INNOVACIÓN | 21.02.2022
Ciberterrorismo y ciberguerra: cómo enfrentarse a estos enemigos invisibles
Un ataque cibernético respaldado por un Estado podría causar unas pérdidas demasiado grandes e inciertas para que el seguro las absorba solo.
Nuestras sociedades se encuentran inmersas en un proceso de cambio de profundas consecuencias: la transformación digital. A medida que compañías, Gobiernos y personas avanzan en esta transformación, sus actividades se trasladan al universo en línea. Es una evolución que se da en todos los ámbitos, y, al igual que una parte creciente de nuestro trabajo adopta otras formas, también lo hacen los riesgos, que se ven multiplicados porque a los tradicionales se suman los de naturaleza digital. De hecho, los ciberataques son ya una de las mayores amenazas a las que se enfrenta el sector asegurador.
A grandes rasgos, los principales riesgos en la red son:
- Cibercrimen: el más común. Engloba las actividades delictivas basadas en el abuso de las tecnologías e Internet. Cometido por organizaciones o individuos que suelen tener un objetivo económico.
- Ciberterrorismo: en este caso el ataque tiene objetivos políticos, ideológicos o religiosos, y busca ejercer influencia o generar miedo.
- Ciberguerra: actividades ofensivas y coercitivas que lleva a cabo un Estado con el objetivo de infligir un daño o ganar ventaja frente a otros países.
Si bien la ciberseguridad representa un reto mayúsculo para el seguro, lo son especialmente estas dos últimas formas, el terrorismo y la guerra digital. El daño potencial de ambas es enorme, pero en el caso de la guerra, es decir, los ataques respaldados por un Estado, alcanza un nivel incalculable. Uno de los principales problemas existentes es que la anterior división, que está clara sobre el papel, en la realidad es mucho más difusa. ¿Cómo se puede establecer quiénes son los responsables? ¿Cómo trabajar con ello y aportar soluciones desde el sector? ¿Cómo fijar unos límites en lo que puede cubrir el seguro y lo que resulta inasumible? La guerra es un riesgo que queda excluido de la mayoría de las pólizas, aunque esta política está empezando a adaptarse a los nuevos escenarios que abren los ataques cibernéticos.
Un suceso reciente pone de relieve la importancia de esta cuestión. En 2017, hubo un ciberataque masivo sobre Ucrania que afectó a empresas multinacionales, causándoles unas pérdidas millonarias que reclamaron a sus aseguradoras. La creencia más extendida era que la agresión había sido cometida por la inteligencia militar rusa, por lo que las compañías de seguros se acogieron a la exclusión de los actos de guerra. Pero los tribunales no están admitiendo este argumento, alegando que el concepto de guerra existente en los contratos se entiende como un conflicto armado tradicional. Las consecuencias de esta interpretación son descomunales: en el caso más sonado, una sentencia de enero establece el pago de 1.400 millones de dólares a una única empresa afectada por el ciberataque en Ucrania.
Ante la incertidumbre que genera este tema, la Asociación de Ginebra (GA), la organización que reúne a las principales aseguradoras y reaseguradoras del mundo, y el International Forum of Terrorism Risk (Re)Insurance Pools (IFTRIP), han publicado una serie de informes para aportar luz al respecto. Entre los expertos con los que cuentan estas organizaciones se encuentran Daniel Largacha, director del Global Security Center de MAPFRE, y Óscar Taboada, responsable de Ciberriesgos en MAPFRE RE.
Un nuevo concepto: “ciberactividad hostil”
El dilema de cómo abordar la “ambigua zona gris” entre los distintos tipos de ataques cibernéticos y su posible respaldo estatal es de tal complejidad que los profesionales del seguro ni siquiera se terminan de poner de acuerdo en cómo denominar y categorizar este terreno. Y este no es un debate estéril: la falta de definición al tratar este tipo de siniestros ya ha provocado costosos litigios, con el consiguiente daño reputacional para las aseguradoras involucradas pero sobre todo la pérdida de confianza en el sector. La solución que propone la GA es introducir el término “ciberactividad hostil” (HCA, por sus siglas en inglés), un concepto nuevo que permita cerrar el vacío existente en el mundo digital entre el terrorismo y los actos de guerra, estableciendo un punto de partida sobre el que trabajar.
La ciberactividad hostil (HCA) “se refiere generalmente, aunque no siempre, a los ataques encubiertos dirigidos a objetivos económicos o a desestabilizar la vida o la confianza públicas (incluyendo procesos democráticos), utilizando medios o detonantes cibernéticos, perpetrados generalmente desde otros Estados, ya sea directamente por ellos, en su nombre o con su apoyo práctico y/o estímulo moral”, según el informe.
Aunque es una definición amplia, el estudio es concreto en vaticinar cómo podría golpear un ataque de este tipo, que divide entre “destructivo” y “disruptivo”.
