Por Edwin Weijdema, Field CTO & Lead Cybersecurity Technologist en Veeam
Edwin Weijdema
| 19 sep 2024
La amenaza que suponen los ciberataques no es algo nuevo, pero el ransomware está demostrando ser mucho más efectivo para generar ingresos que nunca. Esto ha llevado a las empresas a buscar seguros que les ofrezcan cierta protección contra el fuerte impacto financiero de estos ataques. A medida que la demanda ha crecido a niveles sin precedentes, este espacio se ha vuelto altamente volátil. Las primas están subiendo, hay más reglas sobre lo que está y no está cubierto, y se han introducido estándares mínimos para las empresas que desean estar aseguradas. Esto podría sonar como un hándicap para las empresas, pero muchas deberían ver estos desarrollos como algo positivo.
A veces, las personas piensan en la ciberseguridad como un concepto misterioso y sombrío. La realidad es que los mundos físico y digital son mucho más similares de lo que la gente cree. Hace treinta años, las empresas que buscaban proteger sus activos críticos pensaban primero en los seguros contra incendios y robos. Hoy en día, los riesgos son más digitales. Según el Informe de Tendencias de Protección de Datos 2024 de Veeam, tres de cada cuatro organizaciones sufrieron al menos un ataque de ransomware en el último año, y una de esas cuatro organizaciones fue atacada más de cuatro veces durante ese período.
No es de extrañar que los ciberseguros se hayan convertido en una opción cada vez más popular para muchas organizaciones, y se prevé que crezcan un 24%, convirtiéndose en una industria de 84.620 millones de dólares para 2030. Sin embargo, a medida que más empresas adquieren y reclaman seguros, su coste también ha aumentado constantemente, con primas que han subido en los últimos tres años. Este no ha sido el único cambio implementado por las aseguradoras para mantener la protección cibernética rentable: evaluaciones de riesgo más significativas, la introducción de estándares mínimos de seguridad y la reducción de la cobertura se han vuelto comunes en los últimos años.
El ciberseguro se ha vuelto un tema controvertido últimamente, y esto se debe principalmente a la pregunta del millón con respecto al ransomware: ¿pagar o no pagar? Aunque muchos refutan la idea de que las empresas aseguradas son más propensas a pagar rescates, un informe de 2023 sobre las víctimas encontró que el 77% de los rescates fueron pagados por el seguro.
Sin embargo, muchas aseguradoras están tratando de poner fin a esto. El mismo informe concluyó que para el 21% de las organizaciones, el ransomware ahora está explícitamente excluido de sus pólizas. También hemos visto a otras aseguradoras excluir específicamente los pagos de rescates de sus pólizas: cubrirán el coste del tiempo de inactividad y los daños, pero no los gastos de extorsión.
En mi opinión, este último enfoque es el mejor. Pagar rescates no es una buena idea y no es para lo que debería utilizarse el seguro. No es solo una cuestión de ética y de alimentar más delitos, sino también el hecho de que pagar el rescate no resuelve inmediatamente el problema, y a menudo crea otros nuevos. En primer lugar, las organizaciones de ransomware ‘marcarán’ a las empresas que pagan para poder volver a por más o compartir esta información con otras organizaciones.
Un estudio halló que el 80% de las empresas que pagaron un rescate fueron atacadas por segunda vez. Pero incluso antes de llegar a este punto, recuperarse mediante el pago del rescate rara vez es sencillo. Recuperarse con las claves de descifrado proporcionadas por los atacantes lleva mucho tiempo; esto suele ser intencional, ya que algunos grupos cobrarán por clave para acelerar el proceso.
Esto solo si el descifrado siquiera funciona: una de cada cinco empresas paga rescates y no logra recuperar sus datos.
Afortunadamente, el pago de rescates con dinero del seguro está desapareciendo lentamente. Pero eso no es lo único que ha cambiado. Las empresas que necesitan ciberseguros deberán cumplir con estándares mínimos de seguridad y resistencia contra el ransomware. Esto puede incluir el uso de copias de seguridad cifradas e inmutables y la implementación de principios de protección de datos de mejores prácticas, como el principio de menor privilegio (solo dar acceso a quienes lo necesitan) o el principio de cuatro ojos (requiriendo que dos personas aprueben cambios o solicitudes significativas).
Algunas pólizas también exigen que las empresas tengan planes sólidos para garantizar la disponibilidad del sistema, incluidos procesos bien definidos de recuperación ante desastres para prevenir el tiempo de inactividad a causa de un ataque de ransomware. Después de todo, cuanto más tiempo esté inactiva una empresa, mayor será el coste del tiempo de inactividad y, con él, el de la reclamación del seguro.
Las empresas deberían tener todas estas medidas implementadas de todos modos. Si solo existe el seguro junto a procesos débiles de protección y recuperación de datos, los pagos del seguro sólo cubrirán las grietas. La introducción de estándares mínimos es una buena noticia para las empresas.
No solo reducirá el coste de las primas a largo plazo, sino que los principios de seguridad que dictan serán más valiosos para las empresas que el propio seguro. El ciberseguro no es una solución mágica, pero puede ser un elemento beneficioso dentro de una estrategia de ciberresiliencia más amplia. Es bueno tener ambos, pero si solo pudieras tener uno, la resiliencia sería siempre la mejor elección. Afortunadamente, las aseguradoras están de acuerdo, ya que cubrir las empresas no protegidas se está volviendo poco rentable.
Por eso Veeam lanzó recientemente su Cyber Secure Program. Aunque incluye protección financiera de hasta 5 millones de dólares en gastos de recuperación de datos, lo más importante es que incluye un soporte de incorporación en siete fases para asegurar que se sigan las mejores prácticas y que las soluciones se implementen con los más altos estándares de seguridad. Esto, junto con un equipo SWAT de recuperación de ransomware disponible las 24 horas para asegurar una respuesta y recuperación sin problemas, significa que es muy poco probable que las empresas necesiten usar el seguro financiero. Pero está ahí, solo para su tranquilidad.
El ciberseguro, especialmente en torno al ransomware, está evolucionando hacia un mundo donde las empresas aseguradas tienen una fuerte ciberresiliencia, planes bien definidos de recuperación ante desastres y solo utilizan el seguro para mitigar el impacto de los ataques y el coste del tiempo de inactividad mientras se recuperan mediante copias de seguridad inmutables. Este es un mundo mucho más resistente al ransomware que aquel donde las empresas simplemente tiran dinero del seguro.