Mi columna en Invertia de esta semana se titula «¿Debe pagar el seguro los ciberataques por negligencia?», y refleja mi curiosidad por el hecho de que las aseguradoras no hayan aún implantado sistemas que traten de asegurar un mínimo nivel de competencia en sus clientes a la hora de asegurar riesgos relacionados con la ciberseguridad.
La idea me surgió leyendo una entrevista en el Financial Times con Mario Greco, CEO de una de las aseguradoras europeas más grandes, Zurich, en la que comentaba cómo, a pesar de que los riesgos derivados de fenómenos naturales se han incrementado una auténtica barbaridad debido a la emergencia climática, hasta un 42% más que la media de los últimos diez años y van a superar, por segundo año consecutivo, los cien mil millones de dólares (de hecho, deberíamos ya dejar de considerarlos «fenómenos naturales», dado que los estamos provocando nosotros mismos), lo que realmente le preocupa desde el punto de vista de negocio son los riesgos derivados de los ciberataques, que están convirtiéndose simplemente en imposibles de asegurar.
Los ataques de ciberseguridad están convirtiéndose ya no en simples delitos, sino en auténticos ataques a la civilización. Atacar un hospital, una infraestructura energética, un departamento de la administración o muchos otros casos similares es susceptible de generar responsabilidades enormes, que en muchos casos se derivan de simples negligencias. Algunas compañías están empezando a tratar los riesgos derivados de la ciberseguridad con prácticas similares a las de los desastres naturales, estableciendo bonos que cubren un límite determinado. Otras simplemente van subiendo los precios de las pólizas, o introducen cláusulas que excluyen los ciberataques originados en acciones de gobiernos, aunque suelen ser relativamente frágiles debido a la dificultad, en muchos casos, de trazar el origen de este tipo de delitos. Simplemente el ransomware, que crece sobre todo debido a la práctica de muchas empresas de pagar el rescate para no complicarse (aunque, al estar tratando con delincuentes, nada asegura que vayas a recuperar tus datos ni que no vuelvan a pedirte otro rescate), puede llegar a suponer casi la mitad de las reclamaciones en un año determinado, y está convirtiéndose en un riesgo imposible de cubrir.
Cuando hablamos de seguros de automóviles, la compañía aseguradora extiende su cobertura, en primer lugar, únicamente a conductores que sepan conducir y que, además, respeten una serie de normas. Si no tienes carnet, si no llevas el cinturón de seguridad o si circulas de manera claramente imprudente, es muy posible que la aseguradora se niegue a cubrir los daños que produzcas, o al menos, los que te produzcas a ti mismo. La regla parece muy obvia, pero ¿no deberíamos plantearnos hasta qué punto las aseguradoras no están intentando proteger de ciberataques a una serie de compañías que, en realidad, hacen muy poco o nada para protegerse de ellos? En muchos casos, los ciberataques son fruto de empleados muy mal preparados y nada concienciados de la necesidad de mantener ciertas prácticas de puro sentido común referentes a la ciberseguridad, o a los que su compañía les impone disciplinas absurdas, como los absurdos y anticuados cambios periódicos de contraseña, que terminan redundando en un mayor nivel de vulnerabilidad. ¿Por qué debe una aseguradora hacerse cargo de una indemnización por un ataque que la compañía que lo ha sufrido estaba prácticamente pidiendo a gritos?
¿Cómo proteger a compañías que, en realidad, ignoran prácticas de seguridad absolutamente básicas? Si una compañía no lleva a cabo un buen mantenimiento de su software y se expone por ello a ataques basados en vulnerabilidades ya conocidas, si no educa a sus empleados en la necesidad de poner en práctica ciertas medidas y termina teniendo a muchos de ellos, incluidos directivos, utilizando contraseñas absurdas e inútiles como «password», «12345678» o la fecha de nacimiento de su hijo, si decide no pagar por un buen gestor de contraseñas o por un sistema de verificación en dos pasos, entre otras prácticas recomendables, la compañía aseguradora debería simplemente ignorar sus reclamaciones y dejar que los daños los cubriese ella misma, por irresponsabilidad patente y notoria.
La ciberseguridad no es una cuestión de arcanos indescifrables, ni debemos considerar disculpable el hecho de que cualquiera sufra un incidente de ese tipo. Unas pocas prácticas obvias de ciberseguridad son susceptibles de reducir muchísimo el riesgo de un ciberataque, y es cada vez más importante exigirlas a quienes reclaman ser protegidos. La ciberseguridad, cada día más, no puede ser el problema de un tercero, la aseguradora, sino que tiene que ser necesariamente una responsabilidad compartida.
¿Cuáles deberían ser esas prácticas de seguridad mínimas exigibles a cualquiera que pretenda asegurar el riesgo de un ciberataque? En primer lugar, el uso de un gestor de contraseñas. Decirlo precisamente ahora, tras la brutal intrusión que ha sufrido LastPass, podría parecer poco adecuado, pero es importante notar que, a pesar del ataque a quien almacena todas las contraseñas de mucha gente, esas contraseñas no han estado expuestas, y los usuarios siguen estando más seguros así que si no hubieran utilizado el gestor en cuestión.
En segundo lugar, un buen sistema de verificación en dos pasos, preferentemente basado no en correo electrónico ni en el envío de un SMS, sino en una aplicación de autenticación. La rutina de ver a un trabajador introduciendo su contraseña para, inmediatamente, echarse la mano al bolsillo y obtener otra de su aplicación de autenticación debería ser completamente habitual, y no resulta tan engorrosa, sobre todo si lo comparamos con el nivel de riesgo que reduce.
Y en tercero, mantener correcta y rigurosamente actualizado el software corporativo, algo que en la mayoría de las compañías de cierto tamaño suele depender de un departamento centralizado, pero que se descuida con mucha más frecuencia de lo que es aconsejable, y que expone a la compañía a vulnerabilidades que ya eran conocidas o que habían sido publicadas.
Se trata, básicamente, de generar una cultura de ciberseguridad que los empleados entiendan y compartan, de no intentar proteger el acceso a cosas cuando los propios interesados están dejando la llave debajo del felpudo o apuntando sus contraseñas en un post-it detrás de la pantalla. En el fondo, puro sentido común.
Deja un comentario