- Impacto destructivo: causa un daño físico. Podría tomar la forma de un ataque que, por ejemplo, apague los sistemas de enfriamiento de turbinas de gas (utilizadas en centrales de energía y transportes), abra las compuertas de contención de embalses o que cierre las válvulas de seguridad de las tuberías de canalización del agua.
- Impacto disruptivo: se centra en la inutilización de sistemas, servicios o infraestructura digital. Puede ir desde el bloqueo de redes de cajeros automáticos, robos de activos económicos y cuentas bancarias, o bloqueo de ordenadores y corrupción de datos en hospitales, servicios de emergencia o servicios públicos críticos, hasta ataques a la red eléctrica, que provoquen apagones o la interrupción de las cadenas de distribución de alimentos o combustible.
Buscando a los culpables
Una vez establecido el marco, llega el momento de la atribución del ataque, un proceso que, los expertos de la Asociación de Ginebra avisan, a menudo es “inherentemente difícil”. Para empezar, hay que distinguir entre los tres actores que pueden estar detrás: delincuentes, terroristas y Estados, teniendo en cuenta que solo un actor estatal tiene la capacidad de llevar a cabo un suceso de HCA. En la mayor parte de los casos, este es el punto crucial del que va a depender la categorización: si el perpetrador es una organización terrorista o un Estado. “La atribución y autoría constituyen los principales desafíos a solucionar a los que se enfrenta el sector asegurador, ya que para la resolución de muchos casos se necesitaría una rápida y transparente coordinación internacional, aspectos que a día de hoy no se dan ni se espera que se solucione en los próximos años”, afirma Daniel Largacha.
La distinta naturaleza de los dos ofrece una pista y supone al mismo tiempo un obstáculo. El terrorismo necesita la notoriedad, tiende a reivindicar sus ataques. Un actor estatal que actúa de manera encubierta, en cambio, no solo no tiene ningún incentivo para hacer pública su autoría, sino que intentará no dejar ningún rastro que pueda ser utilizado en la atribución del ataque.
El informe propone para los profesionales del seguro un esquema basado en distintos pasos a los que ir respondiendo con cuestiones más simples, que van desde las normativas de seguridad que tenga el país al respecto o si lleva a cabo una investigación efectiva, hasta la coordinación de los ataques o la participación de fuerzas oficiales como militares en los mismos. Este marco arroja como resultado una implicación de los Estados inexistente, baja, media o elevada en varios casos, como su actuación directa, su incitación o simplemente haber dejado las manos libres a los atacantes. No obstante, la Asociación de Ginebra advierte de que el éxito de esta metodología requiere de un mayor esfuerzo para unificar criterios a nivel internacional.
Pero para los propósitos del seguro, ya que la autoría de una agresión va a marcar si sus daños están incluidos en el contrato, e incluso la magnitud de la indemnización, los responsables en último término de establecer una autoría que no esté clara serán los tribunales. La atribución más fiable partirá de las investigaciones de policías, servicios secretos y empresas especializadas, que a menudo no son de dominio público. En este punto el informe es tajante: las aseguradoras solo pueden establecer un caso de ciberactividad hostil si la acusación es pública y contiene pruebas. También plantea dos supuestos a medio camino: que la atribución se haga pública pero sin pruebas, lo que “puede no ser suficiente para que el seguro lo use ante la Justicia”, o que la acusación la haga un país “no creíble”, cuando “es improbable que lo valide un tribunal, la aseguradora lo tiene que probar con evidencias”.
Soluciones desde el sector asegurador
Actualmente, los potenciales daños de la ciberactividad hostil están cubiertos de una manera limitada por la industria aseguradora. Pero la transformación de los riesgos y su evolución hacia la esfera digital hacen necesaria una mayor presencia de los seguros en este ámbito. Este crecimiento, sin embargo, no pueden impulsarlo únicamente las aseguradoras.
“Las posibles pérdidas causadas por el terrorismo cibernético o eventos HCA son demasiado grandes e inciertas para que el mercado de reaseguros las absorba solo”, afirma la asociación global del sector, que apunta a la colaboración público-privada (PPP, por sus siglas en inglés) como la posible solución. Mediante una alianza de este tipo el sector público absorbería parte de los riesgos cibernéticos “máximos”, de los que, tras haber expuesto algunos ejemplos como los apagones masivos o los ataques a centrales energéticas, cuesta imaginar su posible impacto económico.
Aunque la forma de esta colaboración podría variar en función de las distintas jurisdicciones, el estudio apunta a algunos ejemplos exitosos de PPP ya existentes en otros supuestos, como la firma alemana Extremus, que cubre daños por ataques terroristas hasta un límite, a partir del cual responde el país; la francesa Assuratome y su cobertura de accidentes nucleares; o el Consorcio de Compensación de Seguros en España con su respuesta a las catástrofes naturales.