Ciber Riesgos – Domingo Valero Mendoza

Ciber Riesgos – Domingo Valero Mendoza

“El único sistema seguro es aquel que
está apagado y desconectado, enterrado
en un refugio de cemento, rodeado por
gas venenoso y custodiado por
guardianes bien pagados y muy bien
armados. Aun así, yo no apostaría mi
vida por él”. (Eugene Spafford, profesor
de
ciencias
informáticas
en
la
Universidad Purdue (Indiana, EEUU) y
experto en seguridad de datos)
CIBER RIESGOS
DOMINGO VALERO MENDOZA
CURSO 2012-2013
CIBER RIESGOS
CONTENIDO
1. INTRODUCCIÓN……………………………………………..….…......2
• Noticias internacionales……………………………………….….2
• Noticias nacionales………………………………………..…..…..3
• ¿Qué está ocurriendo?....................................................4
2. VULNERABILIDADES DE LOS SISTEMAS
INFORMÁTICOS………………………………………………....….…5
3. AMENAZAS DE LOS SISTEMAS
INFORMÁTICOS………………………………………………………9
• Amenazas lógicas………………………………………….…...….9
• Amenazas físicas……………………………………………....…16
4. CIBER RIESGOS………………………………………………....…..17
• Evolución……………………………………………………………17
• Impacto económico………………………………………...…….17
• Ámbito empresarial………………………………………...…….18
 Principales ciber riesgos en la empresa…………………...19
 Las pymes en el punto de mira…………………………..…24
 Impacto en el negocio…………………………………..…...25
5. SOLUCIONES ASEGURADORAS…………………………...26
• Mercado Americano……………………………………………...26
• Mercado Europeo…………………………………………………28
• Mercado Español…………………………………………………31

