto de mira de la ciberdelincuencia. Y el sector financiero, incluyendo a las propias compañías de seguros. Es donde se observa más resistencia frontal a cubrir este riesgo. En general, dondequiera que haya información sensible, hay más víctimas potenciales para el ransomware.

¿Por resistencia frontal quiere significar que rechazan el riesgo o que sube mucho la prima?

En muchas ocasiones las aseguradoras rechazan participar, es la tendencia. Al final, la consecuencia es un punto de inflexión en el mercado […] Hemos tenido que decir a algún cliente que el mercado no quiere asegurarle, con el consiguiente disgusto […] Howden es un bróker de seguros que trabaja globalmente, pero que entiende su papel como el de un consultor de riesgo para sus clientes. Por esto nos involucramos para que las fórmulas de mitigación se apliquen lo mejor posible […] Creemos que así podemos contribuir a que se incremente el apetito del mercado asegurador. .

Por lo que ha dicho, ese apetito está bajo mínimos.

Duro, sería el adjetivo correcto. En un mercado clásico, vamos a llamarlo ´blando`, puedes escoges el riesgo y lo llevas al mercado, comparas lo que te ofrecen y lo transmites al cliente. Ahora es imposible: si sales con el riesgo tal cual se presenta, se cierran muchas puertas o las condiciones son inaceptables para el cliente.

Llevo un rato preguntándome cómo se valora el riesgo en que incurre el asegurado

En la mecánica de las aseguradoras, hay una metodología y unas métricas. En el fondo, lo que se hace es ver la exposición de la empresa, su clientela y los beneficios que genera, cuánto puede perder en caso de interrupción de sus operaciones y lo que le costaría una recuperación

Me ha dicho que, como rasgo general del mercado asegurador, las primas son baratas en España

Sí, pero el ramo que llamamos ciber es otra historia. Hace unos años, el país tenia una ciberseguridad deficiente paralela a una baja siniestralidad; por lo tanto, las primas también estaban bajas. Pero llegaron los ataques y, aunque las medidas de seguridad mejoraron muchísimo, mientras en otros países las primas subieron un 20 o un 30 por ciento, en España más aún.

¿El pago de rescate se puede asegurar?

No podría hablar de otros países, pero en España no sería legal. Y aunque estuviera escrito en un papel, yo no lo recomendaría porque, llegado el caso, haber pagado un rescate no admitido por la ley, eventualmente podría ser causa para invalidar el contrato de seguro.

Ah, me recuerda que no sé cómo se hace la liquidación de un siniestro.

Cuando ocurre uno de estos ataques, se comunica inmediatamente y, en mi experiencia, la aseguradora envía un equipo de respuesta que actúa en las 48 horas siguientes y que es gratuito para el asegurado. Hay un informe de informática forense que da paso a la reconstrucción. En todo caso, sabemos que las prisas son muy malas consejeras porque pueden empeorar las cosas. Luego, la liquidación económica se hace sobre la base de las facturas de proveedores que han intervenido en el proceso, a lo que se añade el análisis pericial sobre las pérdidas producidas y el lucro cesante.