Cualquier negocio puede acabar en bancarrota por culpa de las responsabilidades cibernéticas y los gastos asociados a este tipo de ataques. Un solo ciberataque en EE.UU. cuesta a las empresas una media de 8,19 millones de dólares, según revela el Informe sobre Filtración de Datos de IBM de 2019.

«Algunos titulares recientes han demostrado que la ciberdelincuencia no se marca como objetivo un sector ni un tamaño de entidad concretos», afirman desde AXA XL. Empresas relacionadas con la salud, los medios de comunicación, la fabricación o las operaciones minoristas, agencias gubernamentales y numerosas pequeñas empresas, entre otras, han sido víctimas de ciberataques.

El mercado de los seguros cibernéticos sufrió el año pasado un aumento significativo de siniestros por ataques con ransomware, también llamado “secuestro de datos”, tanto en cantidad como en gravedad. Entre estos siniestros, se constató un gran aumento en el sector de la fabricación y los productos químicos, a los que hay que sumar ataques que se extendieron a empresas de terceros cuyas redes estaban conectadas.

Según detalla la aseguradora, en 2019 recibieron la primera petición de rescate de ocho cifras. Además, «de todos nuestros siniestros en general, más del 60% se registraron en los campos de ingeniería social y ransomware».

Los siniestros cibernéticos no siempre se producen por los ataques de ciberdelincuentes. Los radios de amenaza están cambiando tanto en complejidad como en objetivos. Esto se traduce en una amplia variedad de siniestros que activan distintas coberturas, explican en el blog de AXA XL.

Ejemplo de casos reales

Para reflejar esta situaciones de manera real la compañía recupera los archivos de siniestros que tiene en su poder y que publicamos a continuación.

Servicios financieros: transferencia a ninguna parte
Desembolso total: 225.000 dólares
Sección de cobertura: Cobertura de filtración de datos y de gestión de crisis; suplemento para fraudes financieros en ingeniería social

Una empresa de servicios financieros fue víctima de un ataque de ingeniería social que resultó en una transferencia bancaria electrónica fraudulenta de 200.000 dólares. Concretamente, en junio de 2018, la empresa transfirió fondos destinados al cierre de una propiedad. La transferencia se realizó de conformidad con la actualización de unas instrucciones recibidas, en apariencia, por parte de su proveedor. Finalmente, se descubrió que se trataba de un fraude, cuando el legítimo destinatario notificó a la empresa, varios meses después, que no había recibido la transferencia. La cobertura se activó según el Acuerdo de cobertura de filtración de datos y de gestión de crisis, ya que era razonable sospechar que la seguridad del correo de la empresa se había visto comprometida. La empresa contrató asesoramiento sobre privacidad y a expertos en análisis forense para investigar el incidente.

Además, se activó el Suplemento para fraudes financieros en ingeniería social. Se incurrió en un gasto aproximado de 225.000 dólares en relación con estos costes y los de la transferencia fraudulenta. Cabe destacar que también se activó la póliza contra delitos de la empresa.

Hostelería: una intrusión hostil
Desembolso total: 80 millones de dólares
Sección de cobertura: Cobertura de filtración de datos y de gestión de crisis; Privacidad y ciberseguridad; Suplemento para PCI DSS

En este caso se produjo una filtración de datos de tarjetas de crédito en una cadena hotelera. En septiembre de 2016 y marzo de 2017 Visa notificó a la cadena una posible filtración de datos de tarjetas de crédito en sus instalaciones. La cadena contactó con un bufete de abogados que contrató a una empresa de análisis forenses para que llevara a cabo una investigación. Esta reveló una horquilla de intrusión entre marzo y octubre de 2016 y otra desde noviembre de 2016 hasta abril de 2017. Como consecuencia, se vieron afectadas aproximadamente 315 000 tarjetas de crédito. Los gastos totales incluyeron las notificaciones a los individuos afectados y las costas por la defensa, así como las indemnizaciones y las multas y sanciones del sector de tarjetas de pago (PCI).

Agencia de servicios profesionales: abatidos por un puesto temporal
Desembolso total: 350.000 dólares
Sección de cobertura: Cobertura de filtración de datos y de gestión de crisis

La agencia asegurada, que proporciona servicios de personal, recibió una demanda por los supuestos daños ocasionados por el trabajo negligente de una empleada temporal. En concreto, la agencia recomendó a su cliente una candidata para ocupar temporalmente el puesto de jefa de finanzas. En última instancia, el cliente dio a la empleada temporal responsabilidades significativas y le permitió revisar el departamento de facturación y sus procesos. El cliente alegó que la empleada no estaba realmente cualificada y que provocó la pérdida de aproximadamente 1,75 millones de USD por daños ocasionados, en parte, por no facturar con puntualidad a sus clientes y, como consecuencia, no poder recaudar el dinero que se debía a la empresa. A pesar de la demanda, se llegó a un acuerdo por 300 000 USD y el pago de las costas de defensa.

Se pueden consultar otros siniestros reales del sector sanitario, tecnológico y de telecomunicaciones, de fabricación, minoristas, en el folleto «Cyber claims: Real-life AXA XL claims scenarios».