https://www.lanacion.com.ar – Suena como si el nombre se lo hubiese puesto un chico de siete años y se ve como un estudio de filmación. Albergado en un camión negro elegante, el Centro de Cibercomando X-Force de Operaciones Tácticas viaja de ciudad en ciudad, simulando la experiencia de caer víctima de un ciberataque. Hay filas de escritorios con monitores y teclados en un cuarto dominado por tres pantallas de video gigantes. Una sala de control aloja un equipo de servidores que permiten al personal de IBM simular una red corporativa y luego lanzarle todo tipo de ataques digitales.
Los adolescentes «entienden de inmediato lo que sucede», dice Caleb Barlow, que dirige el espectáculo. Los directores de grandes compañías también disfrutan de la visita: es muy diferente de lo que hacen habitualmente.
Pero su interés no es meramente recreativo. Las compañías están cada vez más preocupadas por las amenazas que acechan sus sistemas informáticos. Un estudio de 2018 de KPMG y Harvey Nach, una firma de cazatalentos, descubrió que solo un quinto de los jefes de IT creen que su firma está bien preparada para un ataque.
Esa percepción negativa se ve confirmada por hackeos de alto perfil. En noviembre pasado, Starwood, la cadena hotelera propiedad de Marriott International, informó que 500 millones de registros de clientes fueron robados. Magecart, un grupo de hackers, es el principal sospechoso del robo de información de las tarjetas de crédito de clientes de Ticketmaster, una firma estadounidense; Newegg, una cadena minorista de computadoras, y British Airways. En 2017, WannaCry y NotPetya, dos programas demalware, alteraron archivos en organizaciones de todo el mundo. Maersk, una firma de transporte danesa, dijo que sufrió costos de US$300 millones.
Los errores pueden ser tan dañinos como los ataques. En abril, el banco británico TSB implementó mal una actualización de sus computadoras y millones de clientes quedaron sin acceso a sus cuentas.
Tales desgracias están alimentando un mercado en rápido crecimiento de ciberseguros especializados. No hay cifras concretas, pero Munich Re, una reaseguradora, calcula que el mercado generó primas por US$4000 millones en 2018 y podría generar de US$8000 a US$9000 millones para 2020.
Rob Smart, de Mactavish, una firma que trabaja con grandes aseguradoras británicas, dice que «casi todos» los clientes de la firma han inquirido acerca de ciberseguros en el último par de años. Las aseguradoras corren a contratar los escasos especialistas. Dos exdirectores de GCHQ, la organización de espionaje electrónico de Gran Bretaña, han encontrado empleo como asesores del sector.
Donde más desarrollado está el mercado es en Estados Unidos, dice Robert Hannigan, uno de esos exjefes de GCHQ, en parte gracias a las leyes de California aprobadas en 2003, que obligan a las firmas a confesar cuando sufren grandes violaciones de datos. Estas leyes han sido copiadas por otros estados. Pero Europa se está poniendo a la par, dice Joseph Ahern, de la Asociación de Aseguradoras Británicas, en parte debido a leyes de privacidad y obligación de informar que ahora son más estrictas que las de EE.UU. La necesidad de un sistema de seguros robusto crecerá a medida que las empresas se vuelvan más dependientes de las computadoras, los hackers se vuelvan más astutos y los entes reguladores vean cada vez con peores ojos la falta de seguridad. Pero la naturaleza singular de los ciberriesgos los hace más difíciles de manejar para el sector del seguro. En el peor de los casos podrían hacer estallar el naciente mercado por completo.
Las pólizas que se ofrecen hasta ahora tienden a la vaguedad, dice Smart, y varían mucho en cuanto a los riesgos que cubren. Eso pone nerviosas a las compañías y algunos clientes grandes han decidido no comprar seguros. Sin duda, al madurar el sector, las pólizas se volverán más claras y estándar. Pero otros problemas son potencialmente más duraderos.
La dificultad para establecer quién es responsable de un hackeo en particular ya ha sido noticia. Mondelez, una compañía de alimentos estadounidense atacada por el malwareNotPetya, está demandando a Zurich, una gran firma aseguradora, por negarse a pagar bajo los términos de una póliza de seguros general. Zurich cita una cláusula de exclusión por pérdidas relacionadas con guerras, argumentando que se cree que el ataque con NotPetya provino de Rusia. Incluso un gobierno tecnológicamente sofisticado tendría dificultades para demostrar tal afirmación al nivel de lo requerido por una corte, dice Andrew Coburn de la consultora Risk Management Solutions. Pero si Zurich gana, puede congelar todo el mercado, a menos que las aseguradoras acepten que el ciberseguro puede involucrar hacerse cargo del tipo de riesgos que previamente buscaron evitar.
Al mismo tiempo, los riesgos de ciberseguridad son inherentemente difíciles de valuar. Todo software contiene problemas, algunos de los cuales causan debilidades en términos de seguridad. Pero muchos se mantienen ignotos hasta que un hacker comienza a explotarlos. Los ciberriesgos son tan nuevos que las aseguradoras solo tienen datos limitados y el ritmo del cambio tecnológico significa que lo que tienen pronto se vuelve viejo. «En una inundación conocemos los daños que puede causar el agua», dice Shannan Fort, de Aon, un bróker de seguros. «Y no es probable que eso cambie en los próximos cinco o diez años. Pero el modo en que usamos la tecnología ha cambiado fundamentalmente en la última década».
Quizás la mayor dificultad para las aseguradoras es que los riesgos de los ciberataques no son independientes entre sí. Si se inunda una refinería petrolera en Texas, eso no significa que sea más probable que suceda lo mismo en una en París. Las aseguradoras incorporan la independencia a sus modelos de riesgo y dependen de ella en sus cálculos del máximo que podrían tener que pagar en un año. Pero una falla recién encontrada en un software puede hacer que todos los usuarios sean vulnerables simultáneamente. A las aseguradoras les preocupa que un solo ataque pudiera afectar a muchos de sus clientes al mismo tiempo. En el peor de los casos, el valor de los reclamos podría ser más de lo que están en condiciones de cubrir.
El malware WannaCry de 2017 es ilustrativo. Aprovechando una vulnerabilidad de software robado a la Agencia Nacional de Seguridad, el equivalente estadounidense del GCHQ, infectó 250.000 computadoras en 150 países en pocos días. Solo un factor de suerte hizo más lenta su diseminación. Marcus Hutchins, un investigador de seguridad luego arrestado por un asunto no relacionado, logró el acceso al sistema de control delmalware, lo que le permitió desactivarlo. Es un interrogante abierto si el sector puede descubrir la manera de responder a tal «agregado de riesgo». Como dicen en el sector, «es como que quiebra el concepto mismo de seguro».