•
•
•
Principales coberturas………………………………….……31
Exclusiones………………………………………….………..33
Ejemplos de posibles incidentes………….………….……..35
Otras características………………………………...……….36
6. CONCLUSIÓN………………………………………………………….36
1
CIBER RIESGOS
Haga Click
sobre las
noticias para
leerlas
1.INTRODUCCIÓN
Noticias internacionales
Ataques informáticos afectaron a 550 millones de
personas en el mundo. Aumentaron en un 30% entre el 2011
y el 2012.
EFE 15 de Julio del 2013
Microsoft y el FBI desactivan una red mundial de
cibercrimen. La organización robó más de 381 millones de euros
desde cuentas bancarias en los últimos 18 meses
ABC TECNOLOGÍA / Madrid Día 06/06/2013 - 13.43h
Roban a Yahoo! datos de 22 millones de usuarios.
Pide a sus abonados que cambien de contraseña
El País Madrid 20 MAY 2013 - 14:59 CET
Los ciberataques sustituyen al terrorismo como
primera amenaza para EE UU. El Pentágono reconoce por
primera vez que cuenta con equipos preparados para contraatacar en
caso de que el país sufra intromisiones de piratas informáticos
Eva Saiz Washington 13 MAR 2013 - 17:00 CET
Robo de informació n:
informá tico de 2012
7 de December de 2012 10:57 am
principal
incidente
2
CIBER RIESGOS
Noticias nacionales
Atención al virus informático de moda: «Policía
Nacional, páguenos 100 euros».
abc.es@ABC_es / Madrid Día 03/05/2013 - 09.52h
Detienen en Barcelona al autor del mayor ataque
de internet. Hace un mes las conexiones a internet se ralentizaron por
culpa de un ciberataque de denegación de servicios DDOs
F. / Madrid Día 29/04/2013 - 09.09h
Identifican un nuevo troyano que roba las
credenciales de redes sociales y bancos
Ep / Madrid Día 13/04/2013 - 10.49h
España está entre las víctimas de MiniDuke, un
nuevo malware espía.
ABC tecnología / Madrid Día 27/02/2013 - 19.51h
Roban 5,8 millones de euros en cuentas
españolas mediante un ataque informático
abc.es / Madrid Día 05/12/2012 - 16.50h
Un ataque informático bloquea durante unos
minutos la nueva web del Senado
Efe | Madrid lunes 12/11/2012 18:52 horas
3
CIBER RIESGOS
¿Qué está ocurriendo?
El uso de Internet ha aumentado de forma exponencial en la última década,
multiplicando por cuatro los 591 millones de usuarios del año 2.002 a casi 2.400
millones de usuarios en 2012.
Además, Internet ha crecido en sofisticación y posibilidades de ingresos. Con el
incremento de sitios de comercio electrónico, servicios de pago y banca online,
intercambio de información entre empresas, particulares, etc, Internet se ha convertido
en un cofre del tesoro repleto de dinero e información que ha resultado irresistible para
los delincuentes. De repente, la información bancaria y de las tarjetas de crédito de
miles de millones de personas ha sido potencialmente accesible para aquellos que
aprovechan vulnerabilidades o estafan. La llegada de los medios sociales al final de la
década ha supuesto otra oportunidad increíble para atacar la información personal y
de identidad. Mientras que los objetivos de la ciberdelincuencia han crecido de manera
exponencial, también lo han hecho las habilidades de estos ciberdelincuentes. Las
ventajas técnicas han permitido que los cibercriminales puedan actuar más fácilmente
y esconder mejor su propia identidad.
Para los usuarios de Internet, ha sido una década de emocionantes avances online
que nos permite comunicarnos, expresarnos y hacer negocio de forma nueva y distinta
a lo conocido hasta entonces pero también ha sido una década de crecientes
amenazas que han puesto nuestro dinero e identidad en peligro.
Phising, Scam, pharming, ataques de denegación de servicio, redes zombi, son
algunos de los ejemplos de las técnicas que utilizan los cibercriminales para realizar
fraudes, sabotajes, robo de bases de datos de clientes, etc.
Con
este
panorama,
surgen
nuevos
riesgos
a
los
que
las
empresas,
independientemente de su tamaño, se enfrentan a diario.
La idea de este trabajo es exponer las vulnerabilidades y amenazas que sufren los
sistemas informáticos, con la finalidad de identificar y comprender mejor estos nuevos
“ciber riesgos” a los que se enfrentan las empresas. Nos preguntaremos también si
existen soluciones aseguradoras para mitigarlos y si proporcionan una adecuada
protección. Quizás nos encontremos ante un nicho de mercado poco explotado por el
sector.
4
CIBER RIESGOS
2.-VULNERABILIDADES
DE
LOS
SISTEMAS
INFORMÁTICOS
Las vulnerabilidades suponen el origen del que derivan numerosos fallos de seguridad.
Una vulnerabilidad en un programa informático o software es simplemente un error, un
problema en su código o en su configuración. Es muy probable que los programas
contengan errores, puesto que han sido creados por seres humanos. Esto es
especialmente frecuente en el caso de las aplicaciones muy complejas (como por
ejemplo, un sistema operativo), que tienden a contener errores de manera
exponencial. La peculiaridad que convierte un simple fallo en una vulnerabilidad es la
posibilidad de que el abuso de este defecto pudiera llevar a un riesgo de seguridad
que compromete todo el sistema.
Una vulnerabilidad es un fallo en un programa o sistema informático. Pero no
cualquiera, sino un fallo de seguridad. Es necesaria esta distinción puesto que no
todos los errores de programación derivan en fallos de seguridad. Un error en un
programa puede llevar a que no funcione correctamente o que su comportamiento no
sea el esperado, pero no todos estos tipos de problemas pueden considerarse fallos
de seguridad. Según la capacidad de aprovecharse de este defecto, la vulnerabilidad
será más o menos grave.
Una vulnerabilidad se define, por varios factores que deben identificarla:
1.
Producto
Para definir una vulnerabilidad, lo primero que es necesario conocer es a qué
productos afecta. Dentro de un mismo programa, incluso, puede afectar a una sola
versión, a toda una rama o incluso a programas totalmente diferentes que compartan
un mismo fallo. Este último supuesto ocurre cuando la aplicación afectada por la
vulnerabilidad reside en sistemas operativos diferentes. Por ejemplo, todas las
versiones de Windows comparten una buena cantidad de software, entre ellos, el
propio núcleo del sistema. Una sola vulnerabilidad en el núcleo o kernel puede afectar
a todas las versiones que lo contengan.
5
CIBER RIESGOS
2.
Dónde
Dentro de un mismo programa, una vulnerabilidad se localiza habitualmente en un
componente o módulo. Los programas suelen componerse de varios módulos que
interactúan entre sí. Una vulnerabilidad puede encontrarse en un módulo concreto del
programa o bien por utilizar una configuración concreta. Por ejemplo, puede existir una
vulnerabilidad en el módulo de interpretación de ficheros en formato RTF en Microsoft
Word sin afectar al módulo que procesa otro tipo de ficheros. O en el módulo de
procesado de ficheros MP3 en el programa de reproducción Winamp. Es posible que
la vulnerabilidad no pueda ser aprovechada si este módulo no se encuentra activo. Por
ejemplo, el módulo de procesamiento de JavaScript en documentos PDF no se
encuentra activo por defecto en Adobe Reader.
Si, por el contrario, el fallo se encuentra en un componente intrínseco al programa, no
existe posibilidad de deshabilitar componentes. Esto puede ocurrir por ejemplo si se
encuentra un fallo en el explorador de Windows o en su propio núcleo.
3.
Causa y consecuencia
¿Cuál es el origen del problema? ¿En qué falló el
programador? Esto se refiere al fallo técnico concreto
que cometió el programador a la hora de crear la
aplicación que es el origen de la vulnerabilidad. Por
ejemplo, puede que no comprobase bien qué valores
alojaba una variable, los límites de la memoria, o que
olvidara establecer unos permisos adecuados a unos
ficheros.
Expertos recomiendan
desactivar Java por un
fallo de seguridad. Varios
grupos de «hackers» se han
aprovechado
de
esta
vulnerabilidad
en
los
últimos días Reuters | EP |
Madrid viernes 11/01/2013 10:28
horas
Las consecuencias técnicas de estos fallos suelen ser
diferentes. Desde el desbordamiento de memoria hasta
el
consumo
consecuencias
excesivo
suelen
ser
de
memoria.
siempre
las
Estas
mismas
derivadas de los mismos descuidos, y es lo que
buscarán los cazadores de vulnerabilidades.
Normalmente la causa de una vulnerabilidad es un
fallo
técnico
de
programación,
una
falta
El catálogo de INTECO
supera
las
50.000
vulnerabilidades
informáticas registradas
04/04/2012
de
comprobación que permite que se den circunstancias indeseadas en el código durante
6
CIBER RIESGOS
su ejecución
4.
Impacto
El impacto define en gran medida la gravedad de la vulnerabilidad. La ejecución de
código arbitrario supone la mayor gravedad puesto que significa que el atacante podrá
