Newsletter subscribe

Destacados, Ecuador, Tecnología

#Tecnología #Ecuador El auge de los riesgos cibernéticos y cómo prevenirlos

Posted: 27 September, 2019 at 10:25 am   /   by   /   comments (0)
Contraloría General Noticias

El cibercrimen es uno de los delitos que más auge ha tomado en los últimos años. En el 2018, las
aseguradoras recibieron tantas reclamaciones por este tema como en los 3 años anteriores juntos,
es decir, casi un reclamo relacionado con un cibercrimen por día laboral.
Según el experto Andrés Báez, Gerente de Responsabilidad Civil y Líneas Financieras de AIGMetropolitana Cía. de Seguros y Reaseguros S.A., la diversidad y complejidad de los riesgos
cibernéticos es directamente proporcional al nivel de dificultad y sofisticación de las operaciones de
una compañía, lo que en la actualidad está generando un impacto sin precedentes.
El escenario actual de las vulnerabilidades informáticas en el Ecuador, no es diferente al del resto
de países de la región. Existe una creciente preocupación e interés por parte de las empresas, pero
también por parte de los entes reguladores. Si bien no tenemos una regulación tendiente a proteger
riesgos cibernéticos, es destacable la resolución de la Superintendencia de Bancos y Seguros en el
año 2012, con la cual se dispuso la contratación de pólizas de seguro que cubran a las entidades
financieras contra fraudes generados a través de su tecnología de la información.
El pasado 19 de septiembre, el Ministerio de Telecomunicaciones entregó el proyecto de Ley
Orgánica de Protección de Datos a la Asamblea Nacional, días después de que se conociera la
filtración masiva de datos sensibles de millones de ecuatorianos tras un informe de la empresa israelí
de ciberseguridad vpnMentor. Sin embargo, no existe aún una normativa que proteja directamente
los riesgos cibernéticos, lo cual es una necesidad inminente, pues cada vez se vuelve más
importante contar con herramientas técnicas, administrativas y físicas en el tratamiento y protección
de los datos, y promover una verdadera cultura referente a la protección de la información vulnerable
en las empresas.
1. Sobre los ataques cibernéticos más comunes y sus principales objetivos
● El ransomware es la principal causa de pérdidas en las reclamaciones de ciberriesgos,
debido a que, en la mayoría de los casos, genera la interrupción del negocio, lo que refleja
una mayor incidencia de estos ataques en todo el mundo. De hecho, el experto  informa que más de un cuarto de las reclamaciones de ciberriesgos (26%)  recibidas en el 2018 y atendidas por la compañía de seguros, señalan como la causa principal de
pérdida al ransomware. Este es un salto significativo versus un 16% de las reclamaciones
en los años 2014 a 2017.
● El ransomware es un delito cibernético en el cual los usuarios se ven impedidos de acceder
a sus datos o a sus archivos personales. Para liberarlo, el malware solicita un pago en
efectivo para poder devolverle al usuario el control de la información.
● Los servicios profesionales, financieros y el comercio minorista encabezan la lista de los
sectores con más reclamos en cuanto a ciberriesgos. No obstante, cada vez existen más
reclamos en otros sectores empresariales. “Esto indica que cualquier industria es vulnerable
a los ciberataques”, afirma Báez.
● Wannacry (un tipo de software malicioso) es otro de los delitos cibernéticos más comunes.
Este brote afectó a miles de dispositivos en todo el mundo. Si un investigador británico no lo
hubiera encontrado y activado el Kill Switch (interruptor de apagado de emergencia) este
delito habría sido el peor en términos de escala y pérdidas aseguradas.

● La violación de seguridad por parte de piratas informáticos, fallos de seguridad, accesos no
autorizados y fraude por suplantación de identidad son otros de los tipos principales de
cibercrimen. La negligencia de los empleados, con un 7%, también es un factor significativo
en la mayoría de reclamaciones por ciberriesgos.

