Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTÍCULO DESTACADO
Imagen Los ciberseguros y la cláusula de exclusión ¿POR GUERRA? O ¿CIBERGUERRA?

Los ciberseguros y la cláusula de exclusión ¿POR GUERRA? O ¿CIBERGUERRA?

Miércoles 10 de Julio del 2019
Jeimy Cano

Con frecuencia se habla de los constantes ataques cibernéticos y los impactos que éstos tienen en las organizaciones y las naciones. En este escenario, las empresas han optado por adquirir protecciones de seguros especializados, denominados ciberseguros, los cuales buscan cubrir a las corporaciones ante eventos adversos que sobrepasan sus medidas de seguridad y control vigentes. 

En este contexto, las empresas adelantan evaluaciones y diagnósticos sobre las medidas actuales de protección, sus niveles de vulnerabilidad, así como los retos que implica moverse en un entorno cada vez más digital y tecnológicamente modificado. Un contrato de seguro cibernético, no busca cubrir a la empresa de su negligencia sobre la gestión de la seguridad de la información, sino contar con un amparo que le permita responder a un ataque o acción deliberada que se escapa a sus mejores estimaciones.

EFECTOS COLATERALES

Este tipo de contratos de seguros, si bien establece una serie de coberturas, también desarrolla una serie de exclusiones que deben ser revisadas en detalle por el tomador, como quiera que si se materializa un evento que pueda ser asociado con alguna de ellas, no se hará efectivo el pago o soporte por parte de las empresa de seguros. Luego de revisar algunas de las pólizas disponibles en el mercado, llama la atención una exclusión particular relacionada con daños colaterales por actos de guerra o en el contexto digital, ciberguerra, cuya aplicación se ha hecho recientemente en casos a nivel internacional.

La cláusula de exclusión mencionada versa como sigue: “En la que se alegue, se base en, surja de o sea atribuible a, guerra, invasión, actos de enemigo extranjero, terrorismo, hostilidades u operaciones similares de guerra (sea la guerra declarada o no), huelga, toma, motín, asonada, guerra civil, rebelión, revolución, insurrección, conmoción civil que asuma las proporciones o números de una revuelta, poder militar o usurpado […]”.

Bajo esta cláusula, se hace necesario comprender qué es un efecto colateral fruto de un ciberconflicto o ciberoperación atribuible a un gobierno extranjero o grupo de operaciones cibernéticas encubierto, con el fin de que acciones o eventos que se materialicen en este escenario, terminen siendo afectaciones para las organizaciones que queden excluidas del soporte del seguro como ha pasado recientemente en casos como el de Mondelez, propietario de docenas de conocidas marcas de alimentos como el chocolate Cadbury y el queso crema de Philadelphia, una de las cientos de empresas afectadas por el ataque cibernético NotPetya en 2017.

En el caso de Mondelez, así como de Merck, las organizaciones luego de la evaluación de los daños por caso de NotPetya solicitaron el pago de las correspondientes indemnizaciones a las aseguradoras, quienes se negaron a pagar lo pactado, invocando la cláusula de exclusión sobre “guerra”, o en este caso ciberguerra, como quiera que este ataque de NotPetya, se le ha atribuido a un ciberconflicto extranjero entre Rusia y Ucrania (Satariano & Perlroth, 2019). En un escenario de amenazas asimétricas, donde las organizaciones se encuentran en la mitad de un territorio de operaciones cibernéticas, las consecuencias pueden ser inciertas y los daños que se deriven de estas actividades aún no son posibles estimarlas o cuantificarlas.

Mientras continúan las reclamaciones en los tribunales internacionales por éstos y otros casos, resulta de interés tratar de comprender qué puede ser un efecto colateral de un ciberconflicto o ciberguerra, que pueda ser objeto de una exclusión, y cómo las organizaciones deben reconocer estas actividades para anticipar acciones concretas que les permitan tener una posición menos adversa frente al reclamo de sus daños en un entorno como el actual.

