TOP

LOGIN
Navegando por lo desconocido – cómo evitar la exposición cibernética en contratos no cibernéticos
Cyber Risk
February 14, 2024 Viviane Mardirossian
Español English Português

«Solo hay dos tipos de empresas en el mundo, las que han sufrido una vulneración y lo saben y las que han sufrido una vulneración y no lo saben». – Ted Schlein1

Vivimos en lo que se llama la «era de las computadoras»: todo está interconectado y la realidad virtual forma parte de nuestras vidas. En el mundo empresarial cada vez son más importantes los datos y el nivel de acceso que se tiene a ellos. Sin embargo, esta realidad tecnológica viene acompañada de un entorno peligroso en el que hay una gran cantidad de datos disponibles que, en las manos equivocadas, pueden provocar pérdidas de miles de millones de dólares y daños reputacionales irreversibles.

El sitio web «Information is Beautiful» nos da una idea de cuántas violaciones importantes de datos se produjeron entre 2004 y septiembre de 2022.2 La pregunta ahora es: ¿cómo se puede evaluar correctamente este riesgo y cómo excluirlo de las pólizas generales de seguros P&C?

Riesgo cibernético

El término «riesgo cibernético» se refiere al riesgo de pérdida resultante de eventos digitales cibernéticos causados por terceros o por los propios empleados o colaboradores externos, y puede incluir robo, integridad comprometida y/o daño a activos de información y/o tecnología, fraude interno y externo y perturbación del negocio.3 Los incidentes pueden afectar a la confidencialidad, la integridad y la disponibilidad de los datos e incluso al funcionamiento adecuado de la estructura de tecnología de la información, lo que puede resultar muy costoso para las organizaciones.

Los incidentes cibernéticos encabezaron la lista de riesgos empresariales en 2024 por tercer año consecutivo, según el último Allianz Risk Barometer.4 El informe muestra que la preocupación por este tipo de riesgo ha aumentado considerablemente a lo largo de los años y debería mantener a las empresas comprometidas en invertir continuamente para fortalecer sus controles cibernéticos en los años venideros.

Cobertura cibernética

Aunque desde finales de la década de 1980 se ofrecen seguros para ciertos errores y omisiones tecnológicos y computacionales, el producto de seguro cibernético independiente es una incorporación relativamente nueva a las carteras5 de corredores y aseguradoras. Está ganando peso en algunas jurisdicciones a pesar de que todavía implica límites bajos para la mayoría de los implicados. Un análisis del mercado muestra que existen tres formas de cobertura del seguro cibernético:

  1. Una póliza independiente que cubra los riesgos cibernéticos (stand alone policy);
  2. Una sección adicional a una póliza ya existente que ofrece cobertura cibernética
  3. Cobertura proporcionada por una póliza tradicional de forma tácita debido a la falta de exclusión de este tipo de riesgo

Las dos primeras situaciones son protecciones cibernéticas normales que ofrece el mercado. La última refleja lo que llamamos «exposición cibernética silenciosa» o «exposición cibernética no afirmativa», que es el tema central del presente artículo.

En seguros generales, normalmente diferenciamos las coberturas entre daños propios, que se refiere a pólizas habitualmente asociadas a riesgos patrimoniales, y «de terceros», que se refiere a pólizas habitualmente asociadas a riesgos de responsabilidad civil. En cuanto a la cobertura cibernética específica o afirmativa, como es el caso de los citados puntos 1 y 2, la particularidad es que la cobertura que ofrece el producto incluye tanto la cobertura propia como la cobertura a terceros. La cobertura de daños propios tiende a indemnizar al asegurado por los daños propios sufridos con motivo del evento cibernético, tales como destrucción de datos, extorsión, robo, reparaciones de sistemas, etc. Por otra parte, la cobertura de terceros se refiere a los daños sufridos por terceros a causa de un evento cibernético.

¿Qué es entonces Silent Cyber?

La exposición cibernética silenciosa, también conocida como exposición cibernética «no afirmativa», se da cuando la cobertura de un evento cibernético no está explícitamente excluida en una póliza de seguro y/o la exclusión no es lo suficientemente clara, lo que hace que las lagunas en la efectividad de las exclusiones sean un problema real para las compañías. Varias empresas han experimentado recientemente casos bastante interesantes relacionados con este tema. Las líneas no cibernéticas generalmente excluyen el evento cibernético como desencadenante de peligro y las pólizas cibernéticas normalmente excluyen las lesiones corporales y las pérdidas por daños materiales.

