El seguro de riesgos cibernéticos: Unos breves comentarios a propósito del reciente

ataque cibernético al sistema bancario y financiero peruano

Carlos Augusto Acosta Olivo (*)

SUMARIO: I. A modo de introducción.- El ataque cibernético del 17 de agosto del

2018. II. Precisiones en torno al riesgo de ataque cibernético y el cibercrimen. III. Los
seguros de riesgos cibernéticos. IV. El cyberseguro en el mercado peruano. V.
Conclusiones.

RESUMEN

En este artículo se reflexiona sobre los riesgos asociados a los ataques cibernéticos, ello
a propósito del cyber attack que sufrieron diversas instituciones del sistema financiero y
bancario peruano el 17 de agosto del 2018 y como los efectos económicos negativos
derivados del mismo puede ser gestionados y asumidos por el mercado de seguros a
través de la contratación de las denominadas pólizas cyber o seguros de riesgos
cibernéticos. Igualmente se efectúa una breve descripción de las coberturas
normalmente ofrecidas en dicho seguro y las coberturas y exclusiones presentes en las
pólizas registradas en el mercado peruano.

PALABRAS CLAVES
Cyber attack/ Malware/ Ransomware/ Seguro de riesgo cibernético/ Business
Interruption

I. A modo de introducción.- El ataque cibernético del 17 de agosto del 2018

Durante la semana pasada, una de las noticias más sonadas en nuestro medio, fue el
ataque cibernético al sistema bancario peruano, el cual fue parte de un intento de hackeo
masivo a mundial por parte de ciberdelincuentes llevado a cabo el 17 de agosto del
2018.

Días antes, el 12 de agosto, el estadounidense Brian Krebs (periodista y experto en

seguridad cibernética) a través de su página KrebsOnSecurity 1, señaló que el FBI tenía
conocimiento que un grupo de cibercriminales estaba preparando un ataque a nivel
global y estaba brindado alertas confidenciales a las diversas entidades financiera y
bancarias.

Dicho ataque se efectuaría mediante un esquema de fraude conocido como “ATM cash-
out” (retiro de efectivo mediante cajeros automáticos) en el cual, luego de hackear a una

(*)(*) Master por la Universidad de Castilla - La Mancha en la mención del XII Master en Economía y
Derecho del Consumo (2015-2016); Candidato a Magister de la Maestría con Mención de Derecho de la
Empresa de la Escuela de Postgrado de la UNMSM. Egresado de la Facultad de Derecho de la UNMSM.
Egresado del Programa de Especialización de Arbitraje Comercial y de Inversiones-2014 organizado por
la CCL y la Comisión Interamericana de Arbitraje Comercial. Asociado Senior del Área de Derecho de
Seguros y Litigios y Controversias del Estudio Torres, Carpio, Portocarrero & Richter, la cual parte del
grupo internacional DAC BEACHCROFT LLP. Coautor del libro Diccionario Procesal Civil, Gaceta
Jurídica, Lima, 2013. Miembro Principal del Círculo Financiero Corporativo de la UNMSM.
1 Véase la nota FBI Warns of ‘Unlimited’ ATM Cashout Blitz, en
https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/
entidad bancaria o a un procesador de tarjetas de pago, usando de tarjetas clonadas se
logra efectuar retiros fraudulentos de millones de dólares en cuestión de pocas horas.
Esta operación es posible violando los sistemas de seguridad de las tarjetas, con una
técnica conocida como “operación ilimitada”, en la que, con un malware, se accede a la
información del cliente del banco (lo que permite clonar la tarjeta) y acto seguido se
desactivan las alertas o barreras de seguridad de los cajeros y se modifican los límites de
disposición de efectivo forzando al cajero a entregar cualquier monto deseado.

Justamente, el 17 de agosto, en la tarde, un gran número de usuarios reportaron, en

diversas redes sociales, que habían tenido problemas con sus tarjetas y en los cajeros,
así como con las páginas web de diversas instituciones.