ejecutar cualquier programa en el sistema de su víctima. Por tanto, podría realizar
cualquier acción. En estos casos, se dice que el sistema queda "comprometido"
porque ha quedado en manos de la voluntad de un tercero.
5.
Vector
A la forma que tiene el atacante de aprovechar la vulnerabilidad se le conoce como
“vector de ataque”. Un vector de ataque común es el envío de información
especialmente manipulada a un puerto concreto del sistema. Otra forma de conseguir
aprovechar una vulnerabilidad es creando un fichero manipulado que será procesado
por ese programa. Por ejemplo, si se encuentra una vulnerabilidad en Word, es muy
probable que el vector de ataque sea un archivo en formato .doc que aproveche la
vulnerabilidad. Si la víctima lo procesa con un Word vulnerable, el atacante conseguirá
el impacto deseado.
Otros vectores de ataque pueden ser muy sencillos de llevar a cabo: como hacer que
la víctima visite un enlace. Por ejemplo, muchas de las vulnerabilidades encontradas
en los navegadores son aprovechadas por atacante creando una página web
adulterada que, al ser visitada con el navegador vulnerable, aprovecha la
vulnerabilidad. Por tanto, enviar un enlace a la potencial víctima, sería el vector de
ataque en este caso, y el impacto, podría ser la ejecución de código.
En un intento de clasificación podemos encontrar distintos tipos de vulnerabilidades en
función del fallo de seguridad (simplemente las enuncio dado el nivel técnico de la
definición de las mismas):
•
Configuración
•
Validación de entrada
•
Salto de directorio
•
Seguimiento de enlaces
•
Inyección de comandos en el sistema operativo
•
Secuencias de comandos en sitios cruzados (XSS)
7
CIBER RIESGOS
•
Inyección SQL
•
Inyección de código
•
Error de búfer
•
Formato de cadena
•
Revelación/Filtrado de información
•
Gestión de credenciales
•
Permisos, privilegios y/o control de acceso
•
Fallo de autenticación
•
Carácter criptográfico
•
Falsificación de petición en sitios cruzados (CSRF)
•
Condición de carrera
•
Error en la gestión de recursos
•
Error de diseño
Como hemos visto, una vulnerabilidad es todo aquel fallo de seguridad que puede
provocar que nuestro sistema informático sea susceptible de sufrir un ataque por una
mala programación del mismo o una configuración errónea. Las vulnerabilidades están
en directa interrelación con las amenazas porque si no existe una amenaza, tampoco
existe la vulnerabilidad o no tiene importancia, ya que no se puede ocasionar un daño.
Las vulnerabilidades son una puerta abierta a las amenazas.
Pasamos a estudiar las diferentes amenazas a las que se enfrenta un sistema
informático.
8
CIBER RIESGOS
3.-AMENAZAS DE UN SISTEMA INFORMÁTICO
En cuanto a amenazas de un sistema informático podemos encontrar dos tipos
diferenciados: las amenazas lógicas y las amenazas físicas.
Amenazas Lógicas
Las amenazas lógicas son las que provienen de
software o código que de una forma u otra
pueden afectar o dañar a nuestro sistema y de
las técnicas y formas de interrumpir, interceptar o
modificar
tanto
la
información
como
los
componentes del sistema informático.
Encontramos
multitud
de
software
malintencionado y de técnicas para atacar los
sistemas informáticos (vectores de ataque antes
comentados):
1.
MALWARE
Programas malintencionados (virus, espías, gusanos, troyanos, etc.) que afectan a los
sistemas con pretensiones como controlarlos o realizar acciones remotas, dejarlo
inutilizable, reenvío de spam, etc.
2.
EXPLOITS
Son los programas que aprovechan una vulnerabilidad del sistema. Los exploits son
utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del
sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
3.
VIRUS
Secuencia de código que se incluye en un archivo ejecutable (llamado huésped), y
cuando el archivo se ejecuta, el virus también se ejecuta, propagándose a otros
programas.
9
CIBER RIESGOS
4.
GUSANOS
Programa capaz de ejecutarse y propagarse por sí mismo a través de redes, y puede
llevar virus o aprovechar bugs (errores) de los sistemas a los que conecta para
dañarlos.
5.
TROYANOS
Software malicioso que se presenta al usuario como un programa aparentemente
legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al
equipo infectado. En la mayoría de los casos crean una puerta trasera (backdoor) que
permite la administración remota a un usuario no autorizado.
6. ROGUEWARE
Aplicación que intenta asemejarse a otra, ya sea por nombre o por apariencia, con la
única finalidad de engañar y timar al usuario normalmente como falsos programas de
seguridad, falsos antivirus o antispyware. También denominados Rogue, FakeAVs,
Badware, Scareware.
7.
BOMBAS LÓGICAS
Las "bombas lógicas" son piezas de código de programa que se activan en un
momento predeterminado, como por ejemplo, al llegar una fecha en particular, al
ejecutar un comando o con cualquier otro evento del sistema. Normalmente, las
bombas lógicas se utilizan para lanzar ataques de denegación de servicio al
sobrepasar la capacidad de red de un sitio Web, un servicio en línea o una compañía.
8.
SPYWARE
Tipo de malware que consiste en programas espía que recopilan información sobre
una persona o una organización sin su conocimiento. Esta información luego puede
ser cedida o vendida a empresas publicitarias. Pueden recopilar información del
teclado de la víctima pudiendo así conocer contraseñas, nº de cuentas bancarias,
pines, etc...
10
CIBER RIESGOS
9.
ADWARE
Advertising-Supported software (Programa Apoyado con Propaganda), en otras
palabras se trata de programas creados para mostrarnos publicidad, abriendo
ventanas emergentes, de productos o servicios que subvencionan la aplicación.
10.
RANSOMWARE
También
llamados
criptovirus
o
secuestradores, son programas que cifran
los archivos importantes para el usuario,
haciéndolos inaccesibles, y piden que se
pague un “rescate” para poder recibir la
contraseña que permite recuperar los
archivos.
11.
INGENIERÍA SOCIAL
Conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma
consciente y muchas veces premeditada para la obtención de información de terceros.
El origen del término tiene que ver con las actividades de obtención de información de
tipo técnico utilizadas por hackers.
12.
SCAM
Estafa electrónica por medio de engaño como donaciones, transferencias, compra de
productos fraudulentos, etc. Las cadenas de mail engañosas pueden ser scam si hay
pérdida monetaria y hoax (bulo) cuando solo hay engaño.
13.
SPAM
Correo o mensaje basura, no solicitados, no deseados o de remitente no conocido,
habitualmente de tipo publicitario, enviados en grandes cantidades que perjudican de
alguna o de varias maneras al receptor. Suele ser una de las técnicas de ingeniería
social basada en la confianza depositada en el remitente, empleadas para la difusión
de scam, phising, hoax, malware, etc...
11
CIBER RIESGOS
14.
PHISING
Del
inglés
"fishing"
(pescando), se utiliza para
identificar
la
acción
fraudulenta de conseguir
información
confidencial,
vía correo electrónico o
página
web,
con
el
propósito
de
que
los
usuarios
de
cuentas
bancarias lo contesten, o
entren
a
páginas
aparentemente iguales a
la del banco, etc.
15.
PHARMING
Redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma,
un usuario que introduzca un determinado nombre de dominio que haya sido
redirigido, accederá en su explorador de internet a la página web que el atacante haya
especificado para ese nombre de dominio
16.
SNIFFING
Un sniffer es un programa informático que registra la información que envían
los periféricos, así como la actividad realizada en un determinado ordenador. Rastrea
monitorizando el tráfico de una red para hacerse con información confidencial.
17.
SPOOFING
Uso de técnicas de suplantación de identidad generalmente con usos maliciosos. Se
pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre
ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing,
Web spoofing o email spoofing, aunque en general se puede englobar dentro de
spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
12
CIBER RIESGOS
18.
PASWORD CRACKING
Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son
mediante sniffing, observando directamente la introducción de contraseñas (shoulder
surfing), ataques de fuerza bruta probando todas las combinaciones posibles, etc.
19.
BACKDOORS
Es un método para eludir los procedimientos habituales de autenticación al conectarse
en una computadora. Una vez que el sistema ha sido comprometido, puede instalarse
una puerta trasera para permitir un acceso remoto más fácil en el futuro de los
atacantes. Los hackers suelen usar puertas traseras para asegurar el acceso remoto a
una computadora, permaneciendo ocultos ante posibles inspecciones, utilizando
troyanos, gusanos u otros métodos.
20.
BOTNET O RED ZOMBI
Estas redes son conjuntos de
ordenadores
infectados
software
que
con
han
un
sido
tipo
malicioso,
de
con
funcionalidad de puerta trasera
(backdoor),
atacante
que
permite
controlar
al
dichas
maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario. De este
modo, el atacante puede utilizar las maquinas infectadas para llevar a cabo diferentes
acciones ilegales como ataques de denegación de servicio, spam, fraudes, anonimato
al dificultar la trazabilidad de una comunicación, computación distribuida ya que utiliza
la capacidad de procesamiento de todos los equipos, etc.
21.
ATAQUE DDoS
Ataque distribuido de denegación de servicio, también llamado ataque DDoS (
Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de
información desde varios puntos de conexión que provoca la pérdida de la
conectividad de la red por el consumo del ancho de banda de la red de la víctima o
sobrecarga de los recursos computacionales del sistema de la víctima. La forma más
común de realizar un DDoS es a través de una botnet.
13
CIBER RIESGOS
22.
PROGRAMAS CONEJO O BACTERIAS
Programas que no hacen nada, solo se reproducen rápidamente hasta que el número
de copias acaba con los recursos del sistema (memoria, procesador, disco, etc.)
23.
KEYLOGGERS Y STEALERS
Estos programas están encaminados al aspecto financiero, la suplantación de
personalidad y el espionaje. Los Keyloggers monitorizan todas las pulsaciones del
teclado y las almacenan para realizar operaciones fraudulentas como son pagos
desde cuentas de banco o tarjetas de crédito. La mayoría de estos sistemas son
usados para recopilar contraseñas de acceso, espiar conversaciones de chat u otros
fines. Los Stealers también roban información privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados y si tienen
contraseñas recordadas, por ejemplo en los navegadores web la descifran.
24.
ROOTKITS
Conjunto de herramientas usadas frecuentemente por los intrusos informáticos o
hackers que consiguen acceder ilícitamente a un sistema informático. Estas
herramientas sirven para esconder los procesos y archivos que permiten al intruso
mantener el acceso al sistema, a menudo con fines maliciosos.
25.
TÉCNICA DEL SALAMI
Técnica por la que rodajas muy pequeñas apenas perceptibles, de transacciones
financieras, se van tomando repetidamente de una cuenta y se transfieren a otra.
Consiste en introducir a los programas algunas instrucciones o condiciones para que
envíe a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes.
26.
WHALING
Se trata de un ataque de carácter económico, que consiste en enviar a personas de
influencia y alto poder adquisitivo, como empresarios, autoridades y gerentes, un
correo electrónico, supuestamente emanado de un tribunal, donde se solicita hacer
click en un enlace determinado con el fin de recibir una citación judicial. Cuando la
víctima hace click en el enlace le aparece un documento de aspecto oficial que, sin
embargo, contiene código maligno que se introduce en el ordenador del usuario
14
CIBER RIESGOS
captando información personal, y permitiendo al ciberdelincuente asumir el control del
sistema.
27.
SCUMWARE
Es un tipo de software similar al spyware, que modifica en tiempo real los sitios web (u
otras aplicaciones), cambiando la apariencia de la página, su contenido y estructura
sin permiso del usuario que visita dicho sitio. Es decir que una vez alojados en el
sistema del usuario, puede modificar los banners de publicidad, agregar información
falsa en las páginas, añadir enlaces publicitarios sin permiso, etc. De esta forma, el
usuario pensando que el sitio web promociona un enlace o un banner, ingresará al
mismo y será redirigido a un sitio dañino.
28.
DRIVE BY DOWNLOADS
Son sitios que instalan spyware o códigos que dan información de los equipos.
Generalmente se presentan como descargas que de algún tipo, se efectúan sin
consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje
de correo o al entrar a una ventana pop-up. El proceso de ataque Drive-by Downloads
se realiza de manera automática mediante herramientas que buscan en los sitios web
alguna vulnerabilidad e insertan un script malicioso dentro del código HTML.
29.
HIJACKERS
Son programas que realizan cambios en la configuración del navegador web,
cambiando la página de inicio por páginas con publicidad, pornográficas u otros re
direccionamientos con anuncios de pago o páginas de phishing bancario. Ésta es una
técnica que suplanta al DNS, modificando archivos hosts, para redirigir el dominio de
una o varias páginas a otras, muchas veces una web falsa que imita a la verdadera.
Comúnmente es utilizada para obtener credenciales y datos personales mediante el
secuestro de una sesión.
15
CIBER RIESGOS
Amenazas Físicas
Paso a enunciar brevemente y sin entrar en detalle este tipo de amenazas ya que,
este estudio, se centra en riesgos provenientes de vulnerabilidades y amenazas
basadas en software.
Las amenazas físicas de un sistema informático son amenazas que pueden provocar
que la información no esté accesible o no sea fiable por error o daño en el hardware
como daños en discos duros, en los procesadores, errores de funcionamiento de la
memoria, etc.
Las principales amenazas al hardware de una instalación informática son:
1.
Desastres naturales: Las instalaciones de procesos de datos se encuentran
sometidas a todo tipo de amenazas y catástrofes
naturales como terremotos,
inundaciones, tormentas eléctricas, etc… que pueden provocar la interrupción del
funcionamiento y, en muchos casos, la destrucción del sistema.
2.
Alteraciones del entorno: Incendios, inundaciones accidentales, fallos y
alteraciones del suministro eléctrico, las radiaciones electromagnéticas, ruido eléctrico,
cambios de temperatura, humo, polvo, humedad excesiva, etc…pueden alterar el
funcionamiento de los equipos y los datos almacenados de forma magnética.
3.
Amenazas ocasionadas por el hombre: El punto más débil de un sistema
informático son las personas relacionadas en mayor o menor medida con él. Estas
amenazas pueden provenir de:
•
Sucesos accidentales como errores de utilización, de explotación, de ejecución
de procedimientos por empleados descuidados, por inexperiencia o falta de
preparación, descontento, pérdida de hardware de la empresa,
errores en la
utilización de las herramientas y recursos del sistema, etc…
•
Actuaciones malintencionadas como robo, fraude, sabotaje, espionaje industrial
o comercial, con acceso físico al sistema.
16
CIBER RIESGOS
4.-CIBER RIESGOS
Evolución
Pocos años atrás, las primeras generaciones de hackers solo anhelaban tocar,
estudiar, asaltar las máquinas y redes de las empresas y universidades, porque sólo
éstas podían pagarlas. Eran hackers por necesidad, la informática de la época era
escasa y cara y tenían que buscarse la vida para tener herramientas, información,
acceder a redes e investigar cómo funcionaban. La mayoría acabó trabajando para las
empresas que hackearon.
Hoy en día, por el contrario, la amenaza más grave proviene del cibercrimen,
entendido como sinónimo de los diversos ilícitos penales y ataques a través de medios
telemáticos: robo de información, fraudes,
sabotajes, delitos contra el honor y la
intimidad, propiedad intelectual e industrial y
una
interminable
lista
de
infracciones
tecnocriminales perpetradas por verdaderas
bandas organizadas de crimen tradicional
que han puesto sus ojos en la red.
A eso se suma que los ataques ya no están limitados a una sola plataforma
tecnológica, como son los computadores de escritorio, sino que hoy en día son
vulnerables los teléfonos inteligentes, las tabletas e incluso la información o los datos
almacenados en ‘la nube’ (cloud computing).
Hay que recordar que esos dispositivos con frecuencia almacenan información
sensible de las personas o de sus compañías y que por ello son blanco de los
ataques, lo que les genera huecos de seguridad adicionales a las corporaciones.
Impacto económico
Con el objetivo de medir las pérdidas económicas y de puestos de empleo que supone
el cibercrimen, McAfee junto con una de las instituciones internacionales para la
defensa y la seguridad, el Center for Strategic and International Studies (CSIS) han
17
CIBER RIESGOS
colaborado para elaborar el primer informe que cuantifica el impacto económico del
cibercrimen. Han creado una metodología para estimar adecuadamente estas
pérdidas, que pueden extenderse a nivel mundial. Dichos investigadores utilizaron
analogías del mundo real como datos de accidentes de tráfico, piratería, robos,
crímenes y drogas para crear el modelo.
El CSIS clasificó la actividad cibermaliciosa en seis áreas:

Pérdida de propiedad intelectual

Pérdida de información empresarial confidencial, incluyendo la posible
manipulación del mercado bursátil

Costes de oportunidad, incluyendo interrupción de servicio y descenso de la
confianza para actividades en la red

Coste adicional de garantizar la seguridad de las redes y recuperación a partir
de ciberataques

Daño de la reputación de la empresa atacada
Teniendo en cuenta todas estas áreas resultó un coste a la economía global de entre
100.000 y 500.000 millones de $, lo que viene a ser entre un 0,15%-0.7% del PIB
mundial.
Extrapolando estos datos a España tendríamos un impacto medio de unos ¡¡ 5.000
millones de euros!!
Ámbito empresarial
Los delitos cibernéticos se han convertido en el pan de
cada día para muchas organizaciones. Aunque algunos
son
imperceptibles
otros
estallan
en
diferentes
direcciones afectándolas considerablemente al no
contar con una infraestructura de gestión de riesgos
que
les
permitan
enfrentar
acertadamente
esas
amenazas.
Al tratarse de un fenómeno relativamente nuevo y en
constante evolución, los hackers hacen de las suyas en
Peligro: ciberataques a
empresas. Una oleada de
fraudes en Twitter y
Facebook revela la fragilidad
y los elevados riesgos que
corren las marcas, incluso
las más grandes, en las redes
sociales
Miguel Ángel García Vega 3 MAR
2013 - 01:00 CET
las redes para manipular la información ante las
debilidades que presentan las empresas en sus plataformas tecnológicas.
18
CIBER RIESGOS
Las noticias lo confirman. Cientos de empresas se ven afectadas cotidianamente por
diversas amenazas. Los ciberdelincuentes son cada vez más adeptos a infiltrarse en
las redes corporativas sin desencadenar una alerta de intrusión, desviando la
información fácilmente, haciendo uso indebido de sitios web, realizando fraudes y robo
de la propiedad intelectual. Y a raíz de estos hechos delictivos, surgen una serie de
hechos conexos que perturban a las organizaciones como la pérdida de credibilidad
que puede sufrir con los ataques cibernéticos y quebrantos económicos que ponen en
aprietos a las organizaciones.
Todas las compañías, independientemente de su tamaño, son objetivos para los
hackers.
Principales ciber riesgos en la empresa
Uno de los principales riesgos deriva de la seguridad de los datos que, de forma
masiva, las empresas almacenan en formato electrónico. Resulta crucial que estos
datos, que se caracterizan por su naturaleza sensible (información de facturación,
bancaria, datos de clientes y empleados, información corporativa confidencial, etc., )
se almacenen de forma segura y protegida de cualquier intento de violación, intrusión,
acceso indebido o robo. Y no solo nos referimos a ataques a través de los sistemas o
internet; el simple robo o pérdida de un ordenador, un dispositivo externo de
almacenamiento de datos, o el envío de un correo electrónico por error que contenga
alguno de estos datos, puede suponer una potencial amenaza de sufrir pérdidas o
reclamaciones.
De acuerdo con un estudio realizado por Price Waterhouse Coopers, un solo incidente
de pérdida de datos cuesta a las empresas una media de 7.500 €. Gartner (Empresa
consultora y de investigación de las tecnologías de la información) también revela que
el 80% de las empresas que sufren una pérdida de datos importante o un fallo durante
más de 24 horas cierran al cabo de un año.
En nuestro país, las cosas no son muy diferentes que en el resto. El 20% de las
empresas españolas ha perdido información corporativa tras la desaparición o robo de
dispositivos móviles. A pesar de estos datos, el 36% de las compañías permite a sus
empleados acceder sin ningún tipo de restricción a los recursos de la empresa desde
sus smartphones. Además, sólo el 8% de las compañías en España tiene entre sus
planes introducir algún tipo de control estricto en el uso de dispositivos personales
19
CIBER RIESGOS
En cuanto a la custodia de información, el último informe de la consultora KPMG
revela que, en el año 2012, España suponía el 1,9% de los casos mundiales de
incidentes relacionados con la pérdida de datos.
Por sectores, los datos son, igualmente, muy relevantes:
Como podemos observar el mayor causante de pérdida de datos es con diferencia la
piratería informática o hacking en sectores como el gobierno (62%), servicios
20
CIBER RIESGOS
financieros (35%), venta al por menor (76%), tecnología (74%), medios de
comunicación (98%), despachos de abogados (63%) y mercados industriales (63%).
Debemos tener en cuenta la importancia de la información que las empresas y los
usuarios almacenan; bases de datos de clientes, proveedores, datos económicos,
propiedad intelectual, propiedad industrial, número de tarjetas de crédito, contraseñas,
información contractual, datos de investigación, expedientes, números de teléfono,
direcciones, y un largo etcétera.
El último grito en este terreno es el Cloud Computing (computación en la nube). En
lugar de comprar programas que se quedan desfasados en poco tiempo y de comprar
capacidad de almacenaje que cada vez es agota antes, traslademos estas funciones a
macro estructuras que nos permitan alquilar en función de las necesidades de cada
momento. Pues bien, incluso Microsoft a través de una de sus filiales al hacer un
traspaso de datos, perdió miles de estos de sus clientes por no haber hecho
correctamente la copia de seguridad.
Otro riesgo importante es la extorsión. Los ciberdelincuentes se ponen en contacto con
la empresa víctima para exigirle el pago de una cantidad económica so pena de
colapsarles los servidores e imposibilitarles prestar sus servicios durante un lapso de
tiempo lo suficientemente largo como para generarles importantes perjuicios
económicos; o viceversa, les atacan vía DDoS y luego les exigen el pago de una
cantidad económica a cambio de devolverles la disponibilidad de su portal web.
Podemos imaginar el grave perjuicio económico para una empresa de venta online
que puede generarle que su web no esté disponible durante horas o días. Importante
también mencionar el grave perjuicio en cuanto a imagen y confianza de los clientes
actuales y potenciales si se llega a hacer público un incidente de este tipo.
Es más, si el virus es de las últimas generaciones, puede incluso utilizar los sistemas
infectados como plataforma de ataque a otras organizaciones, añadiendo el riesgo de
que éstas reclamen responsabilidad por los daños producidos a la empresa desde la
que se ejecutó inadvertidamente el ataque. ¿Y si se produce el robo de información
confidencial de clientes y ésta se utiliza posteriormente para cometer fraudes?¿Y una
intromisión en la intimidad o daño a la reputación? Son ejemplos de posibles
demandas por responsabilidad que la empresa tendría que asumir.
Las empresas, cada una a su nivel, dedican ingentes cantidades de esfuerzo y dinero
por construir marcas, por trasladar una imagen de servicio, de trabajo bien hecho,
21
CIBER RIESGOS
seriedad, compromiso con la sociedad y de repente llega alguien en un blog y critica
nuestro producto, nuestro servicio y no solo eso, sino que surgen decenas o cientos de
voces que se le unen y lo que es peor, que los comentarios quedan, allí, de forma
permanente y a los ojos de cualquiera.
Más allá del riesgo reputacional y de las pérdidas económicas que puede acarrear la
paralización de la actividad o la imputación de responsabilidad, otra de las
implicaciones de sufrir un robo de datos personales de terceros son las multas y
sanciones con las que la empresa puede ser castigada en los distintos países en los
que opere.
La Unión Europea está preparando una nueva directiva por la que las empresas
estarán obligadas a demostrar la efectividad de sus modelos de seguridad, y deberán
crear además la figura del Delegado de Protección de Datos (Data Officer) en
compañías de más de 250 empleados.
Aunque uno de los aspectos del borrador que quizás más inquietud esté generando es
el posible aumento de las sanciones económicas por incumplimientos de la ley.
España ya cuenta con una de las legislaciones más restrictivas (LOPD) y exigentes de
Europa, con sanciones que pueden llegar hasta los 600.000 €. Sin embargo, la
directiva europea en proyecto contempla sanciones de hasta 1 millón de euros o el
equivalente al 2% de la facturación anual de la empresa infractora.
Por lo tanto, los ciber riesgos empresariales más frecuentes y perjudiciales para la
empresa son:
•
Robo/pérdida de información/datos
•
Extorsión
•
Robo de propiedad intelectual
•
Paralización del negocio
•
Hackeo de perfiles y correos corporativos
•
Pérdida de imagen corporativa
•
Sanciones por incumplimiento de la LOPD
•
Daños a terceros como consecuencia de las anteriores
22
CIBER RIESGOS
Los ciber riesgos son reales y están ocurriendo actualmente en las empresas. Sus
principales características son:

Afectan a todos los sectores, organizaciones y gobiernos; el número de
violaciones de datos así como sus costes asociados está creciendo exponencialmente

Intencionalidad en muchas ocasiones e incertidumbre en sus consecuencias

Inicialmente no son fácilmente detectables; puede pasar un largo periodo de
tiempo hasta que se muestran sus efectos siendo necesaria la involucración de
personal cualificado.

Evolucionan rápida y constantemente y sus consecuencias alcanzan a
múltiples áreas de las organizaciones propagándose a gran velocidad por los medios
tecnológicos actuales

Su alcance es global; pueden afectar a diversos países, legislaciones y
jurisdicciones donde opera la empresa o sus clientes y proveedores
La vulnerabilidad de las empresas por ataques informáticos o violaciones de la
seguridad es cada día mayor, de hecho 3 de cada 4 han sido víctimas de un ciber
ataque en el último año. Y lo que es peor, el 66% de las compañías que sufrieron un
ciber siniestro han tardado meses (incluso años) en enterarse.
23
CIBER RIESGOS
Las pymes en el punto de mira
A pesar de la gravedad de estas amenazas, la mayoría de los estudios actuales
muestran una gran complacencia empresarial respecto a este riesgo que, según los
expertos, es uno de los mayores de nuestra era, tanto por frecuencia como por
impacto. Muchos negocios desestiman la probabilidad de que les toque a ellos,
pensando que sólo los organismos militares, gubernamentales o las grandes marcas
son objetivos apetecibles para los ciberdelincuentes. Nada más alejado de la realidad.
Prácticamente todos los días aparecen en los medios
Las pymes, el blanco de
ciberataques de los
hackers El 31% de los
ataques cibernéticos son
contra pequeñas y medianas
empresas
Misael Zavala Madrid 10-06-2013
15:14
noticias sobre alguna gran firma internacional que ha
sufrido estos ataques, con el consiguiente daño a su
marca, reputación y cuenta de resultados. Son los
casos más sonados. Sin embargo, los estudios
apuntan que son las pequeñas empresas las que
están registrando un mayor crecimiento en el número
de ciber ataques. De hecho, casi la mitad de los
incidentes confirmados el pasado año se produjeron
en empresas de menos de 1.000 empleados, con un crecimientos del 31% en
empresas de menos de 250 empleados ya que son las más frágiles por tener una
menor seguridad en los ordenadores y redes a lo que destinan pocos recursos, y a
través de ellas los ladrones pueden obtener información de las grandes empresas,
robar identidades, información financiera o de sus clientes.
Pese a estos datos, sólo dos tercios de las empresas restringen el acceso a los que
tienen información de ingreso, el 63% no protege los equipos utilizados para la banca
en línea y el 9% no toma precauciones adicionales. Además, más de la mitad, el 61%
no utiliza antivirus en todos los equipos de escritorio y el 47% no tiene medidas de
seguridad en servidores y servicios de correo electrónico.
El sector manufacturero es el preferido por los delincuentes cibernéticos. Un 24% de
los ataques se dirigen a esta industria. Mientras que el sector de finanzas y seguros
ocupa el segundo lugar con un 19% de ataques, seguido por servicios no tradicionales
con un 17%, Gobierno un 12%, sector energético un 10% y servicios profesionales un
8%.
24
CIBER RIESGOS
Impacto en el negocio
¿Qué valor tienen los datos para la estrategia de la empresa? ¿Y la propiedad
intelectual, cuanto de ésta depende el peso comercial de la compañía? ¿Qué ocurre
con la imagen de marca cuando un intruso hackea la cuenta de Twitter o el correo
electrónico de un CEO?
El impacto en el negocio abarca:
•
La pérdida de beneficios que se derivaría de no
poder operar por Internet, realizar ventas, distribuir sus
productos o acceder a los datos de sus clientes.
•
El coste de la recuperación de los datos en caso
de secuestro.
•
El coste en imagen y pérdida de confianza de los
clientes y usuarios afectados por un ataque.
•
El coste de contratar asesores legales para que le
informen sobre cómo notificar el incidente a sus clientes.
•
Un incidente grave de
seguridad TI puede
costar 500.000 euros a
la gran empresa
Las campañas de relaciones públicas posteriores
En el caso de las pymes
el coste es de 38.000€
para intentar restaurar la imagen de marca.
•
Las demandas de terceros por responsabilidad civil.
•
Las multas y sanciones de los organismos reguladores de protección de datos.
25
CIBER RIESGOS
5.SOLUCIONES ASEGURADORAS
La visión tradicional del sector asegurador sobre la seguridad de la información
comparte el mismo temor que el resto de los sectores de la sociedad.
Tradicionalmente, la cobertura ha venido asociada a la protección de activos tangibles,
pero ¿qué sucede cuando vale más la información que contiene un ordenador que el
ordenador en sí mismo?
La aún escasa oferta de cobertura de riesgo
electrónico proviene de pólizas de amplio recorrido en
otros países de nuestro entorno económico, sobre
todo
anglosajón.
En
estos
países,
el
seguro
complementa toda estrategia de gestión de riesgos.
Mercado Americano
El origen de estas soluciones lo encontramos en Estado Unidos, en la década
de 2000, con el boom de las empresas “puntocom”, algunas compañías de
seguros comenzaron a desarrollar un producto diseñado para hacer frente a las
pérdidas financieras que pudieran surgir de una violación de datos de estas
empresas.
Esta
fue
una
época
donde
la
mayoría
de
las
empresas
tradicionales estaban empezando a aprovechar el potencial económico de Internet. En
ese momento las aseguradoras querían aprovechar el filón de las grandes
empresas "puntocom", como Amazon, Yahoo, eBay, Google, etc, y otras empresas
pioneras
de
comercio
electrónico.
Bautizaron
estas
pólizas
como "seguros cibernéticos” y los pioneros en adoptarlas fueron las empresas de
comercio electrónico, las grandes instituciones financieras y los proveedores de
servicios de tecnología.
Las primeras pólizas solo cubrían fallos de seguridad “técnica” a las que se fueron
añadiendo, años más tarde, coberturas de responsabilidad civil, pérdida de beneficios,
extorsión cibernética, etc. pero no tuvieron el desarrollo esperado.
Dos hechos hicieron que se desarrollaran exponencialmente este tipo de seguros:
En primer lugar, el 1 de julio de 2003 se aprobó en California la ley sobre notificación
de la vulneración de las medidas de seguridad. Aunque se trataba de una ley de rango
estatal, sus efectos abarcaron a un amplio espectro de empresas en todo el país,
26
CIBER RIESGOS
sujetos al cumplimiento de esta nueva ley. En virtud de dicha ley toda empresa que
diera a conocer de forma accidental o de cualquier otra forma "información personal"
de cualquier residente de California, debía revelar este hecho a la persona afectada
dentro de un período razonable. Tal y como está formulada la ley, cualquier empresa
que mantuviera relaciones comerciales con cualquier residente de California también
estaba obligado a cumplir dicha ley.
El Acta de Notificación de Violaciones a la Seguridad indicaba lo siguiente:
•
La revelación de los datos puede realizarse en cualquier momento que se
estime oportuno.
•
Las compañías no pueden compartir los datos con sus filiales sin el
consentimiento del consumidor.
“La revelación de los datos debe hacerse en el momento más oportuno y sin excesivo
retraso ”. (Sec. 2(a)). Con esta ley se pretende asegurar que el consumidor se entere
de que sus datos están siendo recibidos por personas no autorizadas. La ley SB 1386
provee al consumidor del “derecho de actuación”, con el fin de presentar una demanda
civil contra cualquier organización que no cumpla la ley. Esta medida legal de presión
es única para este estado, ya que la mayoría de las demandas federales no proveen al
consumidor del “derecho de actuación”.
Con la SB 1386 y la posterior aprobación de las leyes de notificación de otros 45
estados se acabo con la práctica habitual de ocultar estas violaciones de seguridad.
Se exigió a las empresas a incurrir en gastos directos significativos para investigar las
violaciones de seguridad y cumplir con las leyes aplicables.
Como resultado comenzó la presentación de gran cantidad de demandas colectivas
después de la comunicación de grandes brechas de seguridad. Como tal, la cobertura
del seguro cibernético pasó de ser una cobertura frente a un riesgo hipotético de
futuras demandas, a una cobertura frente a un riesgo real. Además, poco después de
la aprobación de la SB 1386 muchas pólizas de seguro cibernéticos comenzaron a
incluir entre sus coberturas los costes directos asociados con el cumplimiento de las
leyes de notificación, incluyendo honorarios de abogados , gastos de investigación
forense , los costos de impresión y envío, gastos de los call center, etc. ya que todos
estos
gastos
de
notificación
son
directos
e
inevitables,
por
lo
tanto,
independientemente del contenido de las demandas, una justificación económica
directa
para
la
cobertura
del
seguro
cibernético
ya
existía.
27
CIBER RIESGOS
El otro cambio, que se ha producido de manera gradual en el tiempo, pero que ha
tenido un impacto significativo sobre la frecuencia y magnitud de las violaciones de
datos, ha sido la aparición del crimen organizado en la red. A principios del decenio de
2000 la piratería no era más que una pequeña molestia de unos pocos individuos con
el fin de fanfarronear. Los hackers de la época querían que se hablara de sus
hazañas. Sin embargo, en nuestros días hablamos de verdaderos criminales, a los que
se les ha abierto la posibilidad de realizar sus delitos a miles de km de distancia con
casi ninguna posibilidad de ser descubiertos. Se ha convertido en una implacable
máquina de ciber crimen abierta 24 horas al día y 365 días al año, constantemente
atacando y buscando nuevas maneras de hacerlo, y con la sensación de ir siempre un
paso por delante de los que los buscan para detenerlos.
Por lo tanto, en Estados Unidos, el mercado de seguros cibernéticos es un mercado
que está mucho más establecido que en Europa. Empresas de todos los tamaños
suscriben este tipo de pólizas ya que son conscientes de los riesgos de la red y los
consideran una compra obligatoria. La fuerte competencia entre aseguradoras ha
hecho que las primas disminuyan y por tanto sean accesibles a empresas de cualquier
tamaño. Las primas se mueven entre unos pocos miles de dólares para coberturas
base en empresas con facturación por debajo de 10MM$ a varios cientos de miles de
dólares, e incluso por encima del millón, para grandes empresas con la cobertura más
amplia.
Según datos de la correduría MARSH, el número de clientes que ha suscrito ciber
seguros en EEUU ha aumentado un 33% en 2012, con los mayores incrementos en el
sector servicios, con un 76%, y en educación, con un 72% de incremento. También se
ha producido un aumento del 20% en la cobertura de sus clientes.
Con un mercado en pleno desarrollo como el americano no es extraño encontrar
innumerables ejemplos de compañías y brokers que ofrecen estas pólizas como AIG,
CHUBB, ACE, AXIS, OVAL, MARSH, HISCOX USA, GREAT AMERICAN y así hasta
más de 30.
Mercado Europeo
La Unión Europea carece de un mercado de ciber-seguridad desarrollado que permita
a las empresas mejorar la protección de sus sistemas y datos, según asegura un
reciente informe de la Agencia Europea de Seguridad de Redes e Información (ENISA)
en el que se recoge que las compañías de seguros tradicionales en Europa no han
entrado aún en este tema. Los datos disponibles sugieren que el mercado de la ciber28
CIBER RIESGOS
seguridad europeo se sitúa muy por detrás del norteamericano y, por ejemplo, en el
Reino Unido hay solo un puñado de compañías de seguros que ofrecen productos de
ciber-seguridad, comparado con las 30 ó 40 firmas de seguros especializadas en
Estados Unidos.
Si bien la seguridad cibernética es una preocupación importante para los
responsables políticos europeos y nacionales, empresas y ciudadanos, la cobertura
tradicional ofrecida por los proveedores de seguros de Europa puede que, con algunas
excepciones, no aborde de manera exhaustiva los riesgos digitales.
Los obstáculos para el desarrollo de un mercado de la seguridad cibernética efectivo
incluyen la falta de datos actuariales sobre la magnitud del riesgo y la incertidumbre
sobre qué tipo de riesgos deben estar asegurados. Para abordar estas cuestiones,
ENISA propone cuatro recomendaciones:
•
La recopilación de datos empíricos sobre ciber seguros en Europa, mirando a
los tipos de riesgos asegurados, las primas pagadas y los niveles de pagos
para determinar las tendencias futuras. La acción puede ser llevada a cabo por
las empresas aseguradoras, empresas o las autoridades reguladoras
•
El examen de los incentivos a las empresas para mejorar la seguridad de sus
datos como una manera para que puedan reducir su riesgo y responsabilidad
financiera si violan las normas de protección de datos. Encontrar hechos junto
con la Comisión Europea sería un primer paso para la comprensión de esta
área.
•
El establecimiento de marcos acordados para ayudar a las empresas a poner
un valor cuantificable de su información. El trabajo podría ser asistido por
asesores de seguridad de la privacidad y la información, suscriptores y la
Comisión Europea. ENISA también podría proporcionar un mayor apoyo.
•
Una exploración de la función de los gobiernos como un asegurador de último
recurso, siguiendo otros modelos en los que la intervención política queda en
evidencia cuando se trata de riesgos catastróficos. Esto podría ser investigado
por los gobiernos de los Estados miembros de la UE y por la Comisión
Europea.
El Director Ejecutivo de ENISA, el Profesor Udo Helmbrecht, comentó: "Este nuevo
informe de ENISA indica que hay potencial para las políticas europeas de seguridad
cibernética y la legislación debe ser complementada por un mercado de seguros
cibernéticos centrado en la prevención. Además de proporcionar seguridad, un
29
CIBER RIESGOS
mercado desarrollado en esta área ayudaría a mejorar los niveles de seguridad
cibernética poniendo un coste real a los incidentes cibernéticos y mostrando los
beneficios de implementar buenas prácticas de seguridad. "
Finalmente, el mercado de la ciber-seguridad puede contribuir al bienestar social de
todos si además de aplicar sus recursos en el sector privado, lo hace también en el
sector público”, mantiene la Agencia Europea. Hay varias medidas que los
responsables políticos europeos pueden adoptar para poner en orden y potenciar el
desarrollo del mercado de la ciber-seguridad. Estas incluyen ayudar a las víctimas de
ataques contra sus datos, lanzar procedimientos legales privados, obligando a las
empresas a preservar su seguridad en Internet si quieren acceder a contratos públicos
y desarrollando métodos fiables que permitan medir los costes de las brechas
tecnológicas
de
una
amplia
gama
de
compañías
a
nivel
europeo.
“En un primer momento, cuando se pierden datos personales, las víctimas suelen
recurrir a diversos colectivos para actuar, pero su capacidad de respuesta es limitada,
a menos que se considere este hecho como una ataque a un derecho fundamental y
no un simple derecho de propiedad privada con el que se puede hacer negocio,
asegura la agencia. Las autoridades competentes en Europa no están ni siquiera
creando organismos competentes en la protección de datos, asegura ENISA.
Una de las razones por las que el mercado de la ciber-seguridad no consigue
despegar es la falta de datos claros sobre los costes e implicaciones que acarrean los
ataques.
Las organizaciones sin ánimo de lucro, compañías comerciales y agencias del
gobierno se están danto cuenta del creciente número de datos e informes al respecto.
Sin embargo, los que toman las decisiones no saben qué creer y si hay informes más
fiables que otros. La misma falta de decisión se observa en las compañías de seguros
a la hora de fijar los riesgos de seguridad de este tipo y fijar su alcance.
Un ejemplo de reciente de intervención regulatoria en este asunto pudo comprobarse
en Estados Unidos, donde la Comisión de Valores y Bolsa (SEC) solicitó en 2011 que
todas las firmas reguladas desvelaran el riesgo de los incidentes en Internet. Las
expectativas del mercado es que las empresas cotizadas deben demostrar que
manejan correctamente estos riesgos.
30
CIBER RIESGOS
La demanda de políticas al respecto también depende de la capacidad de las
empresas para medir el valor de su información. La Comisión Europea podría trabajar
con proveedores de seguros, además de consultores privados de seguridad, para
establecer espacios comunes que logren este propósito, concluye el informe.
Mercado Español
El mercado español, comparte la idiosincrasia del mercado europeo antes comentado
por lo que encontramos pocos ejemplos de estas pólizas.
Analizaremos las pólizas CyberEdge de la compañía AIG o Cyber Risk-Dataguard de
la compañía ACE que ofrecen una adecuada protección de estos riesgos.
Principales coberturas
Las principales coberturas que encontramos en estas pólizas son:
Servicios de consultoría

