La ciberseguridad es una de las principales preocupaciones dentro del sector financiero. Según un estudio de AIG Europe, se espera que los delitos informáticos vayan aumentando, en particular una vez que haya entrado en vigor las nuevas Normas Generales de Protección de Datos (RGDP) de la Unión Europea.
Tal y como refleja el último informe elaborado por AIG, 2017 fue un año récord al registrarse en doce meses tantas notificaciones de siniestros de ciberriesgos como en los cuatro años anteriores juntos, es decir, uno por día laborable.
El segundo dato que arroja este informe es que el 26% de los siniestros respondieron a la técnica del ransomware –bloqueo del dispositivo y sus datos a través de un virus, para recuperar la información se exige el pago de un rescate– como principal causa; en cambio, la violación de seguridad de datos por parte del hacerkers representaron el 12%, los fallos de seguridad y acceso no autorizados el 11% y el fraude de suplantación de identidad el 9%.
El dato positivo es que las reclamaciones causadas por negligencia de los empleados se redujo marginalmente al 7% en 2017, aunque el error humano sigue siendo un factor significativo.
Según explica Mark Camillo, director de cíber para EMEA (Europa, Oriente Medio y África) en AIG, “en 2017 vimos una serie de sofisticados ataques sistémicos de malware y ransomware, incluyendo WannaCry y NotPetya. La consiguiente interrupción de la actividad empresarial fue un problema importante para muchas organizaciones europeas; gran parte del impacto financiero fue una pérdida del estado de cuentas. Mientras que los pagos de rescate sólo generaron menos de 150.000 dólares, las pérdidas económicas totales asociadas con WannaCry se estiman en 8.000 millones de dólares, de los cuales 500 millones de dólares se atribuyen a los gastos directos y a la interrupción indirecta del negocio. La mayoría de estas pérdidas estaban insuficientemente aseguradas.”
En su opinión, la llegado del RGDP se convertirá en otra herramienta de negociación para los extorsionadores. “Estos amenazarán con comprometer los datos de una organización a menos que se reciba un pago, sabiendo que las consecuencias serán más importantes de acuerdo con la nueva normativa. Las empresas estarán más inclinadas a denunciar las infracciones, lo que conducirá a un mayor impacto en el volumen de siniestros de ciberriesgos. Esto se vio en los Estados Undios tras la entrada en vigor de las leyes de notificación de infracciones, donde casi todas las infracciones cibernéticas de alto perfil son objeto de al menos una demanda colectiva”.
Además, el estudio demuestra que ningún sector es inmune a los ciberataques. En 2017, los asegurados de ocho sectores que anteriormente no figuraban en las estadísticas de siniestros de ciberriesgos de AIG realizaron notificaciones de siniestros. Los servicios profesionales y financieros encabezaron la lista, con un aumento significativo en servicios profesionales de su proporción en el total de siniestros (hasta el 18% frente al 6% en 2013-2016).
Siniestros de ciberriesgos por sectores:
- Servicios profesionales 18%
- Servicios financieros 18%
- Comercio minoristas 12%
- Servicios empresariales 10%
- Fabricación 10%
“Se trata de una tendencia constante, en virtud de la cual cada año un mayor número de notificaciones proceden de una gama cada vez más amplia de sectores industriales y no sólo de los tradicionalmente asociados al riesgo cibernético. Esto se ve reflejado en los recientes ataques de ransomware que han sido indiscriminados con respecto a la industria a la que atacaron. Los servicios profesionales se han convertido aún más en un objetivo. Los abogados y contables con grandes bases de datos de clientes son atractivos para los ciberdelincuentes debido a la calidad de los datos que poseen, y son vulnerables a los ciberdelitos que se dirigen a transacciones financieras regulares», concluye Camillo.
