Seguros contra riesgos cibernéticos: el caso Capital One y 4 recomendaciones

3 minutos de lectura
Por León A. Martínez - julio 31, 2019    Media

hacker-2-kuZC--620x349@abc

La pregunta no es si sucederá o no; la pregunta es cuándo lo hará. Esta es la realidad que deben plantearse las empresas ante la posibilidad de ser víctimas de algún ciberdelito.

La inminencia de un ataque cibernético deriva de la naturaleza misma de aquello que los hace posibles: las nuevas tecnologías. La constante innovación y la creación de nuevas soluciones traen consigo sus propios riesgos. Es necesario que las empresas estén preparadas para enfrentar las vulneraciones, pero no todas son previsibles. Tómese el siguiente caso:

“La inteligencia artificial (IA), por ejemplo, presenta grandes ventajas para las compañías, pero es un medio por el que los delincuentes cibernéticos pueden encontrar un sinnúmero de ventanas para cometer intrusiones de alto impacto, lo que comprometería cualquier diseño débil o mal implementado”, se puede leer en el reporte Digital Trust 2019 Edición México de la consultora PwC.

El caso Capital One

Un caso concreto es el del banco estadounidense Capital One, que este lunes reportó una violación masiva de datos, luego de que una hacker robara los datos personales de más de 100 millones de clientes y solicitantes de sus tarjetas de crédito en posesión de la institución financiera.

La vulneración y robo de esta base se dio en la unidad cloud de Capital One, servicio que le era provisto por Amazon Web Services (AWS). Una ex empleada de AWS, llamada Paige Thompson, fue la perpetradora del ataque contra el banco.

Thompson accedió a información personal de los consumidores y de las pequeñas empresas que solicitaron tarjetas de crédito a Capital One entre 2005 y 2019, recopilando nombres, direcciones y números de teléfono, así como ingresos autorreportados, puntajes de crédito e historial de pagos, entre otros datos.

Tanto Amazon Web Services como Capital One han declarado que este ataque no se debió a una vulnerabilidad del alojamiento en la nube, sino a una configuración incorrecta de la aplicación web. Según la declaración de un portavoz de Amazon, el conocimiento que utilizó Thompson para obtener los archivos de Capital One era algo que cualquiera podía descubrir, y no era información que se hubiera obtenido trabajando en la empresa

"El perpetrador obtuvo acceso a través de una configuración incorrecta de la aplicación web y no de la infraestructura subyacente basada en la nube. Como explicó Capital One claramente en su comunicado, este tipo de vulnerabilidad no es específica de la nube", dijo un portavoz de Amazon a Associated Press.

En un comunicado sobre este hecho, Capital One adelantó un cálculo de afectaciones económicas por el incidente de entre 100 millones de dólares y 150 millones de dólares.

Para hacer frente a estos costos incrementales, el banco informó que cuenta con una póliza de seguro “para cubrir ciertos costos asociados con un evento de riesgo cibernético”, con un límite de cobertura total de 400 millones de dólares.

Ciberdelitos en México

En México, según McAfee, firma especializada en seguridad informática, el impacto económico de los ciberdelitos asciende a tres mil millones de dólares al año.

Casos como el de Capital One ponen en relieve la necesidad de que las empresas contraten un ciberseguro. Un seguro posibilita a las organizaciones amortizar o reparar las afectaciones financieras y otras, derivadas de los ataques informáticos.

Es necesario hacer hincapié en que los ciberseguros son sólo un complemento a los programas de seguridad de la información y ciberseguridad con los que deben contar las empresas.

4 recomendaciones de ciberseguros de la Condusef

Para decidir cuál de los seguros contra riesgos cibernéticos disponibles en el mercado es el más adecuado para la empresa, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) tiene a disposición el Catálogo Nacional de Productos y Servicios Financieros, portal en el que se puede consultar, entre otros productos, este tipo de pólizas.

La Condusef ofrece también una selección de cuatro opciones de seguros contra ciber-riesgos. Aquí las empresas, las pólizas que ofrecen y una breve descripción de estas:

Chubb Seguros

Producto: Responsabilidad civil para riesgos cibernéticos

La póliza cubre posibles problemas de privacidad de la información, así como daños y gastos por ciber extorsión. Paga las pérdidas por interrupción del negocio, pérdida de activos digitales y otros.

Chubb Seguros

Producto: Seguro de responsabilidad civil profesional para servicios de tecnología

El seguro ampara los errores y omisiones en la prestación de servicios de tecnología e internet que brinda la compañía. Aplica para medios electrónicos, falla de seguridad de la red, privacidad, fuga de datos y servicios profesionales.

AIG Seguros México

Producto: Cyber Edgde

Este seguro está diseñado para hacer frente a las consecuencias financieras derivadas de la protección, uso y manejo de los datos personales, datos corporativos y pérdida de los mismos.

Grupo Nacional Provincial (GNP) Seguros

Producto: CiberSafe

La póliza cubre a las empresas y/o personas físicas que con motivo de su actividad profesional tengan en su poder datos electrónicos y que, por robo, pérdida, comunicación y/o divulgación no autorizada de los mismos causen daños a terceros, daños a su propia operación o sean sujetos de multas por parte de la autoridad.

* * *

Con todo, y como muestra el caso de Capital One, las secuelas más perniciosas de un ciberataque contra una empresa son las que afectan su reputación, y en el caso de las instituciones financieras, la confianza de sus clientes.

¿Tienes un proyecto? ¡Visita nuestra sección
 

Escrito por León A. Martínez