Contraloría General Noticias

2. Sobre las vulnerabilidades y riesgos a los que están expuestas las empresas
● Servidores externos con acceso remoto combinado con contraseñas débiles: Esto
ofrece una oportunidad para la introducción de malware y ransomware.
● Falta de conocimiento del usuario que permite la piratería de contraseñas mediante
c: El usuario se involucra con el contenido de un correo electrónico de phishing y es
dirigido a una página de inicio de sesión falsa donde se recogen las credenciales abriendo
la cuenta de la víctima a los hackers.
● Protocolos de inicio de sesión débiles: El riesgo de phishing se elimina si se habilita la
autenticación de dos factores, lo que requiere un código secundario para el registro de la
cuenta. Como mínimo, esto debería adoptarse para los directivos y los socios, así como para
los empleados que participan en los pagos.
● Este tipo de vulnerabilidades pueden ocasionar varios riesgos a las compañías, entre los
que se destacan:
o Riesgos financieros y operacionales: se presentan por fallos en la red, podrían llegar
a suspender operaciones causando pérdidas. También se podría afectar el
patrimonio de la compañía en caso de ocurrir un fraude por parte de empleados o
terceros al acceder a cuentas o uso fraudulento de las mismas.
o Riesgo de reputación: éste es incuantificable, es decir que no importa cuán grande
sea la infracción de datos, la reputación de la empresa puede verse afectada y esto
se puede traducir en la pérdida de clientes. La afectación a la reputación de la
empresa tiene un mayor impacto cuando ésta no es capaz de demostrar todas las
medidas previas adoptadas para enfrentar un ciberataque y las acciones incurridas
inmediatamente después de conocido el ciberataque.
o Propiedad intelectual: vulneración de información privilegiada como por ejemplo
planes estratégicos, presupuestos o información confidencial del cliente.
o Riesgos legales o regulatorios: pueden existir investigaciones por el
quebrantamiento a la información de los clientes, lo cual puede acarrear multas o
procesos legales costosos.
3. Sobre los sectores empresariales y productivos más vulnerables
● Durante el 2018, ocho sectores que anteriormente no figuraban en las estadísticas de
siniestros de ciberriesgos realizaron notificaciones de ciberincidentes. Esto representa una
tendencia constante, pues cada año un mayor número de notificaciones proceden de una
gama cada vez más amplia de sectores industriales, como la energía y el transporte.
● Si bien los servicios financieros siguen siendo los principales denunciantes de este tipo de
siniestros, en el 2018 este sector representó un porcentaje más bajo en comparación al 23%
de los años 2014-2017.
● La naturaleza de los negocios financiero y asegurador, y el hecho de que en estos sectores
se recopilen y almacenen grandes cantidades de datos y estén sujetas a una estricta
regulación (y a multas potencialmente elevadas), ha supuesto que estas empresas requieran
un planteamiento sólido frente al riesgo cibernético.
● La reducción de la proporción de reclamaciones procedentes de las entidades financieras
podría reflejar simplemente el crecimiento constante de las reclamaciones de otros sectores,
como resultado del aumento del portafolio de pólizas de ciberriesgos.
● Otro de los blancos principales de los ciberataques suelen ser las áreas relacionadas a
servicios profesionales. Las bases de datos de estudios de abogados y contables son
atractivos para los ciberdelincuentes, debido a la calidad de los datos que poseen y son
vulnerables a los ciberdelitos que se dirigen a transacciones financieras irregulares.
Reclamaciones de ciberriesgos por sector recibidas por AIG a nivel mundial durante el 2018.
4. Sobre qué pueden hacer las empresas para estar prevenidas ante estas amenazas
● La tendencia indica que durante el 2019 y los próximos años, las empresas seguirán
viéndose afectadas por la mercantilización del ransomware. También se pronostica que,
para el final de año, haya un aumento en las pérdidas por violación de seguridad de datos.
“La extorsión cibernética tradicional y el fraude de suplantación de identidad se encuentran
en las tendencias a observar”, dice el experto de AIG Metropolitana.
● Se ha producido un cambio de actitud hacia los datos personales desde que se produjo el
escándalo de Cambridge Analytica y Facebook. Los expertos esperan que esto repercuta en
el tipo de reclamaciones recibidas en el 2019, pues los consumidores aceptan mucho menos
que en el pasado, que se violen sus datos personales.
● Ante ello, se requiere tomar medidas para proteger la información generada que pueda ser
vulnerable. Entre las medidas de protección existen: Antivirus; firewalls; políticas y
procedimientos frente a protección de datos; conocimiento del manejo de información por
parte de los empleados; contar con un método para encriptar o almacenar la información
confidencial para que esta no se exponga al riesgo de destrucción; realizar auditorías de
control interno para determinar el uso de la información, autorizaciones y acceso específico
para los empleados.
● Una parte importante de la gestión de riesgos dentro de una empresa incluye la cobertura
de una póliza de seguros frente a amenazas cibernéticas.
● Los seguros de riesgos cibernéticos amparan la responsabilidad de la institución por la
información personal o corporativa ante cualquier pérdida derivada de la violación de
seguridad. También amparan los gastos de defensa ante cualquier reclamo incluido en la
póliza. Este tipo de seguros cubren pérdida financiera derivada de:
o La responsabilidad por uso y tratamiento de información.
o La responsabilidad por la seguridad de datos.
o Las Inspecciones y procedimientos administrativos – investigación.
o La pérdida de datos electrónicos.
o La restitución de imagen del asegurado.
o La notificación y monitoreo.
o La extorsión cibernética
o La pérdida de beneficios por fallos de seguridad en las redes – interrupción de la
red.
● Pionera en el mercado ecuatoriano, la Póliza de Responsabilidad Civil para Riesgos
Cibernéticos de AIG-Metropolitana ofrece varios beneficios a sus clientes. Así por ejemplo,
al momento de existir una vulneración se provee asesoría en la respuesta para hacer frente
a un incidente de manera rápida y sistemáticamente. Por otro lado, los clientes tienen un
usuario y contraseña especial para hacer uso de una página web global de AIG que incluye
asistencia en iniciativas de cumplimiento, ayudas para educar a los empleados sobre
requerimientos legales y para capacitar al personal en protocolos de seguridad que ayudan
a prevenir errores humanos que podrían causar una infracción en el futuro. Finalmente, para
ciertas empresas ya está disponible un dispositivo que frena un ataque
bloqueando la comunicación bi-direccional a las “malas” direcciones IP conocidas,
manteniéndolas fuera de las redes de la compañía. Este dispositivo proporciona otra capa
crítica de defensa al plan de seguridad y gestión de riesgos de la compañía.

 

Fuente: Reclamaciones de ciberriesgos recibidos y atendidos por AIG a nivel mundial en el 2018.

Contraloría General Noticias