El mismo día, ASBANC lanzó un comunicado señalando lo siguiente: “La Asociación

de Bancos del Perú (ASBANC) informa que como parte de su labor de velar por el
óptimo funcionamiento del sistema financiero nacional, detectó que desde las 3 de la
mañana de hoy se venían realizado una serie de ataques cibernéticos contra distintos
agentes del sistema financiero mundial. En el caso peruano, ni bien se recibió la alerta,
los asociados a ASBANC activaron sus protocolos de seguridad y han monitoreado sus
sistemas para prevenir cualquier situación que afecte el normal desenvolvimiento de
las actividades bancarias en el Perú (…)”2.

Igualmente, diversos Ministerios circularon Alertas indicando que, ante el ataque

mediante un virus ransomware, se había procedido a bloquear las páginas de las
siguientes entidades: INTERBANK, SCOTIABANK, MIBANCO y TELEFONICA.

Si bien, al término de la jornada, ASBANC y las diversas instituciones financieras y

bancarias se pronunciaron señalando que se había repelido exitosamente el ataque
cibernético, esta situación ha permitido tomar conciencia de la problemática asociada a
los riesgos cibernéticos y la necesidad de protegerse contra los mismos.

II. Precisiones en torno al riesgo de ataque cibernético y el cybercrimen

El riesgo cibernético no es algo nuevo, siendo éste tan antiguo como la difusión y uso
masivo del ciberespacio. Sin embargo, llegado este punto, cabe preguntarse: ¿En qué
consisten los ataques cibernéticos? y, desde una perspectiva de corte más jurídico, ¿Qué
es el cybercrimen?

Un ataque cibernético puede ser entendido, de manera sencilla, como todo ataque o
agresión que se efectué empleando el cyberespacio, el cual puede conllevar a la
destrucción de bienes físicos o una afectación puramente virtual, y puede estar motivado
por intereses puramente económicos o incluso de orden político (como son, por
ejemplo, los casos de cyberterrorismo).

Con relación al cybercrimen o los cyberdelitos, la Unión Europea, a través de la

Comisión Europea – Sección de Trabajo contra el cybercrimen, define a este como todo
acto criminal o delictivo que se comete de manera online empleando redes de
comunicación electrónica y sistemas de información. Dicha Comisión ha tipificado
dichos actos en tres grandes categorías:

2 Véase el comunicado completo en el siguiente link:

http://www.asbanc.com.pe/Paginas/Noticias/DetalleNoticia.aspx?ItemID=682
i) Delitos específicos contra la Internet, tales como ataques contra sistemas
informáticos o phishing (suplantación de identidad).

ii) Fraude y falsificación online, siendo que tales crímenes a gran escala emplean
conjuntamente el robo de identidad, phishing, spam así como códigos maliciosos.

iii) Contenido ilegal online, incluidos pornografía infantil, incitación al odio racial y
actos terroristas, así como terrorismo, racismo y xenofobia.

A nivel normativo, uno de los textos más importantes en la materia es el Convenio

Sobre Ciberdelincuencia de la Unión Europea, suscrito en Budapest en el 2001, el cual
reconoce los siguientes delitos cibernéticos:

i) Delitos contra la confidencialidad, la integridad y disponibilidad de los datos y

sistemas informáticos (acceso ilícito, interceptación ilícita, ataque a la integridad de
los datos, ataque a la integridad del sistema, abuso de los dispositivos).

ii) Delitos informáticos (falsificación informática y fraude informático).

iii) Delitos relacionados con el contenido (delitos relacionados con la pornografía

infantil).

iv) Delitos relacionados con infracciones con las infracciones de la propiedad

intelectual y los derechos afines (delitos relacionados con infracciones de la
propiedad intelectual y afines).

Toda vez que el presente comentario se centra en los ataques a los datos y a los sistemas
informáticos, procedemos a dar un sucinto recuento de los tipos de ataques cibernético
más comunes en la materia:

- El Malware.- Con dicho término genérico se alude a todo software malicioso que
permite infiltrarse en un sistema con la intención de dañarlo.