Antes de entrar en los detalles, es importante tener en cuenta algunas consideraciones necesarias para adelantar las reflexiones sobre esta temática:

• Los resultados de las operaciones cibernéticas pueden ser mucho más inciertos y la evidencia de si ha ocurrido algún daño puede no estar disponible.

• Los sistemas ciberfísicos son complejos e interdependientes.

• La noción de daño en el dominio cibernético no tiene una definición concreta en el contexto tradicional de los daños colaterales (Romanosky & Goldman, 2016).

CONSECUENCIAS DE LA DESINFORMACIÓN

Si entendemos que existen una serie de ciberconflictos a nivel internacional en curso, donde diferentes grupos al margen de las conversaciones y tratados globales, desarrollan ciberoperaciones con el fin de desestabilizar la realidad de las naciones, estamos presenciando la militarización del ciberespacio, como un nuevo teatro de operaciones, que los países usan para avanzar y tener acceso a información estratégica de sus adversarios y así crear una posición ciberestratégica de control y dominio sobre activos valiosos de las naciones (Cano, 2018).

Bajo este contexto, el daño colateral sólo puede surgir de una acción hostil violenta que cause daños físicos o materiales a un objetivo civil, por lo tanto, entrar a probar que los efectos de un ciberataque o ciberoperación, han afectado infraestructura de una organización (como parte civil) limita mucho los análisis sobre este particular, como quiera que aún persiste la discusión si un ciberataque puede ser considerado un acto de guerra y por otro, el reto de la atribución de dichas acciones a gobiernos específicos, establece otra discusión técnica y política que muchas veces termina en desinformación, como otra arma propia de los ciberconflictos (Romanosky & Goldman, 2016).

Para tratar de ilustrar un poco esta realidad, considere una vulnerabilidad que es explotada por un adversario, la cual es utilizada para instalar un archivo que causa que las instalaciones de la contraparte se sobrecarguen y se destruyan físicamente. En este caso, el método a través del cual se configura el ataque, es irrelevante para la discusión de la evaluación del daño y sólo la consecuencia es lo que resulta de interés para el análisis, y no los medios utilizados.

En este sentido, el caso de NotPetya, como una operación cibernética donde se despliega un código malicioso modificado, de un virus ya existente denominado Petya, que utilizando una técnica similar al ransomware de WannaCry para infectar computadoras, logra comprometer equipos de una misma red forzando una falsa actualización, muestra un proceso deliberado y concreto que busca no ganar dinero, sino desaparecer información de manera focalizada.

De acuerdo con un reciente artículo publicado en el New York Times sobre esta temática, en sólo 24 horas, NotPetya borró el 10% de todos los computadoras de Ucrania, paralizando redes en bancos, gasolineras, hospitales, aeropuertos, compañías eléctricas y casi todas las agencias gubernamentales, y cerrando los monitores de radiación de la antigua central nuclear de Chernóbil (Satariano & Perlroth, 2019).

Considerando lo anterior, los efectos que sufrieron las empresas como Merck, Mondelez, así como el conglomerado naviero danés Maersk, la filial europea de FedEx y la petrolera estatal de Rusia, Rosneft (Satariano & Perlroth, 2019), podrían no ser efectos colaterales de una operación cibernética, como quiera que, por un lado este tipo de ataques o afectaciones se pueden presentar por una inadecuada gestión de las vulnerabilidades de las organizaciones, así como por falta de la aplicación de parches de seguridad, los cuales estuvieron disponibles por los proveedores con la suficiente anticipación.

Por otra parte, si bien pueden existir elementos que apunten a un ciberconflicto no declarado entre Rusia y Ucrania, los efectos de las operaciones cibernéticas que buscan control, desestabilización y dominio de la contraparte, las empresas deberán probar que estaban en medio de dicho escenario, y por lo tanto, el ciberataque corresponde a una acción deliberada entre naciones o grupos clandestinos identificados y patrocinados por estados, que han terminado afectando la operación normal de las organizaciones, las cuales resultan como víctimas de una confrontación de “armas cibernéticas” no conocidas.

