“El 60% del volumen de negocio de las aseguradoras proviene de corredores y agentes, pero apenas se invierte en planes de seguridad para ellos”. Así lo puso en evidencia Daniel González, CCO de Zerolynx, durante el III Congreso Ciberseguridad y Seguros, organizado por ICEA, en el que expertos en la materia pusieron en evidencia que las amenazas ciber son cada vez más frecuentes y graves en un mundo en el que ya hay más dispositivos conectados que habitantes. Aun así, el sector asegurador apenas dedica un 3% a prevenir estos ataques.
ARTÍCULO PUBLICADO EN LA REVISTA PYMESEGUROS Nº 74
“La seguridad es una cosa de todos; tenemos que ser conscientes de los riesgos para adoptar medidas”, propuso Ignacio Arrese, CEO de Smart HC y presentador del evento, que contó con la charla inicial de Antonio Martín, director de Estudios y TI de ICEA, quien se encargó de evidenciar la “insuficiente sensibilidad” del sector en ciberseguridad.
No solo puso sobre la mesa el porcentaje que las compañías dedican a protegerse frente a los riesgos online (en torno al 3% de su presupuesto), sino que resaltó que en los Comités Ejecutivos de las entidades no suelen haber responsables de seguridad, “cuando la problemática de ciberamenazas es enorme”, como demuestran los ataques que periódicamente paralizan empresas de todo el mundo y cualquier sector.
Martín resaltó algunos de los errores principales que cometen las compañías. En primer lugar, que cualquier incidencia en ciberseguridad es abordada por el equipo de tecnología, cuando esas funciones deberían estar separadas y tener expertos en la materia dedicados a esos incidentes.
Además, se quejó de la insuficiente información de los empleados y los altos cargos sobre ciberseguridad. Por eso incidió en la necesidad de educarles y formales, para evitar que se produzcan prácticas peligrosas (como el uso de USB ajenos) y apostar por la implementación de medidas de seguridad, aunque sean incómodas en el trabajo diario (como cambiar de contraseña en los equipos cada cierto tiempo).
Amenazas “muy reales”
Marcial Fernández, director de Operaciones y Organización de ICEA, continuó la sesión apuntando, no obstante, que cada vez existe una mayor concienciación sobre estos temas, ya que se trata de amenazas “muy reales”, que tienen consecuencias habituales. Y advirtió: “Son ataques realizados de forma profesional, por lo que tenemos que enfrentarnos a ellos de manera profesional”.
Eso sí, reseñó que al igual que a nivel mundial los ciberincidentes ocupan el segundo lugar de preocupación entre las empresas, según el Allianz Risk Barometer (y el primer puesto entre el sector financiero-asegurador), en España no está ni entre los tres principales. Y ello a pesar de que un informe reciente de Hiscox destacaba que el 57% de las compañías españolas han reconocido haber sufrido un ciberataque: “Esta insuficiente percepción de riesgo por parte del sector hace que la ciberseguridad esté poco desarrollada”, apuntó.
Fernández aclaró que las compañías cada vez invierten más en tecnología, pero no lo relacionan con la ciberseguridad. Sin embargo, cree que las nuevas legislaciones, con el aumento de las responsabilidades ante la desprotección de los datos, pueden hacer que los consejeros tomen mayor concienciación.
En este sentido, apostó por invertir más en formación del personal, para dificultar la entrada de ataques, y planificar de antemano las medidas a adoptar, sin improvisar, y acudir a profesionales para implementarlas.
Además, quiso hacer referencia a un dato revelador: ya hay más dispositivos conectados en el mundo que personas (unos 8.400 millones frente a 7.600 millones), por lo que las amenazas son cada vez mayores. Y solo en el 48% de las ocasiones son individuos los que ejecutan los procesos; en el otro 52% son máquinas, casi la mitad de ellas diseñadas para cometer delitos. En esta línea, advirtió del impacto “tremendo” que va a tener la inteligencia artificial en la ciberseguridad, tanto para ayudar a evitar ataques, como usada por criminales para cometerlos.
Proteger a las corredurías
Daniel González, de Zerolynx, tomó el relevo de la jornada con una conferencia que instaba a centrarse en el eslabón más débil de la cadena. Y en el caso del sector seguros, en los proveedores y mediadores. Y ello porque, como reconoció, ya no estamos aislados y todas las empresas están interconectadas: “Todo es susceptible de ser hackeado porque todo está interconectado; la información es poder y los datos son deseables”.