- El virus.- Es el tipo de malware más conocido, el cual infecta sistemáticamente los

ficheros de un sistema mediante un código malicioso, luego que el usuario activa o
ejecuta el mismo, destruyendo el sistema o la red.

- Los gusanos.- Son programas que, un vez activados, proceden a realizar copias de
si mismo y se difunden por intermedio de las redes y que se diferencian de los
virus, en tanto no requiere que el usuario lo active ni necesita de un medio de
respaldo ya que pueden transmitirse por correos electrónicos o las propias redes. La
intención de este tipo de malware, no es la destrucción del sistema sino la creación
de botnets, esto es redes de ordenadores que ejecutan de manera simultánea
cualquier orden o acción que se les indique de manera remota.

- Los troyanos.- Son malware muy parecidos a los virus, pero con la diferencia que
no tienen una finalidad destructiva directa, por el contrario, este permite el ingreso
de otros códigos o programas maliciosos (es decir, actúa como un Caballo de
Troya).
- El spyware.- Es un programa espía que permite la obtención de información de un
sistema de manera camuflada y silenciosa, lo que permite a este malware espiar el
sistema sin ser detectado e incluso puede instalar otros programas en el mismo.

- El ransomware.- Es un tipo de software destinado a secuestrar datos o sistemas con

la intención de solicitar un rescate por los mismos, ya sea mediante una
transferencia bancaria o mediante el uso de bitcoins.

- El spoofing o phishing.- Lo resaltante de esta modalidad es la ausencia de un

spoftware en su ejecución, siendo que lo que se emplea es la suplantación de
identidades, a través de correos electrónicos, mensajes o llamadas telefónicas,
siendo que se solicitan a los usuarios sus datos confidenciales para posteriormente
utilizar los mismos para perpetrar fraudes.

- Denegación de servicio distribuido o DoS).- Este ciber ataque tiene por finalidad la
saturación y colapso de un servidor, lo cual se logra mediante, el envío masivo, y
desde diversos ordenadores, de peticiones a dicho servidor.

- El cryptojacking.- Esta es una reciente modalidad de cyber ataque que consiste en

secuestrar computadoras, móviles y tablets con el objetivo de minar, sin el
conocimiento y autorización del usuario, criptomonedas. Esto se logra mediante el
uso no autorizado de dichos dispositivos, los cuales al ingresar a una web insertan
sin saberlo un código oculto, por lo cual cada vez que la persona visite la web, parte
del procesamiento del equipo se usa para minar o generar criptomonedas.

Finalmente, para evidenciar cuanto les cuesta este tipo de ataques a las empresas
privadas y a los Estados traemos a colación seis de los ataques cibernéticos más
conocidos de la historia:

- El ataque cibernético que sufrió AOL en el 2004, por parte de uno sus ex ingenieros
y por el cual se sustrajo la lista de correos de 92 millones de usuarios, las cuales
luego fueron vendidas a spammers, quienes enviaron 7 mil millones de correos no
deseados a dichas cuentas.

- El ataque que sufrieron Heartland Payment Systems en el 2008, por parte del
equipo del hacker Albert Gonzales, y por el cual se sustrajeron los datos de 130
millones de tarjetas de crédito y de débito.

- El ataque que sufrieron las cuentas bancarias de ADOBE en octubre del 2013, y que
afectó aproximadamente a 152 millones de usuarios.

- El ataque que sufrió la cadena de almacenes Target en diciembre del 2013 y que
afectó a un total de 70 millones de usuarios aproximadamente y que tuvo un costo
para la empresa de al menos 61 millones de dólares.

- El ataque que sufrió Ebay, en el 2014 y por el cual se sustrajeron datos personales
de al menos 145 millones de usuarios desconociéndose el volumen de información
sustraída.
- El ataque de fecha 12 de mayo del 2017, efectuado mediante el ransomware
denominado WannaCry que fue calificado como el mayor ataque cibernético,
empleando dicha modalidad, de la historia. Siendo que se logró secuestrar al menos
230,000 computadoras en más de 150 países y trajo un costo de más de 140,000
dólares en bitcoins.

