Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La utilidad del seguro de ciberseguridad, de nuevo en entredicho
Joao Correia
11 de enero de 2023 - Evangelista técnico
Las pólizas de seguro de ciberseguridad son consideradas por muchos como una red de seguridad de último recurso que, cuando las cosas van mal de una manera terrible, proporciona al menos un poco de esperanza para algún tipo de compensación.
Sin embargo, como, y otrosen el pasado, los escenarios del mundo real están mostrando una cara diferente de la protección que se espera de este tipo de pólizas de seguro.
Más allá de la difícil de refutar cláusula de "actos de guerra" incluida en dichas pólizas, durante las vacaciones se ha clavado otro clavo en el proverbial ataúd de los seguros de ciberseguridad, por cortesía del Tribunal Supremo de Ohio. proverbial del seguro de ciberseguridad, cortesía del Tribunal Supremo de Ohio - con el potencial de convertir básicamente todas las pólizas de seguro de ciberseguridad existentes en nada más que hojas de papel sin valor.
Rebobinar la historia
En 2019, una empresa con sede en Ohio sufrió, por desgracia, un ataque de ransomware. No fue nada tremendamente fuera de lo común, ya que el ransomware era -y sigue siendo- un negocio muy lucrativo, y hay un montón de posibles víctimas en todo el mundo. El rescate solicitado era de 3 bitcoins, valorados en aquel momento en unos 35.000 dólares. Por razones que no vienen al caso, la empresa tomó la (poco acertada) decisión de pagar el rescate para recuperar el acceso a sus propios archivos. Hasta aquí, esta historia no es nada fuera de lo común y es similar a cientos de historias en todo el mundo.
Al día siguiente, como la empresa tenía un seguro de ciberseguridad, presentaron una solicitud a su compañía de seguros para recuperar la cantidad gastada en pagar el rescate, así como los daños accesorios (pérdida de ingresos empresariales).
Aquí es donde la cosa se pone interesante. El mismo día que se presentó la reclamación, la compañía de seguros respondió y se negó a cumplir, afirmando que no había habido "daños físicos directos" del ransomware y, como tal, no pagaría ninguna restitución.
Obviamente no contenta con tal respuesta, la empresa de Ohio procedió a llevar a la aseguradora ante los tribunales, y -para gran sorpresa- perdió el caso, ya que la sentencia inicial daba la razón a la aseguradora al afirmar que "no existían daños físicos" .... en una reclamación de seguro de ciberseguridad.
Nuevamente descontentos con el resultado, se interpusieron recurso, demanda y contrademanda hasta que la decisión llegó al Tribunal Supremo de Ohio, que dictó sentencia a finales de diciembre de 2022. Y, en lo que parece ser una decisión miope, el Tribunal Supremo de Ohio confirmó la decisión inicial, añadiendo que (citando vagamente) "no puede haber daño físico, ya que el software es un conjunto de instrucciones informáticas" (...) "un conjunto de unos y ceros". Una vez más, hay que tener en cuenta que esto se refiere a un caso de ciberseguridad ciberseguridad.
Cómo cambia esta decisión el terreno de juego
A decir verdad, en el pasado se han producido daños físicos como resultado de infecciones de ransomware. Incluso se cree que hay víctimas mortales directamente relacionadas con ransomware - pero más tarde se desmintió. Se necesita un tipo de entorno muy especial para que se produzcan daños físicos como resultado de una infección por ransomware -por ejemplo, el mal funcionamiento de equipos sanitarios o de equipos de fábrica automatizados-, pero tendrían que ser averías extremas. Aun así, se trata de una minoría absoluta de casos, un fallo porcentual entre los miles que se producen.
Como afirma acertadamente el Tribunal Supremo, las infecciones por ransomware afectan al software -y a los datos, que no se mencionaron específicamente- y éstos son, en efecto, un conjunto de unos y ceros. Sólo que es un conjunto de unos y ceros muy valioso y terriblemente importante. Tan valioso, de hecho, que las empresas compran seguros como parte de su postura de ciberseguridad.
Cabe preguntarse entonces de qué protegen exactamente las compañías de seguros a las aseguradoras. A disquete que se expulsa demasiado rápido y lastime a alguien? ¿De que alguien se escalde un dedo al tocar un servidor sobrecalentado que está encriptando sus propios archivos?
Esta decisión, tomada por un Tribunal Supremo, sienta un precedente. A partir de ahora, todas y cada una de estas pólizas pueden ser, en la práctica, anuladas porque las compañías de seguros siempre pueden invocar esta decisión y evitar pagar cualquier indemnización (lo que se conoce como Stare Decisis en jerga jurídica).
Ciberseguridad sin red de seguridad
Si trabaja en una empresa que tiene un seguro de este tipo, o es responsable de la adquisición de una póliza de este tipo, es muy aconsejable que pida aclaraciones a su aseguradora sobre qué situaciones están realmente cubiertas -preferiblemente por escrito- para poder ajustar sus expectativas en caso de que surjan problemas. Al igual que las copias de seguridad, parece que el estado de este tipo de seguro sólo se conoce cuando se prueba y - de nuevo como las copias de seguridad - parece que siempre se estropea cuando más se necesita.
Considerar el cambio de prioridades en el gasto en ciberseguridad. Invertir en mejores soluciones de seguridad y mejores prácticas operativas es probablemente una mejor inversión, ya que los agujeros en la red de seguridad son cada vez más grandes a medida que pasa el tiempo. Considerar este método como una medida de seguridad útil es cada vez más difícil de aceptar.
Como observación final, también será interesante seguir esta decisión en un ámbito relacionado, pero en el que es probable que se mantenga el mismo argumento, con el mismo razonamiento desafortunado: los derechos de autor. Siguen siendo unos y ceros, ¿verdad? Hace que uno se pregunte cuánto tiempo pasará hasta que un abogado diligente presente el mismo argumento en un caso así.
Pero esa es una historia para otro día.
Feliz Año Nuevo.
