Professional Documents
Culture Documents
RESUMEN
En este artículo se reflexiona sobre los riesgos asociados a los ataques cibernéticos, ello
a propósito del cyber attack que sufrieron diversas instituciones del sistema financiero y
bancario peruano el 17 de agosto del 2018 y como los efectos económicos negativos
derivados del mismo puede ser gestionados y asumidos por el mercado de seguros a
través de la contratación de las denominadas pólizas cyber o seguros de riesgos
cibernéticos. Igualmente se efectúa una breve descripción de las coberturas
normalmente ofrecidas en dicho seguro y las coberturas y exclusiones presentes en las
pólizas registradas en el mercado peruano.
PALABRAS CLAVES
Cyber attack/ Malware/ Ransomware/ Seguro de riesgo cibernético/ Business
Interruption
Durante la semana pasada, una de las noticias más sonadas en nuestro medio, fue el
ataque cibernético al sistema bancario peruano, el cual fue parte de un intento de hackeo
masivo a mundial por parte de ciberdelincuentes llevado a cabo el 17 de agosto del
2018.
Dicho ataque se efectuaría mediante un esquema de fraude conocido como “ATM cash-
out” (retiro de efectivo mediante cajeros automáticos) en el cual, luego de hackear a una
(*)(*) Master por la Universidad de Castilla - La Mancha en la mención del XII Master en Economía y
Derecho del Consumo (2015-2016); Candidato a Magister de la Maestría con Mención de Derecho de la
Empresa de la Escuela de Postgrado de la UNMSM. Egresado de la Facultad de Derecho de la UNMSM.
Egresado del Programa de Especialización de Arbitraje Comercial y de Inversiones-2014 organizado por
la CCL y la Comisión Interamericana de Arbitraje Comercial. Asociado Senior del Área de Derecho de
Seguros y Litigios y Controversias del Estudio Torres, Carpio, Portocarrero & Richter, la cual parte del
grupo internacional DAC BEACHCROFT LLP. Coautor del libro Diccionario Procesal Civil, Gaceta
Jurídica, Lima, 2013. Miembro Principal del Círculo Financiero Corporativo de la UNMSM.
1 Véase la nota FBI Warns of ‘Unlimited’ ATM Cashout Blitz, en
https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/
entidad bancaria o a un procesador de tarjetas de pago, usando de tarjetas clonadas se
logra efectuar retiros fraudulentos de millones de dólares en cuestión de pocas horas.
Esta operación es posible violando los sistemas de seguridad de las tarjetas, con una
técnica conocida como “operación ilimitada”, en la que, con un malware, se accede a la
información del cliente del banco (lo que permite clonar la tarjeta) y acto seguido se
desactivan las alertas o barreras de seguridad de los cajeros y se modifican los límites de
disposición de efectivo forzando al cajero a entregar cualquier monto deseado.
El riesgo cibernético no es algo nuevo, siendo éste tan antiguo como la difusión y uso
masivo del ciberespacio. Sin embargo, llegado este punto, cabe preguntarse: ¿En qué
consisten los ataques cibernéticos? y, desde una perspectiva de corte más jurídico, ¿Qué
es el cybercrimen?
Un ataque cibernético puede ser entendido, de manera sencilla, como todo ataque o
agresión que se efectué empleando el cyberespacio, el cual puede conllevar a la
destrucción de bienes físicos o una afectación puramente virtual, y puede estar motivado
por intereses puramente económicos o incluso de orden político (como son, por
ejemplo, los casos de cyberterrorismo).
ii) Fraude y falsificación online, siendo que tales crímenes a gran escala emplean
conjuntamente el robo de identidad, phishing, spam así como códigos maliciosos.
iii) Contenido ilegal online, incluidos pornografía infantil, incitación al odio racial y
actos terroristas, así como terrorismo, racismo y xenofobia.
Toda vez que el presente comentario se centra en los ataques a los datos y a los sistemas
informáticos, procedemos a dar un sucinto recuento de los tipos de ataques cibernético
más comunes en la materia:
- El Malware.- Con dicho término genérico se alude a todo software malicioso que
permite infiltrarse en un sistema con la intención de dañarlo.
