Seguros Cibernéticos

Por Esther García Tagliaferri

Es innegable que la tecnología se ha transformado hoy en la gran aliada de los negocios y de la vida cotidiana. Todos los días leemos artículos sobre nuevos avances que nos sorprenden al resaltar los grandes beneficios que nos aportan la utilización de las nuevas tecnologías.  Sin embargo, este desarrollo trae consigo nuevos peligros que afectan tanto a corporaciones, como a pequeñas empresas y a individuos en general. En la actualidad el uso de la tecnología involucra cientos de actividades alcanzando casi todos los procesos, circunstancia que expone a la sociedad completa a sufrir un evento cibernético.

Pensemos por ejemplo en algo tan simple como el correo electrónico. Desde su llegada se ha convertido en un puente que nos conecta con miles de personas alrededor del mundo en segundos, pero al mismo tiempo es la puerta de ingreso para los virus más peligrosos, capaces de tomar a nuestras computadoras como rehenes y destruir todos nuestros archivos, privándonos de seguir desarrollando nuestras actividades en forma normal o hasta inclusive haciéndonos perder valiosa información personal y profesional.

Otro tema prioritario para las empresas es la seguridad industrial. Hasta hace poco tiempo atrás se trabajaba con planes básicos preventivos ante ataques externos y los protocolos se basaban en la protección física de las instalaciones. Hoy han descubierto que las amenazas están mucho más próximas, prácticamente inmersas dentro de la propia estructura de sus sistemas informáticos. Los softwares y hardwares diseñados para mejorar la calidad de los servicios pueden convertirse en el peor enemigo. Si bien para muchos puede parecer ciencia ficción, es una realidad que está mucho más cerca de lo que podemos imaginarnos y de la cual los expertos son plenamente conscientes.

Es importante destacar que Latinoamérica no escapa a esta problemática mundial. México y Brasil han comenzado hace tiempo a trabajar en el desarrollo de métodos de seguridad para proteger sus instalaciones, convirtiéndose en pioneros dentro de la región, dado que uno de los sectores más afectados, el del petróleo, es un elemento muy importante dentro de sus economías.

A pesar de que un gran número de empresas creen contar con la capacidad de proteger la información sensible tanto propia como de terceros y de evitar que haya interrupciones a sus servicios, la falta de tecnología de análisis cibernético para monitorear ciberataques hace que no sea posible tener una idea real de cómo podrían afectarles los mismos. Según un reciente informe de la consultora Accenture, los sectores industriales están muy preocupados por las nuevas formas de ataques por vehículos como hackers o grupos delictivos especializados en robo de datos.

Los riesgos cibernéticos, como se los ha dado en llamar por distintos doctrinarios en la materia y las consecuencias que potencialmente puedan traer a las empresas y a los particulares, resultan ser una cuestión estudiada por las distintas legislaciones desde hace tiempo, sobre todo considerando la cantidad de información sensible que es almacenada diariamente en los sistemas informáticos.

Las empresas, tales como las desarrolladoras de software, proveedoras de servicios de tecnología, instituciones financieras, estudios de abogados, o centros de salud, se enfrentan a un mercado altamente dinámico que nunca descansa. Las redes sociales, el “big data”, el internet de las cosas y los servicios en la nube han creado un mercado en continua transformación.

Los riesgos han evolucionado y se han incrementado. La necesidad de una continua interconexión y conectividad con la cadena de suministro ha aumentado la exposición al riesgo de violaciones de seguridad de la información, altamente perjudicial para las empresas.

En mayo de 2017 los ataques informáticos masivos se volvieron noticia mundial con los llamados “WannaCry” y “Petya”. Sin embargo, este no es un tema nuevo: en otro mayo, pero hace 17 años atrás, en el año 2000 el mundo se conmocionaba con la noticia de miles de computadoras infectadas alrededor del mundo con el romántico virus “I love you”, el cual se presentó en forma de correo electrónico, con un archivo adjunto que al ser abierto, infectaba el ordenador y se auto enviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones. Infectó aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones de dólares.

Los ataques ransomware de la variedad WannaCry  y Petya, son ataques informáticos que usan un software malicioso que permite al ciber-delincuente quitar el control de toda la información y datos almacenados en un sistema informático, dándole la capacidad de bloquear el dispositivo desde una ubicación remota y encriptar los archivos contenidos en él. Estos ataques tuvieron como objetivo grandes y pequeñas corporaciones, a individuos particulares y también a entidades públicas relacionadas con sectores tan sensibles como el de salud, transporte, finanzas y educación; solicitando un rescate para poder volver a acceder a los datos, el cual generalmente será pagado en Bitcoins, criptomoneda de difícil rastreo.

Hoy en día estos ataques tienen un objetivo principal: la información sensible contenida en los servidores. Es por ello que en los últimos años se ha avanzado mucho en materia legal sobre protección de datos.

En la Argentina existe desde hace más de diez años una ley específica, la Ley Nº 25.326 que fue sancionada con el propósito de proteger la intimidad de las personas y como control sobre el flujo de datos. Históricamente, el derecho a la intimidad de las personas era garantizado por la Constitución Nacional, el Código Civil y el Código Penal. Con los avances tecnológicos y el aumento del uso de los nuevos sistemas electrónicos de comunicación, la información sensible de las personas comenzó a verse seriamente afectada. Como respuesta a esta nueva realidad, se sancionó la Ley de Habeas Data o Protección de Datos Personales en el año 2000. Su objetivo es resguardar los datos personales que se encontrasen en bancos de datos, para así poder garantizar la intimidad de las personas, como el derecho de controlar la información que sobre las mismas se registre.

Esta ley brinda especial protección a los denominados datos sensibles que son aquellos relativos al origen racial y étnico, a las opiniones políticas, convicciones religiosas, filosóficas o morales, la afiliación sindical, la salud y la vida sexual. Gracias a esta ley, se establecieron una serie de obligaciones precisas para quienes utilicen bases de datos conteniendo información personal con la finalidad de evitar la pérdida, adulteración o acceso no autorizado a los datos. Los usuarios de los mismos tienen la obligación de adoptar medidas técnicas y organizativas que garanticen fehacientemente su seguridad y confidencialidad, y se dotó a los ciudadanos de la posibilidad de reclamar a través de acciones legales por los daños y perjuicios que sufriera si sus datos no son indebidamente preservados.

Adicionalmente se creó un ente específico, la Dirección Nacional de Protección de Datos Personales, organismo dependiente del Ministerio de Justicia, para velar por el cumplimiento de la ley y aplicar sanciones.  Esta ley también creó nuevos delitos penales con penas de prisión e inhabilitación especial para quienes accedan a un banco de datos de forma ilegítima o tras haber violado sistemas de confidencialidad y seguridad (hacking), para quienes inserten ilícitamente datos personales en un archivo; o quienes revelen información de un banco de datos personal cuando por ley deban preservar el secreto.

Hoy la mayoría de las empresas guardan en sus sistemas informáticos información sensible de sus clientes y proveedores y se encuentran seriamente expuestos a reclamos basados en esta ley, en caso de un ataque que viole sus sistemas.

Ante todas las circunstancias expuestas surge la clara necesidad de revisar cuál es la protección que tenemos ante estas nuevas amenazas.

En un primer lugar, resulta prioritario mantener una política adecuada incluyendo la identificación y valoración de sus activos digitales, el conocimiento de las amenazas existentes y el grado de vulnerabilidad y exposición a las mismas, tratando de medir el impacto sobre su negocio e impulsando medidas orientadas a evitar o mitigar sus consecuencias. Todos los sistemas informáticos deben contar con protecciones adecuadas tales como conservar los “firewall” actualizados, encriptar los datos conteniendo información sensible, así como la realización periódica de “Back Ups”. Sin perjuicio de ello, todas estas medidas pueden resultar insuficientes a la hora de enfrentar un incidente, por lo que las empresas deberían considerar como parte de su estrategia de minimización de riesgo la contratación de un seguro específico de Cyber.

Las pólizas de Riesgos Cibernéticos cuentan con coberturas de última generación como respuesta del mercado asegurador ante estas nuevas amenazas que sufren los asegurados.

En línea con este pensamiento, citamos al Dr. Waldo Sobrino quien, en un reciente artículo publicado en La Ley sobre la materia, resalta la importancia de recordar que en el año 2016, las compañías de seguros suscribieron pólizas de cyber risk por un monto de mil trescientos millones de dólares (U$S 1.300.000.000), calculándose que para el año 2022, aumentará más de diez veces, llegándose a una suscripción de U$S 14.000.000.000.

Las pólizas de Cyber son seguros nuevos, sobre todo para el mercado de Argentina. Estas coberturas aún se encuentran en un proceso de desarrollo, lo que se traduce en la inexistencia de textos uniformes, por lo que las coberturas pueden diferir según cual sea la aseguradora que está suscribiendo el riesgo.

En líneas generales, los textos de los seguros de Cyber fueron diseñados para contener coberturas que amparen las diversas exposiciones que se generan a partir del incidente informático. Cabe destacar que el riesgo cibernético es muy trasversal tanto en coberturas de seguros como en sectores de la industria.

La pérdida y el robo de datos electrónicos, la denegación de servicio e incluso las infracciones de derechos de autor hacen que la protección de datos sensibles sea un problema para toda clase de organizaciones.

Los riesgos cibernéticos no sólo pueden revelar, alterar o negar el acceso a información confidencial y clasificada, sino que pueden ser el catalizador que cause otro tipo de daños. Los costos de notificación, el tiempo de interrupción del negocio, así como los gastos de investigación/reparación, pueden ser muy importantes e incluso devastadores, especialmente en el contexto de los cambios regulatorios que estamos viviendo.

Las exposiciones podrían dividirse en dos grandes grupos, daños propios que sufre el asegurado y daños que genera a terceros a raíz de alguna falla de seguridad en sus sistemas informáticos y por los que es responsabilizado.

De lo expuesto surge que los riesgos principales son:

•        Pérdida de información propia y de terceros

•        Perjuicios a terceros

•        Pérdidas de utilidad

•        Obligaciones establecidas por los entes regulatorios

•        Riesgo reputacionales

Las compañías aseguradoras son conscientes de estas exposiciones y han creado coberturas específicas para cada una de ellas.

Si bien pueden tener nombres y alcances diferentes según la compañía aseguradora que suscriba el riesgo, tal como mencionáramos más arriba, las coberturas más comunes que se ofrecen en el mercado a través de este seguro son:

•        Cobertura gastos legales, que básicamente incluye los honorarios de abogados, peritos y las primas razonables y necesarias por cualquier póliza judicial o caución;

•        Cobertura gastos para cubrir la defensa ante procedimientos regulatorios

•        Cobertura para cubrir gastos de notificación a clientes sobre el incidente informático sufrido en los sistemas del asegurado (en los casos que así sea requerido legalmente).

•        Cobertura para gastos de expertos de relaciones públicas para la restitución de imagen del asegurado luego de un incidente

•        Cobertura para gastos de rescate ante un incidente de extorsión cibernética, (ej. Virus ramsomware)

•        Cobertura para la recuperación de datos perdidos por un incidente informático.

•        Cobertura de pérdida por interrupción del negocio, en general esta cobertura está limitada a un período de tiempo especificado en el texto de póliza.

•        Cobertura por reclamos a consecuencia de divulgación de información sensible (datos personales, información corporativa, etc.) de clientes del asegurado.

•        Cobertura de reclamos derivados de responsabilidad por fallas en la seguridad de la red informática del asegurado

•        Cobertura de reclamos por calumnias e injurias y derechos de autor en material publicado por el asegurado en la red.

Teniendo en cuenta todo lo antes expuesto, podemos concluir que las ciber-amenazas se multiplicarán exponencialmente en los próximos años, lo que nos obligará a estar listos para desarrollar nuevas estrategias de protección donde los seguros de Cyber resultarán de vital importancia.

Sólo se trata de estar preparados.

Esther
García Tagliaferri es Abogada (UBA) Financial Lines Manager Chubb Argentina