De ahí que llamase la atención de los asistentes, especialmente de los representantes de las aseguradoras, ya no solo en lo escaso que resulta invertir solo un 3% en ciberseguridad, sino el inconveniente que puede resultar para sus compañías el dedicar ese montante exclusivamente a proteger la sede central o el resto de sedes, olvidándose de que tanto sus proveedores como sus corredores y agentes disponen de una gran cantidad de datos de sus entidades, a los que se puede acceder mediante ciberataques.
Por eso, en el caso de los proveedores, González recomienda a las aseguradoras evaluarles en esta materia, mediante test de intrusión y revisión de normativas, además de valorando su presencia online mediante sistemas de inteligencia.
Para las corredurías y agencia apuesta por dedicarles mucha formación, mediante píldoras formativas y ejercicios de simulación, además de conocer su entorno, con revisiones de los controles críticos. Y es que, como recordó, estos mediadores necesitan de cierta supervisión por parte de las compañías para evitar que sean atacados, pues, no obstante, también están representando a las aseguradoras.
Armarse ante los riesgos
Francisco Macías, director técnico de F-Secure Iberia, relató el caso del mayor robo de la historia, que fue un hecho de ciberdelincuencia perpetrado por un ingeniero informático ucraniano, que se estima que consiguió sustraer de varios bancos unos 10.000 millones de dólares.
Según especificó Macías, los ladrones comenzaron informándose en las redes sociales de los empleados de un banco ruso, a los que enviaron correos con adjuntos de su interés. Una vez que estos se los descargaban, podían acceder a sus equipos y reconocer los resortes de control de ciertos sistemas, pudiendo realizar transferencias entre cuentas e, incluso, que los cajeros automáticos escupieran billetes, que posteriormente transformaron en criptomonedas.
Aunque el proceso es complicado, el director técnico de F-Secure Iberia advirtió que “los ataques que solo unos pocos pueden hacer son los que más daño ocasionan”. De esta forma, instó a los asistentes a armarse ante estas amenazas, aunque las vean como poco probables.
Así, les recomendó no solo apostar por la predicción y la prevención, sino también añadir a sus estrategias de ciberseguridad capacidades de detección y respuesta. Además, les pidió darle la vuelta al dilema del defensor y el atacante, mediante herramientas seguras que hagan que el delincuente sea el que siempre tenga que tener éxito si quiere alcanzar su meta, no gracias a errores de la víctima. También abogó por que no toda la estructura de seguridad de las empresas se base en el producto, sino en servicios, así como disponer de logs ubicados fuera de la red, aplicar técnicas de análisis en el tiempo e incorporar inteligencia sobre amenazas de manera continua.
“En el mundo asegurador aportar una tecnología con datos seguros y que pueda compartir información de manera transparente es relevante”, empezó comentando Luis Mulero, cofundador de Virtus360 Software, y encargado de poner de relieve las bondades del blockchain para el sector, que puede ayudar en multitud de cuestiones, como la trazabilidad de siniestros, la gestión de pagos, la trazabilidad de historiales médicos, etc.
Varias son las ventajas que, a su entender, aporta el blockchain a las compañías, ya que simplifica y automatiza procesos; reduce costes, tanto por evitar fraudes al seguro como por reducir tiempo de trabajo; mejora la experiencia cliente; y automatiza procesos conforme al marco legal.
En manos de un delincuente
La parte más práctica de la jornada vino de la mano de Juan Antonio Calles, CEO de Zerolynx, quien hizo una demostración de tres casos de ciberdelincuencia, mediante phising, para explicar lo sencillo que puede resultar obtener algunos datos de usuarios; infectando un móvil a través de una aplicación; y atacando un servidor de una gran compañía para acceder a otras empresas del entorno que no tengan tanto nivel de seguridad.
Posteriormente, el propio Calles, junto con Ignacio Arrese y Ángel Avilés, miembro de la Unidad Central Operativa de la Guardia Civil, entablaron un debate sobre lo fácil que resulta caer en manos de un delincuente.
En este sentido, Avilés volvió a insistir en que la solución para estar protegido pasa por la prevención y la formación, pero sin olvidar la detección y respuesta. Y añadió: “La seguridad está en las personas, porque de nada sirve tener un dispositivo plenamente seguro, si al final el usuario hace determinadas acciones de riesgos, como descargarse aplicaciones de sitios poco seguros”. Además que, como reseñó, en un sistema informático no hay nada cien por cien seguro: “Si el hacker ve que los beneficios que va a obtener merecen la pena, superará las vulnerabilidades del sistema”.