Incluso, sin ir muy lejos, recientemente (el 24 de mayo del 2018) el Banco de Chile
sufrió un ataque cibernético por el cual se sustrajo más de 10 millones de dólares. Si
bien la versión oficial del banco fue el que se había empleado un virus para tal ilícito, lo
cierto, según especialistas en ciberseguridad3, es que se trató de la explotación
(exploids) de una vulnerabilidad original del sistema.

III. Los seguros de riesgos cibernéticos

Justamente para hacer frente a estos riesgos, desde inicios del 2000, las empresas
aseguradoras, vieron en la internet, y su uso creciente por parte de las compañías (esto
es la denominada burbuja dot.com), un nuevo nicho de mercado, desarrollando
productos de seguros dirigidos a empresas que vieron en el comercio electrónico el
futuro de las relaciones comerciales, tales como amazon, Google y Ebay entre otros.

Si bien es cierto, originalmente la colocación de dichos productos no fue ni sencilla ni

masiva (debido a que en dichos años los ataques cibernéticos no eran a gran escala ni
implicaban pérdidas cuantiosas de dinero), a la fecha el mercado de cyberseguro está en
un claro auge como consecuencia de la difusión de los ciber ataques así como el
impacto/intensidad de estos, como se ha podido ver en el acápite precedente. Es así que,
según el estudio de VERISK (firma líder en procesamiento de datos de mercado)
denominado “Sizing the Standalone Commercial Cyber Insurance Market” publicado en
marzo del 20184, la responsabilidad civil cibernética en el año 2016, excluyendo las
pólizas multirriesgo (que contienen dicha cobertura como parte de los riesgos
asegurados), recaudó primas por aproximadamente $ 1.5 mil millones en el mercado
estadounidense, e incluyendo las pólizas multirriesgo se llega a unos $ 2.5 mil millones,
siendo que se estima que en los años sucesivos las mismas se incrementarán a una ratio
de 20-30 % anual, pudiendo llegar, al 2020, a reanudarse aproximadamente 6.2
billones5, tal como se aprecia en el siguiente cuadro6:

3 Véase la nota: Entendiendo el ataque al Banco de Chile: ¿Qué diferencia a un virus común de una
vulnerabilidad en el sistema?, en el siguiente link
http://www.emol.com/noticias/Tecnologia/2018/06/11/909452/Entendiendo-el-ataque-al-Banco-de-Chile-
Que-diferencia-a-un-virus-comun-de-una-vulnerabilidad-en-el-sistema.html
4 Véase la nota de prensa Verisk Projects Written Premium for Commercial Cyber Liability to Reach
$6.2B by 2020 en https://www.verisk.com/press-releases/2018/march/verisk-projects-written-premium-
for-commercial-cyber-liability-to-reach-62b-by-2020/
5 VERISK, Sizing the Standalone Commercial Cyber Insurance Market, p. 2
6 VERISK, Sizing the Standalone Commercial Cyber Insurance Market, idem.
Por otro lado, según el Risk Barometer 20187, elaborado por ALLIANZ, el cyber riesgo,
continua su incremento, pasando del puesto N° 15 de exposición al riesgo en el 2013, al
puesto N° 2 en el 2018 en Europa y Asia-Pacífico.

Si bien es cierto, el cyberseguro se encuentra ampliamente difundido en Estados

Unidos, Europa y Asia, en los países latinoamericanos recién está haciendo su ingreso
en los últimos años, siendo que no existe un modelo único o pólizas estándar de
acepción internacional para tipo de dichos productos, por lo cual se trabajan las mismas
en base a un wording básico el cual se va moldeando según el mapa de cyber riesgos8 de
la empresa contratante.

No obstante ello, las típicas secciones de coberturas que ofrecen este tipo de seguros son
de dos tipos: i) Una cobertura de daño a terceros (la cual es propiamente la cobertura de
responsabilidad civil); y, ii) Una cobertura de daño propios.

La sección de daño a terceros, normalmente estos son los clientes de las empresas
contratantes, comprende las siguientes coberturas:

- Reclamos o acciones de responsabilidad civil por pérdida o sustracción de datos

personales.