Para ilustrarlo con un ejemplo de reclamación derivada de una exposición cibernética silenciosa, podemos remontarnos a junio de 2017, cuando el mercado se vio afectado por el malware6 NotPetya, referido como «uno de los ciberataques más devastadores desde la invención de Internet» y que causó daños valorados en más de 10 mil millones de dólares en total7. Entre las empresas que se vieron afectadas por el ataque se contaron las siguientes:

  • Merck (daños estimados en 870 millones de dólares)
  • FedEx (daños estimados en 400 millones de dólares)
  • Maersk (daños estimados en 300 millones de dólares)8

Otra empresa que sufrió el ataque de NotPetya fue Mondelez, conocida por sus galletas Oreo y chocolates Cadbury. El malware NotPetya infectó dos de sus servidores y afectó a una parte importante de las aplicaciones globales de la empresa basadas en Windows, así como a las redes financieras, de distribución y de ventas de toda la empresa.9

El ejemplo de Mondelez muestra cuánto les puede costar a las empresas la cobertura cibernética silenciosa: el ataque provocó pérdidas de unos 100 millones de dólares. Intentaron recuperarse mediante una póliza de seguro de daños a todo riesgo, ya que la cobertura de la póliza incluía:

«pérdida o daño físico a datos, programas o software electrónicos, incluida la pérdida o daño físico causado por la introducción maliciosa de un código de máquina o instrucción… (y) pérdida real sufrida y gastos adicionales en los que incurra el asegurado durante el período de la interrupción como resultado del fallo en el funcionamiento del equipo o soporte electrónico de procesamiento de datos del asegurado».10

La cobertura incluía específicamente la pérdida física o el daño a datos, programas o software electrónicos causados por la introducción maliciosa de un código de máquina o una instrucción.

Sin embargo, la aseguradora determinó en su momento que la reclamación se denegaría con arreglo a la póliza basándose en una exclusión que limitaba la indemnización en caso de daños resultantes directa o indirectamente de una

«acción hostil o bélica… por parte de cualquier gobierno o potencia soberana».

Siguieron discusiones sobre la naturaleza del ataque de NotPetya y si fue «bélico» o «comparable a un acto de guerra». El debate sobre esta cuestión le costó a la compañía de seguros (y, en consecuencia, a los reaseguradores) una cantidad muy importante y el asunto finalmente se resolvió mediante un acuerdo negociado, que se mantuvo confidencial, y se dio el caso por cerrado.

El incidente de NotPetya hizo que todo el mercado se diera cuenta de que las exclusiones bélicas que recogen la mayoría de las pólizas no eran adecuadas para su propósito, ya que lo cierto era que, en el momento en que se redactaron, no habían contemplado el uso de dichas exclusiones en el contexto de violaciones y ataques de datos. Las consecuencias de NotPetya hicieron que las aseguradoras y reaseguradoras repensaran y revisaran en detalle los términos y condiciones de sus pólizas para evitar que volviera a ocurrir una situación similar.

La importancia de la certeza del contrato

Aunque no sea usted abogado, probablemente habrá escuchado en algún momento la expresión latina pacta sunt servanda, que significa que un contrato establece una ley entre las partes o simplemente que los contratos deben respetarse. Este principio probablemente se consolidó durante la Edad Media y se incorporó a la legislación en todo el mundo. Como ocurre con todos los principios, tiene sus excepciones, pero unas condiciones claramente escritas son un primer paso para evitar futuras disputas.

Cuando se trata de seguros y reaseguros, es fundamental revisar cuidadosamente los términos y condiciones para garantizar que se mantengan al día y que reflejen la intención común de las partes del acuerdo. Una cláusula mal redactada o una condición o exclusión poco clara o ambigua pueden dar lugar a falta de claridad y a malas interpretaciones y pueden generar costes adicionales innecesarios. Para evitar malas interpretaciones y debates, una exclusión cibernética bien pensada y bien redactada es el primer paso hacia el éxito.

Exposición cibernética – cómo evitar una exposición indeseada

Cada vez está más claro que las cláusulas contractuales diseñadas para excluir las pérdidas resultantes de un «evento cibernético como peligro»11 no son tan sólidas como se pensaba. A medida que estas cláusulas continúan poniéndose a prueba en los tribunales, existe una creciente preocupación sobre su validez y el mercado plantea dudas sobre si es razonable usarlas.12

Un primer paso que puede ayudar a mitigar la exposición cibernética silenciosa es realizar un análisis interno de las pólizas y los contratos para comprobar la situación de la cobertura cibernética. Más específicamente, este análisis evaluaría si la exposición cibernética se está abordando adecuadamente y si se incluye (mediante inclusión afirmativa) o se excluye (mediante exclusión afirmativa). Las exclusiones cibernéticas silenciosas para seguros de daños propios generalmente tienen como objetivo aclarar qué constituirá un ciberataque o evento cibernético excluido, así como indicar que los datos no están (re)asegurados en virtud del contrato. Esto significa que las pérdidas resultantes de la falta de disponibilidad de datos o los fallos de funcionamiento en los sistemas tampoco están cubiertas, por ejemplo, cuando los datos necesarios para el funcionamiento de un sistema operativo se han dañado o eliminado. Por lo general, habrá definiciones detalladas para sistemas informáticos, datos y ataques/incidentes cibernéticos.

