Francisco Perez Bes.

Opinión

Ransomware y ciberseguros: pagar o no pagar

Socio de derecho digital en Ecix Group y mentor de la National Cyberleague GC.

Guardar

Las empresas están claramente aseguradas contra ciberataques por debajo de sus necesidades reales.
Las empresas están claramente aseguradas contra ciberataques por debajo de sus necesidades reales.

Francia está debatiendo un proyecto de ley, en el que se propone obligar a las compañías de seguro al pago a las empresas aseguradas de la compensación derivada de los ciberrescates por ransomware, con la condición de que la víctima presente una denuncia policial en un plazo de 48 horas.

Este debate, ya planteado a principios de 2021, recoge, de un lado, la postura favorable a esta medida, la cual se basa en el argumento de que refleja jurídicamente la realidad de una situación en la que cuando una empresa ciberatacada por un ransomware acepta pagar la extorsión de los cibercriminales, la compañía aseguradora activaba la póliza de ciberseguro y hace frente a la restitución de dichas cantidades en concepto de “gastos de gestión del incidente”. De otro lado, la postura contraria (más cercana a la política aplicada en Estados Unidos) argumenta que es no sólo es necesario prohibir el pago de rescates, sino que hay que sancionar a las empresas que incumplan esta prohibición, disuadiéndolas de que realicen un pago con el que se financia a la industria del cibercrimen y se fomenta el desarrollo de nuevas amenazas criminales.

La tramitación de dicha iniciativa todavía se encuentra en una fase muy incipiente. En efecto, el proyecto de ley aún debe ser discutido en el Parlamento (a partir de octubre de 2022), tras lo cual se abrirá un periodo de enmiendas y, posteriormente, se procedería, en su caso, a su votación.

Esta medida parece haber sido bien recibida por el sector asegurador francés, cuyo mercado ascendió a 219 millones de euros, según France Assureurs (la asociación que representa a las compañías de seguro francesas). Los datos publicados revelan un aumento del precio de las primas del 52% en el último año, consecuencia de los altos costes de recuperación e indemnización en este tipo de incidentes, lo que en la actualidad supone que las cuotas del ciberseguro se hayan convertido, muchas veces, en inasumibles para una organización mediana.

Tal situación ha provocado que el ciberriesgo solo suponga el 3% de las cotizaciones por el seguro de daños contratado por los profesionales franceses, por lo que es fácil concluir que las empresas están claramente aseguradas contra ciberataques por debajo de sus necesidades reales y que las aseguradoras están perdiendo dinero con la cobertura de este riesgo. En Francia, por ejemplo, aunque el volumen de primas aumentó un 49% en 2020 (a 130 millones de euros), el importe de las indemnizaciones pagadas se multiplicó por 3 (a 217 millones de euros en 2020).

Sin embargo, el sector de la ciberseguridad no comparte la postura francesa, argumentando que esta solución fortalece a los ciberdelincuentes y no resuelve los problemas de ciberseguridad de las víctimas. Además de que, por la propia mecánica del ransomware y de la complejidad de su gestión (incluso en el caso de que se disponga de copias de seguridad), suele ser habitual que la misma empresa que ha accedido al pago del rescate vuelva a ser víctima de otro ciberataque al cabo de unos pocos meses.

En cuanto al asunto del requisito de interponer una denuncia, a principios de 2022 la Gendarmeria francesa declaró en el periódico La Tribune que la policía recibió solo una denuncia cada 267 ciberataques exitosos de ransomware, a pesar de que pueden proporcionar una ayuda esencial en la gestión del incidente, y recabar información fundamental para poder conocer la mecánica utilizada por los ciberdelincuentes, lo que puede servir para alertar a otras empresas de la existencia de ese mismo riesgo y lograr evitar que otras organizaciones se vean afectadas por ese mismo proceder. No en vano la obtención de inteligencia y el intercambio de información son dos de los pilares fundamentales en la lucha contra la ciberdelincuencia, tal y como recoge la estrategia europea de ciberseguridad, entre otras.

Además, también el plazo de las 48 horas es controvertido, pues los profesionales de la ciberseguridad cuestionan que durante ese plazo la empresa actúe de forma autónoma, lo que puede provocar la pérdida de las evidencias electrónicas y dificultar enormemente, si no impedir, una eficaz investigación policial y judicial.

España no ha sido ajena a este debate, donde los datos estadísticos sobre las empresas que pagan el rescate oscilan entre el 40% y el 64%. Sin embargo, las recomendaciones oficiales desaconsejan cualquier tipo de pago de rescate, y apoyarse en el CERT de referencia para la gestión y denuncia del incidente. Los argumentos son claros, según el INCIBE:

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de delincuentes.
  • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
  • Puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los ciberdelincuentes.

Todo ello sin perjuicio de que el pago del rescate pueda ser considerado como un acto contrario a la ley de prevención del blanqueo de capitales y financiación del terrorismo que pueda suponer, para la empresa afectada, una responsabilidad penal de la propia organización y de sus administradores y directivos.

No cabe duda de que si la iniciativa francesa tiene éxito en su tramitación, supondrá un desalineamiento claro con respecto a la postura mantenida hasta ahora por Europa frente al cibercrimen, y en particular frente a la nueva Directiva NIS2, todo ello sin perjuicio del impacto que, en la práctica, pueda tener con respecto a la evolución de los ciberseguros y sobre la propia regulación nacional de los distintos estados miembros.