El conocido como ransomware (o secuestro de información de una empresa a cambio de un rescate) es uno de los principales temores de los Comités de Dirección y los Consejos de Administración de las empresas durante 2020, y no parece que vaya a dejar de serlo durante 2021. La propia Agencia Española de Protección de Datos, en su memoria de actividad ha calificado a este riesgo como una de las principales amenazas a los derechos de los ciudadanos, al poner en peligro la accesibilidad y confidencialidad de información personal que custodian las empresas.
«La ausencia de protección adecuada hace que la información financiera, contable y comercial de la empresa, pueda perderse para siempre. Pero puede evitarse realizando copias de seguridad periódicas», destaca Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad de España (Incibe) y actual socio de Derecho digital en Ecix Group, despacho especializado en la gestión de ciberataques.
Dos de las cuestiones que más debate han suscitado son las que se refieren a si las empresas deben pagar el rescate exigido por los cibercriminales, y si el pago de ese rescate puede cubrirse a través de una póliza de seguro.
En cuanto a la primera cuestión, un reciente informe de la empresa Kaspersky muestra que casi tres de cada cuatro empresas que aceden a pagar el chantaje no recupera la información. En cuanto al perfil de víctimas, son los directivos más jóvenes (entre 35 y 44 años) los más proclives a pagar, mientras que los mayores de 55 años son los que menos.
Antes de tomar una decisión, el empresario extorsionado no debe olvidar que con el pago de este rescate se puede estar financiando un negocio ilegal de organizaciones criminales que, de un lado, se convierte en cada vez más rentable gracias a esa financiación y, por lo tanto, se sigue perpetuando; y, de otro lado, que el pago ni garantiza el descifrado de la información ni asegura que no vuelvan a atacar a la misma empresa, a la vista de su disposición a acceder a los chantajes. De hecho, en muchas ocasiones los ficheros que te devuelven están infectados con otros tipos de malware, que en pocos días vuelve a dejar a tu empresa inoperativa, o te amenazan con publicar la información a la que han accedido, explica Pérez Bes.
Derivado de lo anterior, el debate jurídico se centra en si la empresa que accede a pagar un ransomware puede ser acusada de cometer un delito, como el de colaboración con banda u organización criminal o el de sufragar a organizaciones dedicadas al blanqueo de capitales y a la financiación del terrorismo. De considerarse tal extremo, esto podría derivar en una exigencia de responsabilidad -incluso penal- a los administradores de las empresas que acceden al pago.
De otro lado, y ante la pregunta de si este tipo de incidentes de ransomware pueden cubrirse a través de una eventual póliza aseguradora, hasta la fecha la contratación de este tipo de pólizas ha venido siendo una solución recomendada, de cara a la gestión de los ciberriesgos a los que se enfrenta cualquier organización. Para las compañías, la contratación de este tipo de pólizas se ha multiplicado estos últimos meses, ya que muchas de ellas cubren el pago del rescate, incluso cubriendo los costes de servicios de negociación con los ciberdelincuentes, al considerarlos costes intrínsecos al incidente.
Sin embargo, a la vista de los altos costes que suponen para ellas dado el incremento de este tipo de incidentes, algunas compañías ya han anunciado que van a excluir de sus pólizas este tipo de siniestros. El último caso ha sido el de AXA, que ha tomado la decisión de no ofrecer cobertura aseguradora a este tipo de pagos por parte de sus clientes en Francia, que se ha convertido en el segundo país del mundo con mayor impacto por este tipo de ataques (sólo superado por Estados Unidos, según señala la firma Emsisoft), con unas pérdidas globales aproximadas de más de cinco mil quinientos millones de Euros.
En España, y con independencia de lo relativo al pago del ransomware, se recomienda la contratación de una póliza de seguro adecuada, pues ello sirve para que las empresas fomenten la implantación de procedimientos y medidas internas que les ayuden a gestionar los ciberriesgos que amenazan su continuidad de negocio, y se hallen en una mejor posición cuando llegue el momento de enfrentarse a un incidente de seguridad.
NO DUDE EN CONTRATAR NUESTROS SERVICIO, ESTAMOS PARA AYUDAR.