7Véase el mismo en: https://www.allianz.com/v_1516057200000/media/press/document/AGCS-

RiskBarometer-2018_EN.pdf
8 Sobre el particular, se ha señalado que “el mapa de ciber riesgos constituye una herramienta inicial de
suma importancia, previo a la suscripción de la cobertura de ciber riesgos, ya que este mapa permitirá
identificar, analizar y evaluar los riesgos que desean ser transferidos y asegurables, como también para
diseñar un correcto plan de contingencias y aplicar las medidas de seguridad más adecuadas”. (Cerda,
Sebastian, Mapa de riesgos y plan de contingencias en el seguro de ciber riesgos, Ponencia dada en el
XVII Congreso Nacional de Derecho de Seguros, llevado a cabo los días 2,3,4 de mayo del 2018 en
Mendoza – Argentina.
- Reclamaciones por incumplimiento de custodia de datos, difamación en medios
corporativos o infección por malware.

- Costos de notificación de la vulneración de la privacidad a los clientes afectados.

- Costos de notificación a la autoridad que supervisa y tutela la privacidad de los

clientes.

- Cobertura de cibercrimen: phising, fraude online, hacking de medios telefónicos.

Por otro lado, la sección de daños propios hace referencia a todas las pérdidas
patrimoniales sufridas directamente por el contratante como consecuencia de un ataque
cibernético siendo las coberturas típicas las siguientes:

- Sustracción de datos o de dinero.

- Destrucción o contaminación de datos o información, lo cual conlleva los costos de

reparación de los soportes físicos y de recuperación de la información.

- Costos de consultoría e investigación especializada en ciberseguridad (para

descubrir las causas y la forma como se perpetró el ciber ataque).

- Gastos de gestión y comunicación de crisis, lo cual permite que el daño

reputacional de la compañía se el menor posible.

- Extorsión, generalmente derivada del secuestro de datos o de sistemas mediante

ransomware, lo cual implica el pago de un rescate.

- Denegación de Acceso.

- Defensa jurídica y tutela contra sanciones o multa por parte de la autoridad que
tutela la privacidad de los datos.

- Business Interruption. Una mención especial merece esta cobertura, siendo una de
las más llamativas para las empresas, toda vez que el ciber ataque puede dejar en
stand by la actividad productiva de la empresa, lo cual genera un corte relevante de
ingresos, desestabilizando el sistema de ingresos y pagos de la compañía.
Como es ampliamente conocido, la indemnización por interrupción del negocio
abarca tanto el lucro cesante (derivado del impedimento de la normal ejecución de
la actividad economía de la empresa) como la asunción de gastos fijos hasta que se
reestablezca la norma marcha del negocio.
Este tipo de cobertura para este producto de seguros tiene la particularidad, a
diferencia de los seguros tradicionales, de no exigir el daño a bienes tangibles, en
tal sentido la doctrina argentina ha señalado acertadamente lo siguiente:
“Corresponde destacar que en los casos de Business Interruption y de Business
Interruption Contingente (que en algunos se ampara con un sublímite) de los
Seguros de CyberRisk es que dicho requisito no se exige, dado que en la gran
 mayoría de los casos, van a tratarse de daños al software, o un denegación de
acceso (D.O.S.), o una extorsión de un hacker, etc.”9

Otra cobertura relevante, y que es opcional, es la referida a la denominada cobertura por

remediación y evitación del evento, la cual está orientada a mejorar, actualizar u
optimizar los sistemas de seguridad a fin de realizar updates, corregir las
vulnerabilidades originales del sistema entre otras medidas de seguridad.

IV. El cyberseguro en el mercado peruano

En el mercado peruano, las pólizas de riesgo cibernético, normalmente se ofrecían

mediante una operación de fronting (es decir, una empresa de seguros nacional contrata
con el asegurado original y al mismo tiempo procede a reasegurar la mayor parte o
incluso el 100% del riesgo con una empresa de reaseguro del extranjero especialista en
dicho seguro como lo son ZURICH, AIG, ALLIANZ).