Comprender el daño como efectos directos de las acciones de las ciberoperaciones que se practican en el ciberespacio, implica desarrollar una visión holística de los acontecimientos que se presentan, tratando de conectar las diferentes tensiones geopolíticas, las actividades maliciosas, las vulnerabilidades disponibles de los sistemas, la gestión de la seguridad de las organizaciones, los intereses infopolíticos de las naciones y de sobremanera, la comprensión del fenómeno ciberfísico, donde la convergencia entre lo lógico y lo físico crea una zona de inestabilidad que aún se debe estudiar (Cano, 2018).

Así las cosas, los ciberseguros en la actualidad, con la cláusula de exclusión por “guerra” o “ciberguerra”, presentan una lectura incierta, como quiera que los daños colaterales que puedan ocurrir como resultado de operaciones cibernéticas, cada vez más tendrán efectos no previstos y consecuencias que no fueron visualizadas, en el momento que se configuraron las pólizas.

Ty Sagalow, ex director de Operaciones del gigante de AIG Seguros, afirma: “Las aseguradoras se arriesgan a abusar de la cláusula de ‘exclusión de la guerra’ al no pagar las reclamaciones, particularmente cuando un ataque ‘puede golpear a compañías que no eran el objetivo original de las ciberoperaciones’”.

Por tanto, cuando vaya a contratar un ciberseguro, piense realmente si está cubriendo las expectativas de cobertura de la organización, para que no se sorprenda en el momento de su reclamación si la compañía de seguros invoca la exclusión de “guerra” o “ciberguerra”. 

 

REFERENCIAS
- Cano, J. (2018) Cyberconflicts: Reflections and Implications for Today’s Enterprises. ISACA Journal. 4. Recuperado de: www.isaca.org/Journal/archives/2018/Volume-4/Pages/cyberconflicts-reflections-and-implications-for-todays-enterprises.aspx 
- Romanosky, S. & Goldman, Z. (2016) Cyber Collateral Damage. Procedia Computer Science, 95. 10-17. Doi: doi.org/10.1016/j.procs.2016.09.287 
- Satariano, A. & Perlroth, N. (2019) Big Companies Thought Insurance Covered a Cyberattack. They May Be Wrong. New York Times. Recuperado de: www.nytimes.com/2019/04/15/technology/cyberinsurance-notpetya-attack.html

NOTICIA
Imagen Arrestan a General por robo a Pemex

Arrestan a General por robo a Pemex

Viernes 19 de Julio del 2019
Reforma

La Fiscalía General de la República (FGR) aprehendió en Acapulco, Guerrero al General de Brigada en retiro Sócrates Alfredo Herrera Pegueros, quien fuera el número dos de la Subdirección de Salvaguarda Estratégica de Pemex, sólo por debajo del General Eduardo León Trauwitz

ARTÍCULO DESTACADO
Imagen CIBERSEGURIDAD PERSONAL, ¿quién es el enemigo más peligroso?

CIBERSEGURIDAD PERSONAL, ¿quién es el enemigo más peligroso?

Viernes 12 de Julio del 2019
David Chong Chong

La tecnología que antaño era de ciencia ficción, hoy se ha convertido en algo cotidiano. El reloj radioteléfono de Dick Tracy en las tiras cómicas de los años 30 del siglo pasado, hoy está en manos de casi todos, niños inclusive, con los teléfonos móviles. La tecnología no sólo ya está aquí, sino que se ha convertido en algo fundamental que nos da nuevas facilidades y comodidades de vida, pero también nuevas vulnerabilidades? y riesgos

Imagen hid USA
Imagen hid mexico


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar