¿SEGUIRÁN LOS CIBERSEGUROS CUBRIENDO LOS IMPUESTOS POR ATAQUES DE RANSOMWARE?

Colonial Pipeline, el mayor oleoducto de combustible de EE. UU., fue víctima de un ataque de ransomware hace unas semanas, por el cual finalmente pagó 4,4 millones de dólares a sus atacantes. Si bien la empresa contaba con un seguro cibernético a través de la correduría Aon y Lloyd's de Londres, se desconoce si recurrió a su póliza para pagar el rescate. Además, ayer mismo, JBS, el mayor proveedor de carne del mundo, se convirtió en la última víctima de un ataque de ransomware. Estos recientes ataques de gran repercusión han puesto de manifiesto la disrupción y el riesgo que el ransomware puede generar incluso para las empresas más sofisticadas.

Cuando se contrata adecuadamente, el ciberseguro puede ofrecer protección a las empresas afectadas por un ataque de ransomware. Sin embargo, el impacto financiero de estos ataques va mucho más allá del pago del rescate. La interrupción de la actividad empresarial, la pérdida de ingresos, la posible exposición de datos confidenciales y la consiguiente responsabilidad civil frente a terceros, la necesidad de servicios de restauración y las negociaciones con las compañías de rescate pueden formar parte de una reclamación por un ataque de ransomware.

En los últimos años, muchas víctimas de ataques de ransomware han recurrido a los ciberseguros para cubrir el pago del rescate o los costes derivados de la recuperación. A continuación, algunos ejemplos:

• En junio de 2019, la ciudad de Riviera Beach, Florida, fue víctima de un ataque de ransomware en el que el consejo municipal autorizó a la aseguradora de la ciudad a pagar un rescate de 600.000 dólares después de que se congelaran datos cruciales y se desconectaran los sistemas que controlaban las finanzas y los servicios públicos de la ciudad.

• Ese mismo mes, la ciudad de Lake City, Florida, pagó a los atacantes de ransomware casi 500.000 dólares, cantidad que, según anunció la ciudad, estaría cubierta en su mayor parte por el seguro.

• En agosto de 2020, la Universidad de Utah pagó un rescate de 457.000 dólares, en colaboración con su proveedor de seguros cibernéticos, después de que un ataque tuviera como objetivo los servidores de la universidad.

Y si bien las víctimas de ransomware dependen cada vez más de sus proveedores de ciberseguros para pagar el rescate cuando sufren un ataque, los expertos en seguridad y seguros advierten que este enfoque puede volverse problemático rápidamente.

El aumento de los ataques de ransomware provoca que las aseguradoras suspendan la cobertura.

El año pasado, en Estados Unidos, se registraron ataques de ransomware contra más de 100 agencias federales, estatales y municipales, 500 centros de salud, 1680 instituciones educativas e innumerables empresas, según un informe de Emsisoft, una empresa de ciberseguridad. De hecho, el aumento de los ataques de ransomware y el uso de ciberseguros para pagar rescates está provocando que algunas aseguradoras se retiren del sector de los ciberseguros.

AXA, una de las mayores aseguradoras de Europa, anunció recientemente la suspensión de la cobertura en Francia para los pagos de extorsión por ransomware. Esta medida refleja la creciente preocupación mundial de que la cobertura de los seguros para los pagos de rescate esté agravando el problema actual del ransomware. Si bien aún es pronto para afirmarlo con certeza, es posible que otras aseguradoras sigan el ejemplo de AXA y suspendan la cobertura para los ataques de ransomware o limiten la cobertura para este tipo de pagos.

¿Qué puedes hacer?

A corto plazo, cabe esperar que las aseguradoras exijan ciertos estándares de seguridad como requisito previo para obtener cobertura. También es razonable prever que, en última instancia, el sector asegurador adoptará requisitos básicos de seguridad como estándar para los ciberseguros. Mientras tanto, las empresas deberían implementar una estrategia proactiva para minimizar el riesgo de un ataque exitoso, junto con un plan de respuesta ante incidentes bien ensayado para maximizar la capacidad de recuperación de la organización.

Para cualquier empresa, garantizar una protección adecuada y estar preparada para responder a un ataque de ransomware puede ser una tarea titánica. Los bufetes de abogados externos especializados en derecho empresarial y cobertura de seguros pueden ser de gran ayuda para implementar las estrategias mencionadas, mitigar el riesgo y, de ser necesario, asistir en la respuesta a un ataque de ransomware. Si necesita ayuda para revisar su póliza de ciberseguros o implementar las estrategias mencionadas, le recomiendo encarecidamente que consulte con un abogado con experiencia en derecho empresarial o cobertura de seguros.

Rick Duarte es el propietario de The Duarte Firm, PA, donde centra su práctica en el derecho mercantil. Se graduó en Derecho por la Facultad de Derecho de la Universidad de Emory y fue reconocido como una "Estrella Emergente" en Litigios Mercantiles por Florida Super Lawyers de 2016 a 2021. Rick también presta servicios de asesoría jurídica general a empresas emergentes y medianas, guiando a sus clientes en temas de gobierno corporativo, gestión de riesgos y decisiones estratégicas en la intersección entre los negocios y el derecho.