Gastos incurridos por la pérdida, imposibilidad de acceso, corrupción de los
datos o denegación de los servicios producidos por una violación de seguridad para;
•
Comprobar si ha tenido lugar una violación de seguridad de los datos
•
Identificar la causa de tal violación
•
Restaurar los sistemas y servidores de seguridad de manera que
permitan volver al día a día de su negocio
•
Determinar si los datos electrónicos pueden o no ser recuperados o
restaurados
•
Descontaminación, limpieza, recuperación y restauración de los
sistemas
•
Recomendaciones
necesarias
sobre
medidas
de
prevención
y
mitigación
Pérdida de Beneficios

Pérdida del beneficio neto que resulte de pérdida, imposibilidad de acceso,
corrupción de los datos o una interrupción material en sus redes como consecuencia
de una violación de seguridad
31
CIBER RIESGOS
Extorsión

Cubre el pago de extorsión a terceros en que se incurra con el fin de concluir
una amenaza de seguridad
Restitución de imagen

Asistencia de expertos para mitigar el efecto del incidente en la reputación de la
empresa y la confianza de sus clientes
Notificación

Gastos de notificación a los afectados o a la autoridad reguladora informando
que los datos han sido expuestos como consecuencia de una violación de seguridad
Perjuicios a terceros

Responsabilidad en el caso de contaminar los datos o información de un
tercero con un virus

Responsabilidad si la empresa sufre el robo de información de terceros de sus
sistemas por medios electrónicos.

Responsabilidad si la empresa sufre robo de hardware conteniendo datos de
carácter personal

Responsabilidad si un empleado divulga datos privados de terceros
Perjuicios derivados de incumplimiento de LOPD

Gastos de asesoramiento jurídico y representación en relación con una
investigación de la Agencia de Protección de datos

Sanciones administrativas impuestas por la autoridad reguladora en materia de
protección de datos personales
Responsabilidad por actividades multimedia

Hace frente a los perjuicios incurridos en relación con una violación de la
propiedad intelectual, derechos de autor de un tercero, o actos negligentes en relación
con contenidos digitales.
32
CIBER RIESGOS
Defensa jurídica

Gastos en que pueda incurrir como consecuencia de su intervención en un
procedimiento administrativo, judicial o arbitral.
Exclusiones
El asegurador no responderá ante ninguna pérdida que se derive o se base en:

Actos dolosos
Cualquier acto u omisión doloso, deliberado, malicioso, fraudulento o deshonesto
cometido por cualquier administrador, directivo o socio de la entidad

Obtención ilícita de datos
La obtención ilícita y no autorizada por parte de la sociedad de datos de un tercero

Antimonopolio
Una violación de las leyes antimonopolio, restricción al comercio, práctica desleal o
engañosa en los negocios o competencia desleal, ya sean estas reales o
presuntas.

Hechos conocidos o procedimientos anteriores
Una reclamación iniciada, presentada o pendiente con anterioridad a la fecha de
efecto de la póliza; o que sea atribuida a circunstancias que pudieran dar lugar a
una reclamación y que fueran conocidas con anterioridad a dicha fecha.

Materiales no solicitados
Cualquier distribución masiva no solicitada de e-mail, correspondencia directa o
facsímile, o la realización no consentida de una escucha telefónica, de un soporte
de audio, de una grabación de video, o campaña de tele marketing.
33
CIBER RIESGOS

Daños personales y daños materiales
Cualquier lesión física o enfermedad, salvo el daño moral o la angustia emocional
resultante de la vulneración de la normativa de protección de datos; o cualquier
pérdida o destrucción de propiedades tangibles, salvo la de datos de tercero o el
robo físico o pérdida de los activos de la sociedad.

Propiedad industrial
Una violación de patentes o apropiación de secretos comerciales como consecuencia
de una revelación no autorizada, dolosa, negligente o accidental.

Guerra/Terrorismo
Cualquier forma de guerra, terrorismo, rebelión, sedición, motín o tumulto popular,
levantamiento militar o usurpación de poder, excepto terrorismo cibernético.