“Algo tan usual como tener el wifi del móvil operativo es peligroso, porque con una pequeña herramienta un hacker es capaz de conectarse a tu móvil y sacar toda la información del mismo”, apostilló Arrese.
Calles apuntaló la idea de que “la concienciación es la clave” y abogó por que se invirtiera más en concienciar de estos riesgos no solo a las empresas, sino a la sociedad en general, incluso desde las escuelas.
Ante la duda planteada por uno de los asistentes si frente a un ciberataque recomendarían a la empresa víctima pagar el “rescate” de sus datos si eso perjudicara su viabilidad, todos se mostraron totalmente reacios: “Porque se promueve que persista esa práctica y porque pagar no implica que te devuelvan esa información”, argumentó Avilés, para quien no habría que plantearse si se paga o no, sino tener una buena política de backup.
“Además, que si pagas irán más veces a por ti, porque saben que pagas y se correrá la voz entre los delincuentes”, apostilló Arrese.
Por su parte, Calles certificó que no solo mediante el backup se pueden recuperar los datos ante una infección, sino que existen otras posibilidades, con determinadas técnicas, aunque, eso sí, requieren tiempo, recursos y dinero, comentó.
Nuevo marco legal
Pedro Marco, fundador y CEO de Iberlayer, centró su ponencia en la importancia de archivar toda la información posible de manera rutinaria. Así, instó a los asistentes a almacenar correos para solucionar situaciones como los problemas derivados de los borrados accidentales o malintencionados de emails, por propia exigencia de las normativas en materia de seguridad o como prueba ante una demanda de un cliente a su aseguradora de algún aspecto contractual que se haya negociado online.
Además, también recalcó la importancia de guardar los correos de extorsiones o phising para que puedan someterse a un análisis forense por parte de los peritos de la propia aseguradora o de las fuerzas y cuerpos de seguridad del Estado ante una denuncia.
Y quiso destacar un aspecto significativo: según va subiendo la inversión en seguridad, el nivel de protección se eleva, pero alcanza un punto en que se estabiliza e incluso llega a bajar un poco, “porque llega un momento en el que demasiada seguridad hace que el usuario se vuelva contra ella”.
El broche final al Congreso lo puso Pablo Fernández, abogado fundador de Escila, Nevtrace y Abanlex, quien puso de relieve la importancia de contar con profesionales para proteger los datos de una empresa: “Hay que analizar el riesgo y mitigarlo, y que lo haga un experto en ciberseguridad”, espetó.
En esta línea, explicó que a las compañías le afectan muchas normativas en esta materia, como la NIS, la Directiva de Secretos Comerciales o la GDPR, que entrará definitivamente en vigor el próximo 25 de mayo. Según la misma cualquier empresa que emita o gestione datos desde Europa tiene que hacer un análisis, una evaluación de impacto y una adecuación de la protección de datos, además de contar con un delegado en la materia (DPO).
Fernández recalcó que la nueva normativa obliga a la empresa a detectar y comunicar la intrusión o sustracción de datos a la Agencia de Protección de Datos en el plazo de 72 horas y debe comunicar el hecho a los afectados.
“La nueva ley nos ofrece más derechos que antes”, atestiguó, y enumeró las ventajas para los clientes con respecto a sus datos: portabilidad, acceso, rectificación, supresión, derecho al olvido, limitación y oposición.
¿Qué es crítico en una empresa?
Para Daniel González, COO de la compañía especializada en ciberseguridad y ciberinteligencia Zerolynx, las empresas del sector asegurador deben determinar qué aspectos son críticos para protegerse ante ataques externos y centrarse en ellos. Y enumeró los cuatro que a su entender son los principales y qué medidas habría que adoptar para protegerlos:
- El entorno, permitiendo solo los dispositivos autorizados; conociendo bien a los empleados; dando respuestas a los incidentes; implantando solo softwares autorizados; desarrollando un control de accesos; y elaborando aplicaciones.
- Datos, a través de sistemas de recuperación, que permitan no perder la información cuando se es atacado; y medidas de protección, para evitar intrusiones maliciosas.
- Configuración y comunicación, desarrollando configuraciones de seguridad Hw y Sw; implantando sistemas antimalware; aplicando puertos, protocolos y servicios; instaurando configuración de seguridad (firewalls); poniendo wireless; y controlando los email y navegadores web.
- Supervisión, aplicando evaluaciones de vulnerabilidades, para detectarlas y poder trabajar sobre ellas; estableciendo usuarios privilegiados; vigilando los logs; y controlando las cuentas.
www.pymeseguros.com