Skip to main content

Reporte

Ransomware: Un desafío permanente en siniestros de ciberseguros

Puntos clave

Comprender las tendencias de reclamos cibernéticos ayuda a informar una estrategia efectiva de gestión de riesgos para uno de los peligros más destacados en la sociedad impulsada por la tecnología de hoy en día. El análisis de los más de 1.800 reclamos cibernéticos presentados a Marsh en los Estados Unidos y Canadá en 2023 revela las siguientes características comunes:

  • El 21% de los clientes que compraron una póliza cibernética informaron un evento en 2023, lo que es consistente con el porcentaje de los últimos cinco años.
  • En 2023, los eventos fueron impulsados por factores que incluyen el aumento de la sofisticación de los ciberataques comol evento MOVEit que destaca las vulnerabilidades de la cadena de suministro y las reclamaciones por violación de privacidad.
  • El cuidado de la salud, las comunicaciones, la venta al por menor y al pormayor, las instituciones financieras y la educación siguen siendo los cinco sectores industriales más afectados.
  • El ransomware representó menos del 20% de las reclamaciones reportadas, pero sigue siendo una preocupación importante para las organizaciones debido a su frecuencia, sofisticación y potencial gravedad.
  • En la gestión de reclamaciones, es importante seguir los procedimientos adecuados, incluyendo la notificación a aseguradoras, corredores y otros interesados, así como mantener una documentación adecuada y actualizada.
  • La estrategia de resiliencia cibernética de las organizaciones debe incorporar una visión del riesgo cibernético en toda la empresa, incluyendo su posible impacto económico y operativo, y teniendo en cuenta la ciberseguridad en proveedores y otros terceros.

Introducción

Con el riesgo cibernético firmemente establecido como una preocupación clave para organizaciones de todos los tamaños, la transferencia efectiva de riesgos es una pieza cada vez más importante de una estrategia exitosa de gestión de riesgos cibernéticos. A su vez, es importante que las empresas comprendan y manejen adecuadamente sus posibles reclamos cibernéticos en apoyo de la transferencia de riesgos.

En 2023, los clientes de Marsh en EE. UU. y Canadá informaron más de 1.800 reclamos cibernéticos, más que en cualquier año anterior. Estos incluyen reclamos bajo errores y omisiones (E&O) de tecnología, telecomunicaciones y ciberseguridad, así como cobertura de medios.

El aumento fue impulsado en parte por la creciente sofisticación de los ciberataques. En el evento MOVEit se destacaron las vulnerabilidades de la cadena de suministro, las reclamaciones por violaciones de privacidad, así como el aumento del número de clientes de Marsh que han comprado seguros cibernéticos. Como ha sido durante varios años, el ransomware, aunque representa menos del 20% del total de reclamaciones cibernéticas, sigue siendo una preocupación principal tanto para aseguradoras como para asegurados debido a su impacto financiero potencialmente significativo, daño reputacional, pérdida de participación en el mercado, naturaleza de larga cola de la litigación, escrutinio regulatorio y un largo etcétera.

El porcentaje de clientes que informan eventos cibernéticos se mantiene estable 

El porcentaje anual de clientes que informan al menos un evento cibernético ha permanecido bastante constante en los últimos cinco años, entre el 16% y el 21% (ver Figura 1). La consistencia muestra, en parte, que los controles cibernéticos de las empresas han mantenido el ritmo con la creciente sofisticación y frecuencia de los ciberataques.

Figura 1

El porcentaje de empresas que informan un evento cibernético sigue siendo relativamente constante año tras año.

 

Cyber events can happen to any organization, but specific industries have been targeted more often than others over time (see Figure 2). The top five industries among Marsh clients to be affected by cyber events has remained consistent; in 2023 they were healthcare, communications, retail/wholesale, financial institutions, and education.

Figura 2

La atención médica y las comunicaciones se encuentran consistentemente entre las industrias con más reclamos anuales

 

Aunque el costo promedio ha aumentado para los gastos de respuesta a violaciones de seguridad, que incluyen asesoría legal en privacidad, informática forense y, si es necesario, notificaciones, el costo mediano ha permanecido relativamente constante (ver Figura 3). Durante los últimos cinco trimestres, el costo medio de los gastos de respuesta a violaciones de seguridad se mantuvo alrededor de $160.000, mientras que el promedio ha aumentado, desde $963.000 en el tercer trimestre de 2023 a $1 millón en el cuarto trimestre, principalmente debido a algunos grandes eventos cibernéticos.