A la fecha existen únicamente dos empresas de seguros que ofrecen sus propias pólizas
de cyberseguro, las cuales están debidamente registradas en la SBS: i) Chubb Perú S.A.
Compañía de Seguros y Reaseguros; y, ii) Rímac Seguros y Reaseguros S.A.

El seguro ofrecido por CHUBB PERÚ ofrece, a nivel de delimitación positiva del
riesgo, como riesgos principales expresamente cubiertos, los siguientes: i) Pérdidas
causadas a terceros (responsabilidad por privacidad; responsabilidad por seguridad de la
red; responsabilidad por contenidos electrónicos); y, ii) Pérdidas Propias (Cyber
Extorsión; pérdida de activos digitales e interrupción del negocio).

Igualmente se plantean como principales riesgos excluidos (delimitación negativa del

riesgo) los siguientes: i) Supuestos en los cuales el asegurado o personal a su cargo,
hayan cometido o permitido, con intención o conocimiento, cometer violaciones o faltas
a las leyes (de la materia); ii) Supuestos en los cuales se den acciones u omisiones
criminales deliberadamente fraudulentas o deshonestas; iii) Supuestos en los cuales el
asegurado, o el personal a su cargo hayan obtenido de manera indebida ganancias
personales, utilidades secretas o ventajas ilícitas; iv) Daños corporales o materiales así
como los derivados de estos; v) Incumplimientos contractuales a menos que los mismos
se deriven de violaciones de deberes de confidencialidad o privacidad de datos; vi)
Fallas, interrupciones, o corte de servicio de acceso de internet, donde se aluje su pagina
web, y que no estén bajo su control directo; vi) Los que resulten de una recolección de
datos indebida, no autorizada o culposa, o sin el aviso respectivo al usuario, a menos
que se trate de una violación no intencional de la regulación de privacidad de datos; vii)
Los que se deriven de errores de programación a menos que se demuestre que el error
de programa surgió de un programa aceptado.

Por su parte, la póliza ofrecida por RIMAC se divide en dos tipos de cobertura: i) Cobertura
básica (Cobertura de Pérdida o Robo de Datos, Cobertura de Responsabilidad Civil por
Violación de la Confidencialidad; Cobertura de Protección contra Violación de la
Privacidad / Violación de Datos Personales, Cobertura de Responsabilidad por
Violación de la Privacidad / Violación de Datos Personales, Cobertura de

9 Sobrino, Waldo, Seguros de cyber risk (A propósito del ciberataque mundial de fecha 12 de mayo de
2017), en Revista Ibero-Latinoamericana Vol. 26, N° 47, Pontificia Universidad Javierana, Bogotá, 2017,
pp. 156-157.
Responsabilidad Civil por Seguridad del Red, Cobertura de Riesgos de la Reputación
del Asegurado); y, ii) Coberturas adicionales (Cobertura de Extorsión Cibernética,
Cobertura de Interrupción de Negocio, Cobertura Estándar de Seguridad de Datos en la
Industria de Tarjetas de Pago).

V. Conclusiones

La reciente ola de ataques cibernéticos, ha evidenciado lo vulnerable que pueden ser las
empresas y las instituciones públicas frente a tal riesgo, así mismo el impacto
económico derivado del mismo puede ser tan intenso que puede determinar la quiebra
de compañía, por lo cual una adecuada gerencia de tal riesgo debería pasar por la
contratación de una póliza de riesgo cibernético, la cuales están intentándose expandirse
no sólo a las grandes empresas sino a las medianas y pequeñas empresas e incluso a los
ciudadanos de a pie y que, creemos, tendrá una mayor presencia en nuestro mercado
nacional en los siguientes años.

Finalmente, a modo de muestra de la utilidad de este seguro debemos indicar que de los
61 millones de pérdidas que se le generó a TARGET en el 2013, 44 millones fueron
asumidos por el sistema de seguros, internalizando únicamente la empresa una pérdida
de 17 millones.