El ransomware lleva tiempo convirtiéndose, sin duda, en una de las grandes amenazas tanto para las compañías en todo tipo de industrias, como para las aseguradoras, lo que está llevando a un fuerte incremento de las tarifas para poder hacer frente a ataques cada vez más serios y frecuentes.
A la persecución policial de algunos grupos relacionados con el aumento de la actividad delictiva, que ha llevado a que se fragmenten en pequeños grupos más difíciles de perseguir, se une la continua evolución de las herramientas y la tendencia cada vez más significativa hacia el trabajo distribuido, que eleva la frecuencia de ataques relacionados con las credenciales de los trabajadores.
El problema, fundamentalmente, está en la falta de desarrollo de una cultura de seguridad en las compañías, que siguen en muchos casos imponiendo a sus trabajadores procedimientos absurdos y contraproducentes de seguridad mal entendida o asentada en mitos como el del cambio frecuente de contraseña: si pides a tus trabajadores que cambien su contraseña cada poco tiempo y que utilicen una muy sólida y, por tanto, difícil de recordar, lo que estás haciendo en la gran mayoría de los casos no es mejorar tu seguridad, sino empeorarla dando lugar a nuevas vulnerabilidades. Un reenfoque de esos procedimientos hacia el uso de gestores de contraseñas, añadiendo además autenticación de segundo factor mediante aplicaciones que, en muchos casos, se integran con esos propios gestores tiene muchísimo más sentido, y permite no solo a los trabajadores operar en un entorno menos farragoso, sino también dificultar los ataques.
Por supuesto, a este tipo de herramientas hay que añadir el factor humano: la formación en buenas prácticas de ciberseguridad es cada vez más esencial en las organizaciones, y se convierte en uno de los elementos más sólidos de defensa. La mayoría de los ataques de ransomware tienen su origen en algún tipo de vulnerabilidad vinculada a la actuación de un trabajador y explotada mediante procedimientos de hacking social. Pero obviamente, poco puede hacerse si la dirección de las compañías sigue, en muchos casos, utilizando ellos mismos contraseñas absurdas que no ofrecen ni el más mínimo nivel de protección. Se calcula que en torno al 88% de las compañías que sufren un ataque de ransomware tratarían de solucionarlo pagando el rescate correspondiente, algo que por un lado incrementa el incentivo para los delincuentes y, por otro, nunca supone ningún tipo de garantía.
El conjunto de malas prácticas en este ámbito de una compañía constituye la llamada «deuda de ciberseguridad«, que incide de manera muy directa sobre su probabilidad de sufrir un ataque de este tipo. Un factor que puede ser evaluado de manera relativamente sencilla en una auditoría por parte de una aseguradora, y que debería convertirse en el factor fundamental a la hora de calcular el importe de la póliza que exigen a sus clientes. Asegurar un riesgo cuando la propia compañía que aseguras está llena de agujeros, de directivos o empleados ignorantes e irresponsables, y de malas prácticas en ciberseguridad es simplemente cruzarse de brazos y esperar una pérdida económica significativa.
¿Pueden las aseguradoras convertirse en un factor fundamental a la hora de obligar a mejores prácticas y al desarrollo de una cultura de ciberseguridad en las compañías? Dotarse de buenos indicadores y de procedimientos adecuados para llevar a cabo una auditoría previa a la firma del contrato, o incluso hacer uso de compañías de white hat hacking para determinar el nivel de riesgo esperado es algo que, sin duda, deberían plantearse, en lugar de simplemente firmar contratos e ir elevando las primas a medida que se incrementa la frecuencia de este tipo de ataques. Las aseguradoras pueden convertirse en un factor importante… pero primero, por supuesto, deberán dotarse ellas mismas de ese tipo de experiencia y expertise.
This article is also available in English on my Medium page, «How insurers could help beat ransomware criminals«