Figura 3

El costo promedio de respuesta a una violación de seguridad es de $1 millón entre 2019 y 2023

 

Los ataques de ransomware siguen siendo la principal preocupación

Los ataques de ransomware siguen siendo el principal tema de conversación en la mayoría de los encuentros sobre riesgos cibernéticos, ya que continúan aumentando en frecuencia, sofisticación y gravedad, y siguen siendo la amenaza cibernética dominante para las operaciones diarias, las finanzas a largo plazo yla reputación de muchas organizaciones.

Junto con las reclamaciones de ransomware, también aumentó la presentación de reclamaciones cibernéticas en general en 2023. Desde que aumentaron rápidamente en 2020, el número de eventos de ransomware reportados ha permanecido por debajo del 20% del total de reclamaciones cibernéticas reportadas por los clientes de Marsh durante los últimos dos años (ver Figura 4). Esto significa que las reclamaciones sobre la violación de privacidad y los ataques al sistema que llevan a un acceso no autorizado y que potencialmente exponen datos sin un componente de extorsión, comprenden una parte mucho mayor de los eventos cibernéticos reportados por los clientes de Marsh que aquellos en los que piden un rescate económico.

Figura 4

Los eventos de extorsión cibernética representaron menos del 20% del total de reclamos cibernéticos reportados en 2022 y en 2023

En 2023, el número de clientes que informaron eventos de extorsión cibernética alcanzó el nivel anual más alto hasta la fecha (ver Figura 5). Los eventos de extorsión cibernética reportados en 2022 fueron menor que en los dos años anteriores. Si bien es difícil señalar una razón (es) para la disminución de 2022, varios expertos en ciberseguridad, dentro y fuera de Marsh, citan factores como un alejamiento (temporal) de la encriptación de datos hacia la extracción, las interrupciones provocadas por el inicio de la guerra Rusia-Ucrania, la disminución de la disposición de algunas empresas a pagar y la "infiltración" exitosa de un grupo de ransomware en particular por parte del FBI. Sin importar las razones de la disminución de 2022, los eventos de ransomware alcanzaron nuevos máximos en 2023 a medida que el número de actores malintencionados aumentó significativamente.

Figura 5

Los eventos de extorsión cibernética aumentan en 2023 después de la caída de 2022

 

En un evento de extorsión, las empresas necesitan decidir si pagarán un rescate para obtener la clave de desencriptación y/o detener la liberación de los datos comprometidos. Las organizaciones deben evaluar los posibles daños al mismo tiempo que juzgan la "confiabilidad" de los delincuentes con los que están tratando: si se paga un rescate, ¿cumplirán los actores de amenazas? ¿O retendrán los datos para un nuevo intento de extorsión?

Los clientes de Marsh tuvieron más éxito al responder y recuperarse de eventos de extorsión cibernética en 2022 que en 2023 (ver Figura 6). El pago mediano de extorsión disminuyó de $822.000 en 2021 a $335.000 en 2022. Sin embargo, esta tendencia se revirtió en 2023, ya que el pago mediano aumentó de $335.000 a $6.5 millones y la demanda mediana aumentó de $1.4 millones a $20 millones a medida que los delincuentes cibernéticos se volvieron más audaces. Si bien la decisión de pagar o no pagar depende de la empresa, las organizaciones deben estar preparadas para responder, incluyendo "practicar" su respuesta en una variedad de escenarios.

En general, las negociaciones de extorsión resultan efectivas para reducir el rescate final pagado, aunque es importante tener en cuenta que cada situación es única. El porcentaje de la demanda mediana pagada aumentó del 24% en 2022 al 32% en 2023.

Figura 6

Las demandas y pagos de extorsión cibernética aumentaron en 2023

 

Los clientes de Marsh continúan invirtiendo en resiliencia cibernética, incluyendo áreas como ejercicios de entrenamiento, preparación de proveedores de respuesta a incidentes, procedimientos de tiempo de inactividad, planes de comunicación de crisis y controles efectivos de ciberseguridad. La efectividad de dichas inversiones se indica por la continua disminución en el porcentaje de aquellos que optan por pagar una demanda de extorsión (ver Figura 7). 

Figura 7

El porcentaje de empresas que pagan demandas de rescate sigue disminuyendo

 

Consideraciones sobre el pago de rescate

El potencial de responsabilidad de privacidad suele ser uno de los muchos factores que pueden influir en la decisión de pagar un rescate. Sin embargo, puede ser difícil asignar un valor al decidir si pagar será beneficioso económicamente o reducirá la responsabilidad futura. Las reclamaciones de responsabilidad de privacidad aumentaron significativamente en los últimos años, y los valores de los acuerdos también han estado aumentando, lo que lo convierte en una importante incógnita.

La decisión puede ser más sencilla cuando los delincuentes cifran los datos y causan pérdidas por interrupción del negocio (BI). Por ejemplo, una empresa podría determinar que las pérdidas de BI están costando $1 millón al día. Si el costo para descifrar es de $X miles y permitirá que el negocio esté en funcionamiento en unos pocos días, las matemáticas pueden apuntar a una decisión de pagar. Cada situación es única, y una decisión de pagar o no pagar un rescate, puede tener consecuencias más allá del incidente específico en cuestión.

Otros factores que pueden influir en la decisión de pagar incluyen si los datos extraídos son sensibles para el negocio o posiblemente vergonzosos.

En algunos casos, las aseguradoras pueden examinar más detenidamente los pagos de rescate cuando no hay encriptación, especialmente si se activan las leyes de notificación de violaciones. Si la ambivalencia sobre el pago de rescates aumenta, algunos observadores se preguntan si el robo de datos volverá a su punto de partida, con más delincuentes simplemente vendiendo datos robados en la web oscura y evitando que sus víctimas puedan trabajar.

Conclusión: la estrategia y los controles de ciberseguridad son clave

A medida que el riesgo cibernético continúa evolucionando, las empresas necesitan monitorear y ajustar sus controles de ciberseguridad y contratar negociadores de reclamos, entre otras medidas. Cuando surge un reclamo, es importante seguir los pasos adecuados, como notificar a los aseguradores, corredores y otros interesados, y mantener una documentación adecuada y actualizada.

En términos generales, las empresas deberían tener una estrategia de resiliencia cibernética que incorpore una visión del riesgo cibernético en toda la empresa, incluyendo su posible impacto económico y operativo. 

Teniendo en cuenta la ciberseguridad en proveedores y otros terceros, realizando ejercicios de entrenamiento periódicos y evaluaciones de respuesta.

Nuestros expertos en Marsh McLennan pueden ayudarlo a cuantificar sus exposiciones de riesgo cibernético con modelos de pérdida basados en escenarios, comparar las posibles pérdidas y costos de eventos cibernéticos, considerar la efectividad de los controles de ciberseguridad desde una perspectiva financiera, evaluar la eficiencia económica de múltiples estructuras de programas de seguros cibernéticos y ayudar a administrar sus reclamos, en caso de que surja alguno.

El uso de proveedores de paneles puede mejorar la gestión de reclamaciones

Cuando ocurre un incidente cibernético, muchas empresas recurrirán a proveedores externos para gestionar los diferentes aspectos deincidente cibernético. Muchos aseguradores tienen un panel de proveedores que están preaprobados para trabajar en incidentes y reclamos cibernéticos. Marsh ha descubierto que los clientes que utilizan los proveedores preaprobados por su aseguradora pueden mejorar significativamente el tiempo promedio desde la notificación del evento hasta la confirmación de la cobertura o el primer pago, pasando de poco más de 2 meses cuando se utiliza un panel a más de 12 meses cuando se utilizan proveedores que no están en el panel.

¿Por qué Marsh?

El riesgo cibernético es complejo y omnipresente. La práctica de ciberseguridad de Marsh proporciona a las organizaciones asesoramiento experimentado en riesgos al gestionar sus exposiciones.

  • Practicantes legales, técnicos y de respuesta a incidentes internos para ayudar a los clientes antes, durante y después de eventos cibernéticos.
  • La experiencia en gestión de incidentes que proviene de manejar más de 1.800 reclamos cibernéticos y tecnológicos anualmente.
  • Innovaciones digitales para mejorar los programas de respuesta cibernética..

Si tiene preguntas sobre alguno de los temas discutidos en este informe, por favor comuníquese con su representante de Marsh.