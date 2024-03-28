Un cambio importante en la forma en que funciona el ciberseguro comenzó con un ataque al gigante farmacéutico Merck. ¿O empezó en otro lugar?
En junio de 2017, el incidente de NotPetya afectó a unos 40 000 ordenadores de Merck, destruyendo datos y forzando un proceso de recuperación que duró meses. El ataque afectó a miles de empresas multinacionales, incluidas Mondelēz y Maersk. En total, el malware causó unos 10 000 millones de dólares en daños.
El malware NotPetya explotó dos vulnerabilidades de Windows: EternalBlue, una clave maestra digital filtrada de la NSA, y Mimikatz, un exploit que recopiló las contraseñas de los usuarios de las máquinas Windows.
El malware fue diseñado para infectar sin la acción del usuario, moverse lateralmente dentro de las redes y propagarse muy rápido, a veces derribando redes en menos de un minuto. Una vez ejecutado, sobrescribiría el registro de arranque maestro, evitando que arranque.
Una nota de rescate exigía el pago por el descifrado. Pero no había ningún mecanismo ni plan para hacerlo. Su propósito era convencer a las víctimas de que fueron atacadas por ransomware. De hecho, NotPetya existía solo para destruir datos sin una ruta de recuperación.
Merck estimó que el ataque costó 1400 millones de dólares. Esos costes incluían una pérdida temporal de capacidad de producción, así como el coste de los equipos y la nueva contratación de TI necesaria para recuperarse.
La empresa tenía una póliza de seguro "a todo riesgo" de 1750 millones de dólares con Ace American. Pero la empresa rechazó su afirmación, diciendo que debido a que NotPetya comenzó en la guerra entre Rusia y Ucrania, la cláusula de exclusión de "Actos de guerra" significaba que no tenían que pagar.
Merck demandó a Ace American en noviembre de 2019. Su caso se centró principalmente en el argumento de que el ataque no fue el resultado de una acción oficial del Estado y que Merck fue un mero espectador fuera del teatro del conflicto. El juez Thomas J. Walsh del Tribunal Superior de Nueva Jersey falló a favor de Merck.
Ace American apeló, y el tribunal estatal de apelaciones en el caso encontró que la cláusula de exclusión de guerra en las pólizas de seguro, que excluye la cobertura de pérdidas causadas por acciones hostiles o bélicas de los gobiernos, no se aplicaba en el caso.
Las dos partes llegaron a un acuerdo confidencial con las aseguradoras el 5 de enero de 2024.
Otras grandes empresas pasaron por situaciones legales similares y también llegaron a acuerdos, aunque probablemente por cantidades menores.
El resultado del caso no era del todo predecible ni necesariamente intuitivo. Se cree ampliamente que NotPetya se inició en una guerra, atribuida al gobierno ruso (específicamente al grupo de hackers Sandworm dentro de la inteligencia militar rusa) e iniciada en Ucrania con el supuesto propósito de promover los objetivos de Rusia en ese conflicto.
Aunque probablemente se trató de un acto de ciberguerra, el ataque se extendió fuera de Ucrania a máquinas de todo el mundo, causando lo que podría describirse como daños colaterales.
Las pólizas de seguro cibernético suelen incluir cláusulas de exclusión de guerra. Por ejemplo, The Lloyd's Market Association (LMA) publicó una guía para cláusulas de exclusión de guerras cibernéticas. Recomiendan que la exclusión no se aplique a las operaciones cibernéticas realizadas por estados-nación fuera de una guerra caliente real en determinadas circunstancias. Por ejemplo, si el ciberataque tuvo lugar fuera de la escena del conflicto o si la empresa no era el objetivo previsto.
El fallo del tribunal fue coherente con la orientación de Lloyd, al determinar que la cláusula de exclusión de guerra no se aplicaba a las circunstancias del ataque a NotPetya.
Aun así, el fallo fue significativo. Algunos de los ciberataques más sofisticados y dañinos son el resultado de acciones de los estados-nación para atacar a rivales o enemigos. Si las compañías de seguros no pueden utilizar las cláusulas estándar de exclusión de guerra para estos dañinos ciberataques patrocinados por el Estado, tendrán que ajustar las pólizas, subir los precios o ambas cosas en el futuro.
El panorama de los ciberseguros ha estado en constante cambio durante al menos una década. Como resultado de ciberataques cada vez más costosos, los clientes de seguros se han visto afectados por el aumento de las primas, los requisitos de suscripción más estrictos y la cobertura reducida.
Estos cambios se han producido debido a una amplia variedad de tendencias en el panorama de los ciberataques, incluidas las tendencias de ransomware de hace unos años.
Las primas globales de seguros cibernéticos han aumentado de menos de 5000 millones de dólares en 2018 a un estimado de 18 000 millones de dólares este año, según el Swiss Re Institute.
Las empresas han tenido que poner en orden sus instalaciones de ciberseguridad bajo directrices cada vez más estrictas solo para conseguir cobertura. Las compañías de seguros tardan más en aprobar a quién cubren y son cada vez más selectivas.
La cobertura se está reduciendo en parte debido a un número creciente de exclusiones que anulan la cobertura en determinadas circunstancias (y la "exclusión de guerra" fue una importante).
El acuerdo de Merck ha centrado la atención de los sectores en los desafíos de definir las exclusiones de guerra en las pólizas de ciberseguro. Es probable que las compañías de seguros endurezcan aún más el lenguaje, especialmente para la exclusión de guerra, una tendencia que ya había comenzado en 2022.
Y también ha cambiado la atención entre los compradores de seguros. Las empresas deberán analizar detenidamente las exclusiones, los periodos de espera, los límites de la póliza y otros factores al considerar una compañía de seguros. Otro elemento importante es estimar si una empresa podría ser víctima u objetivo como resultado de eventos geopolíticos y considerar cómo las exclusiones pueden dejarla sin pagos en caso de que se produzcan ciberataques graves patrocinados por el estado.
Y, sobre todo, centrarse en la ciberseguridad real, especialmente en las herramientas de automatización y la IA.
Aunque es probable que Merck y las demandas y acuerdos relacionados contribuyan materialmente a los cambios en los costes, las políticas, las exclusiones y los límites de los seguros de ciberseguridad, el factor que más contribuye es la creciente sofisticación y el coste de los ciberataques en general.