Estar preparado no significa que deje de existir riesgo, y el proceso de mitigación se debe mantener incluso si una redacción tiene exclusiones. Esto requiere necesariamente contar con un equipo de siniestros preparado para manejar posibles incidentes de manera rápida y asertiva, a ser posible con un buen conocimiento de la cobertura y los problemas en cuestión para que no se sienten precedentes indeseados.

Conclusión

A medida que evoluciona el panorama digital, las amenazas cibernéticas silenciosas siguen planteando desafíos al sector de los seguros. La exposición potencial a las coberturas de cibernéticas silenciosas no se comprende lo suficiente, y los actores del sector aún no lo monitorizan bien. Es posible que ofrecer cobertura contra amenazas cibernéticas no haya sido algo previsto durante el proceso de suscripción, pero puede crear una exposición muy compleja y costosa. Es necesario destacar ejemplos reales para el debate y aplicar un enfoque proactivo y colaborativo para abordar los riesgos de manera eficaz. Una colaboración entre los departamentos de suscripción y de reclamaciones puede garantizar que se apliquen exclusiones más específicas y asertivas o que se proporcione una cobertura claramente intencionada y definida. Un enfoque colaborativo puede ayudar a garantizar que no se subestime el riesgo de que se produzcan lagunas o coberturas indeseadas.

  1. Traducción libre de la versión original en inglés «There are only two types of companies in the world: those that have been breached and know it and those that have been breached and don’t know it», Stefan Schulz en Cyber Security: 35 Best Cyber security & Hacker Quotes, https://gogetsecure.com/cyber-security-hacker-quotes/, último acceso 17 de enero de 2024.
  2. El sitio muestra incidentes seleccionados con más de 30 000 registros comprometidos por violación de datos. Cfr. McCandless, Evans, and Barton, World’s Biggest Data Breaches & Hacks, Information is Beautiful, septiembre de 2022, https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/#bysensitivity, último acceso en noviembre de 2023.
  3. Cfr. Curti, Gerlach, Kazinnik, Lee, and Mihov, Cyber Risk Definition and Classification for Financial Risk Management, 26 de agosto de 2019, pág. 4, https://www.richmondfed.org/-/media/richmondfedorg/conferences_and_events/banking/2019/cyber_risk_classification_white_paper.pdf, último acceso en octubre de 2023.
  4. Cfr. en Allianz Risk Barometer for 2024, https://commercial.allianz.com/news-and-insights/reports/allianz-risk-barometer.html, último acceso el 17 de enero de 2024.
  5. Cfr. Lubin, Public Policy and the insurability of Cyber Risk, Journal of Law and Technology at Texas, Spring 2021, pág. 56, https://www.repository.law.indiana.edu/cgi/viewcontent.cgi?article=4039&context=facpub, último acceso el 24 de noviembre de 2023.
  6. El malware es un código informático malicioso que se introduce de alguna manera en una computadora, servidor o red objetivo con la intención de causar daño.
  7. Greenberg, The Untold Story of NotPetya, The Most Devastating Cyberattack in History, WIRED, 22 de agosto de 2018, https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/, último acceso en septiembre de 2023.
  8. Ibíd.
  9. Armstrong, Magen North, Silent Cyber: An Issue Making Noise Across Industries and Coverage Lines, AmWins, 21 de enero de 2021, https://www.amwins.com/resources-insights/article/silent-cyber-an-issue-making-noise-across-industries-and-coverage-lines, último acceso en septiembre de 2023.
  10. Mondelez Int’l, Inc. v. Zurich Am. Ins. Co., No. 2018L011008, 2018 WL 4941760, at *1 (Ill. Cir. Oct. 10, 2018); último acceso el 24 de noviembre de 2023
  11. En inglés, cyber as a peril.
  12. Cfr. Institute and Faculty of Actuaries’ Cyber Risk Investigation Working Party, “Silent Cyber Assessment Framework”, 2019, pág. 8, https://www.actuaries.org.uk/system/files/field/document/FINAL%20Sessional%20paper%20-%20Silent%20Cyber%20Assessment%20Framework_0.pdf; último acceso el 24 de noviembre de 2023.