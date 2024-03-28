Un cambio importante en el funcionamiento de los seguros cibernéticos comenzó con un ataque al gigante farmacéutico Merck. ¿O comenzó en otro lugar?
En junio de 2017, el incidente de NotPetya afectó a unas 40 000 computadoras de Merck, destruyó datos y obligó a un proceso de recuperación de meses. El ataque afectó a miles de empresas multinacionales, incluidas Mondelēz y Maersk. En total, el malware causó unos 10 000 millones de dólares en daños.
El malware NotPetya explotó dos vulnerabilidades de Windows: EternalBlue, una clave maestra digital filtrada de la NSA, y Mimikatz, un exploit que recopiló las contraseñas de los usuarios de las máquinas con Windows.
El malware se diseñó para infectar sin la acción del usuario, moverse lateralmente dentro de las redes y propagarse muy rápido, a veces derribando las redes en menos de un minuto. Una vez ejecutado, sobrescribiría el registro de arranque maestro, evitando que arranque.
Una nota de rescate exigía el pago por el descifrado. Pero no había ningún mecanismo o plan para hacerlo. Su propósito era convencer a las víctimas de que fueron atacadas por ransomware. De hecho, NotPetya existía solo para destruir datos sin una ruta de recuperación.
Merck estimó que el ataque costó 1400 millones de dólares. Esos costos incluían una pérdida temporal de capacidad de producción, así como el costo del equipamiento y la nueva contratación de TI necesaria para recuperarse.
La empresa tenía una póliza de seguro "todo riesgo" de 1750 millones de dólares con Ace American. Pero la empresa rechazó su afirmación, diciendo que debido a que NotPetya comenzó en la guerra entre Rusia y Ucrania, la cláusula de exclusión de "Actos de guerra" significaba que no tenían que pagar.
Merck demandó a Ace American en noviembre de 2019. Su caso se centró principalmente en el argumento de que el ataque no fue el resultado de una acción oficial del Estado y que Merck fue un mero espectador fuera del teatro del conflicto. El juez Thomas J. Walsh del Tribunal Superior de Nueva Jersey falló a favor de Merck.
Ace American apeló, y el tribunal estatal de apelaciones en el caso encontró que la cláusula de exclusión de guerra en las pólizas de seguro, que excluye la cobertura de pérdidas causadas por acciones hostiles o bélicas por parte de los gobiernos, no se aplicaba en el caso.
Las dos partes llegaron a un acuerdo confidencial con las aseguradoras el 5 de enero de 2024.
Otras grandes compañías pasaron por situaciones legales similares y también llegaron a acuerdos, aunque probablemente por cantidades menores.
El resultado del caso no fue del todo predecible ni necesariamente intuitivo. Se cree ampliamente que NotPetya se inició en una guerra, atribuida al gobierno ruso (específicamente al grupo de hackers Sandworm dentro de la inteligencia militar rusa) e iniciada en Ucrania con el supuesto propósito de promover los objetivos de Rusia en ese conflicto.
Aunque probablemente fue un acto de guerra cibernética, el ataque se extendió fuera de Ucrania a las máquinas de todo el mundo, causando lo que podría describirse como daño colateral.
Las pólizas de seguro cibernético suelen incluir cláusulas de exclusión de guerra. Por ejemplo, The Lloyd's Market Association (LMA) publicó una guía para cláusulas de exclusión de guerras cibernéticas. Recomiendan que la exclusión no se aplique a las operaciones cibernéticas realizadas por estados-nación fuera de una guerra caliente real bajo ciertas circunstancias. Por ejemplo, si el ciberataque tuvo lugar fuera del escenario del conflicto o si la empresa no era el objetivo previsto.
El fallo del tribunal fue coherente con la orientación de Lloyd, al determinar que la cláusula de exclusión de guerra no se aplicaba a las circunstancias del ataque a NotPetya.
Aun así, el fallo fue significativo. Algunos de los ataques cibernéticos más sofisticados y dañinos son el resultado de acciones de los estados-nación para atacar a rivales o enemigos. Si las compañías de seguros no pueden utilizar cláusulas de exclusión de guerra estándar para estos ciberataques dañinos patrocinados por el Estado, tendrán que ajustar sus pólizas, subir los precios o ambas cosas en el futuro.
El escenario de los seguros cibernéticos ha estado en constante cambio durante al menos una década. Como resultado de ciberataques cada vez más costosos, los clientes de seguros se han visto afectados por el aumento de las primas, requisitos de suscripción más estrictos y cobertura reducida.
Estos cambios se han producido debido a una amplia variedad de tendencias en el escenario de los ciberataques, incluidas las tendencias de ransomware de hace unos años.
Las primas globales de seguros cibernéticos aumentaron de menos de 5 mil millones de dólares en 2018 a un estimado de 18 mil millones de dólares este año, según el Swiss Re Institute.
Las compañías tuvieron que poner en orden sus instalaciones de ciberseguridad bajo directrices cada vez más estrictas solo para conseguir cobertura. Las compañías de seguros tardan más en aprobar a quién cubren y son cada vez más selectivas.
La cobertura se está reduciendo en parte debido a un número creciente de exclusiones que anulan la cobertura en determinadas circunstancias (y la "exclusión de guerra" fue una de las grandes).
El acuerdo de Merck ha centrado la atención de la industria en los desafíos de definir exclusiones de guerra en las pólizas de seguro cibernético. Es probable que las compañías de seguros endurezcan aún más el lenguaje, especialmente para la exclusión de guerra, una tendencia que ya había comenzado en 2022.
Y también ha llamado la atención entre los compradores de seguros. Las compañías deberán analizar detenidamente las exclusiones, los periodos de espera, los límites de la póliza y otros factores al considerar una compañía de seguros. Otro elemento importante es estimar si una empresa podría ser víctima o objetivo como resultado de eventos geopolíticos y considerar cómo las exclusiones pueden dejarla sin pagos en caso de que se produzcan ciberataques graves patrocinados por el estado.
Y sobre todo, centrarse en la ciberseguridad real especialmente en herramientas de automatización y auditoría interna.
Si bien es probable que Merck y las demandas y acuerdos relacionados contribuyan materialmente a los cambios en los costos, las políticas, las exclusiones y los límites del seguro de ciberseguridad, el factor que más contribuye es la creciente sofisticación y el costo de los ciberataques en general.