Mantenimiento de seguridad
El mantenimiento de los datos y procedimientos de seguridad por debajo de los
estándares declarados en el cuestionario.

Organización gubernamental o autoridad pública
El asegurador no responderá ante ninguna pérdida que se derive de una amenaza de
extorsión, embargo, confiscación, nacionalización o destrucción de un sistema
informático por orden de cualquier organización gubernamental o autoridad pública.

Conocimiento público de la existencia de seguro
El asegurador no dará cobertura para una amenaza de extorsión en caso de que la
existencia de ésta póliza llegase a ser de dominio público, o el mismo se revelase a
una persona que puede pudiera representar una amenaza de seguridad.

Insolvencia o quiebra
El asegurador no se hará cargo de pérdidas que provengan de la insolvencia o quiebra
del asegurado
34
CIBER RIESGOS
Ejemplos de posibles incidentes
Empleado malintencionado: Un empleado de una gran compañía roba información
personal de miles de clientes
Gastos cubiertos:
Gastos de expertos especializados para determinar qué tipo de datos han sido
robados a cada persona
Gastos de notificación de miles de personas cuyos datos han sido robados
Costes de control de identidad para los individuos afectados para asegurar que
no siguen sufriendo pérdidas después del robo de información
Costes de un experto legal para preparar a la empresa ante una más que
probable investigación por parte de la Administración.
Gastos de representación y defensa de la compañía ante reclamaciones de
terceros
Pago de perjuicios e indemnizaciones a terceros por el daño causado
Gastos de consultoría de Relaciones Públicas para aconsejar y guiar a la
empresa en sus comunicaciones externas a los medios de comunicación.
Ataque hacker a una cadena hotelera: Un grupo de hackers logra acceder a los
sistemas de una cadena hotelera con varios establecimientos
Gastos cubiertos:
Gastos de expertos especializados para determinar qué tipo de datos han sido
robados a cada persona (números de tarjetas de crédito e información personal
de los titulares)
Gastos de notificación de miles de personas cuyos datos han sido robados
Costes de control de identidad para los individuos afectados para asegurar que
no siguen sufriendo pérdidas después del robo de información
Costes de un experto legal para preparar a la empresa ante una previsible
investigación por parte de la Administración
Consultoría de Relaciones Públicas para aconsejar a la empresa sobre como
mitigar el daño reputacional después de lo sucedido.
35
CIBER RIESGOS
Virus externo en supermercado: El sistema de punto de venta de un supermercado
fue atacado por un virus externo, deshabilitando la comunicación entre las cajas
registradoras y la máquina que realiza el inventario. El supermercado se quedó sin
productos en stock y tuvo que cerrar hasta que el sistema fue reparado.
Gastos cubiertos:
Comprobar si ha tenido lugar una violación de seguridad de los datos
Identificar la causa de tal violación
Restaurar los sistemas y servidores de seguridad de manera que permitan
volver al día a día de su negocio
Descontaminación, limpieza, recuperación y restauración de los sistemas
Recomendaciones necesarias sobre medidas de prevención y mitigación
Pérdida de beneficios por los días en que el supermercado estuvo cerrado
Otras características
 Cobertura disponible hasta 15.000.000€
 Sublímites amplios
 Póliza en base a reclamaciones (claims made) para las coberturas de RC
 Retroactividad
 Franquicias adaptadas a cada riesgo
 Cobertura mundial
6.CONCLUSIÓN
El espectacular auge de internet y de los servicios telemáticos ha hecho que los
ordenadores y las redes se conviertan en un elemento cotidiano en nuestras casas y
en un instrumento imprescindible en las tareas de las empresas.
El rápido progreso tecnológico ha permitido el aumento de las capacidades de los
equipos informáticos y de comunicaciones y la facilidad, comodidad y rapidez con la
que se accede a la información ha incrementado la fiabilidad del sistema y la confianza
36
CIBER RIESGOS
de los usuarios en él, por lo que administraciones, empresas y usuarios vuelcan toda
su información en servidores de archivos gestionados por sistemas conectados en red.
Mientras que la industria ha progresado desarrollando sus sistemas poniendo mayor
énfasis en su robustez y su interoperabilidad, se ha ido dejando un poco de lado el
tema de la seguridad, probablemente guiados por el principio de primar la
operatividad. A partir de este error han surgido vulnerabilidades en los sistemas
operativos, también en aplicaciones y protocolos de comunicaciones, y como
consecuencia diversas amenazas y técnicas de atacar estos sistemas.
En la última década el cibercrimen ha pasado de ser piratería de aficionados a un
brazo importante del crimen organizado. Una de las peores consecuencias de la
profesionalización del fraude en Internet ha sido la implicación de las bandas
organizadas de crimen tradicional en todos los ciberdelitos en los que cabía la
posibilidad de obtener algún beneficio económico.
Un ataque cibernético puede poner en peligro uno de los activos más importantes que
atesora una empresa, “la información”, tanto datos personales como información
confidencial. El robo o pérdida de información, la denegación de servicio o
desconfiguración de la red de la empresa, el robo de propiedad intelectual, suponen
riesgos que pueden provocar un importante daño a las empresas y llevarles al cierre
definitivo.
¿Es posible transferir estos riesgos?
El mercado asegurador (nacional e internacional) cuenta con capacidad suficiente para
cubrir los ciber riesgos. De hecho, actualmente las empresas compran a nivel global
más de 1.000 millones de dólares en seguros de protección frente a los ciber ataques.
Pero, ¿por qué se conocen tan poco estos productos en España? Existen varias
razones: falta de datos actuariales sobre la magnitud del riesgo y la incertidumbre
sobre qué tipo de riesgos deben estar asegurados, la falta de una adecuada
percepción, análisis y gestión del riesgo empresarial y el desconocimiento de esta
problemática por parte del habitual canal de comercialización del sector asegurador,
quien, además, no se relaciona habitualmente con el interlocutor más sensibilizado
con los riesgos tecnológicos. También existe el falso pensamiento en la pequeña y
mediana empresa que el objetivo de los ataques son las grandes multinacionales y, sin
embargo, los datos apuntan que son las pequeñas empresas las que están registrando
un mayor crecimiento en el número de ciber ataques.
37
CIBER RIESGOS
En términos generales, existe una concienciación general sobre los ciber riesgos
aunque las empresas desconocen los peligros concretos a los que se enfrentan. A
fecha de hoy, la gran mayoría de compañías siguen sin contar con un seguro
específico que las proteja, y no sólo supone una gran oportunidad de negocio para las
compañías aseguradoras, también para los mediadores que apuesten por estos
productos lo que les permitirá posicionarse como expertos en la materia ante sus
clientes, aportando soluciones aseguradoras innovadoras.
38
CIBER RIESGOS
BIBLIOGRAFÍA Y WEBGRAFÍA
Instituto Nacional de Tecnologías de la Comunicación (INTECO). www.inteco.es
Principios de seguridad y alta disponibilidad. Editorial RA-MA
Informe “Una gran década para el cibercrimen”. McAfee. 2010
Seguridad Informática. Editorial McGraw-Hill
Guía para frenar el cibercrimen. Karspersky lab
Informe “The economic impact of cybercrime and cyber espionage”. Center for
Strategic and International Studies. (CSIS). Julio de 2013
Los riesgos de la era digital. MARSH. Mayo de 2013
Monografía: “El ciberespacio. Nuevo escenario de confrontación. Centro de Estudios
de la Defensa Nacional (CESEDEN). Febrero de 2012
Informe: “La gestión de riesgos en la era digital”. AON. Enero de 2013
Informe “Incentivos y obstáculos para el mercado de seguros cibernéticos en Europa”
de la Agencia Europea de Seguridad de la Información (ENISA)
Seminario “Cibercrimen en nuevos entornos online”. Asociación de Expertos
Nacionales de la Abogacía TIC (ENATIC). Marzo de 2013
Internet Security Theat Report 2013. Symantec
Informe de amenazas de seguridad 2013. Sophos
Póliza CiberEdge. AIG Europe Limited. www.aig.com.es
Póliza Cyber Risk-Dataguard. ACE Europe. www.acegroup.com
39