- Los gusanos.- Son programas que, un vez activados, proceden a realizar copias de
si mismo y se difunden por intermedio de las redes y que se diferencian de los
virus, en tanto no requiere que el usuario lo active ni necesita de un medio de
respaldo ya que pueden transmitirse por correos electrónicos o las propias redes. La
intención de este tipo de malware, no es la destrucción del sistema sino la creación
de botnets, esto es redes de ordenadores que ejecutan de manera simultánea
cualquier orden o acción que se les indique de manera remota.
- Los troyanos.- Son malware muy parecidos a los virus, pero con la diferencia que
no tienen una finalidad destructiva directa, por el contrario, este permite el ingreso
de otros códigos o programas maliciosos (es decir, actúa como un Caballo de
Troya).
- El spyware.- Es un programa espía que permite la obtención de información de un
sistema de manera camuflada y silenciosa, lo que permite a este malware espiar el
sistema sin ser detectado e incluso puede instalar otros programas en el mismo.
- Denegación de servicio distribuido o DoS).- Este ciber ataque tiene por finalidad la
saturación y colapso de un servidor, lo cual se logra mediante, el envío masivo, y
desde diversos ordenadores, de peticiones a dicho servidor.
Finalmente, para evidenciar cuanto les cuesta este tipo de ataques a las empresas
privadas y a los Estados traemos a colación seis de los ataques cibernéticos más
conocidos de la historia:
- El ataque cibernético que sufrió AOL en el 2004, por parte de uno sus ex ingenieros
y por el cual se sustrajo la lista de correos de 92 millones de usuarios, las cuales
luego fueron vendidas a spammers, quienes enviaron 7 mil millones de correos no
deseados a dichas cuentas.
- El ataque que sufrieron Heartland Payment Systems en el 2008, por parte del
equipo del hacker Albert Gonzales, y por el cual se sustrajeron los datos de 130
millones de tarjetas de crédito y de débito.
- El ataque que sufrieron las cuentas bancarias de ADOBE en octubre del 2013, y que
afectó aproximadamente a 152 millones de usuarios.
- El ataque que sufrió la cadena de almacenes Target en diciembre del 2013 y que
afectó a un total de 70 millones de usuarios aproximadamente y que tuvo un costo
para la empresa de al menos 61 millones de dólares.
- El ataque que sufrió Ebay, en el 2014 y por el cual se sustrajeron datos personales
de al menos 145 millones de usuarios desconociéndose el volumen de información
sustraída.
- El ataque de fecha 12 de mayo del 2017, efectuado mediante el ransomware
denominado WannaCry que fue calificado como el mayor ataque cibernético,
empleando dicha modalidad, de la historia. Siendo que se logró secuestrar al menos
230,000 computadoras en más de 150 países y trajo un costo de más de 140,000
dólares en bitcoins.
Incluso, sin ir muy lejos, recientemente (el 24 de mayo del 2018) el Banco de Chile
sufrió un ataque cibernético por el cual se sustrajo más de 10 millones de dólares. Si
bien la versión oficial del banco fue el que se había empleado un virus para tal ilícito, lo
cierto, según especialistas en ciberseguridad3, es que se trató de la explotación
(exploids) de una vulnerabilidad original del sistema.
Justamente para hacer frente a estos riesgos, desde inicios del 2000, las empresas
aseguradoras, vieron en la internet, y su uso creciente por parte de las compañías (esto
es la denominada burbuja dot.com), un nuevo nicho de mercado, desarrollando
productos de seguros dirigidos a empresas que vieron en el comercio electrónico el
futuro de las relaciones comerciales, tales como amazon, Google y Ebay entre otros.
3 Véase la nota: Entendiendo el ataque al Banco de Chile: ¿Qué diferencia a un virus común de una
vulnerabilidad en el sistema?, en el siguiente link
http://www.emol.com/noticias/Tecnologia/2018/06/11/909452/Entendiendo-el-ataque-al-Banco-de-Chile-
Que-diferencia-a-un-virus-comun-de-una-vulnerabilidad-en-el-sistema.html
4 Véase la nota de prensa Verisk Projects Written Premium for Commercial Cyber Liability to Reach
$6.2B by 2020 en https://www.verisk.com/press-releases/2018/march/verisk-projects-written-premium-
for-commercial-cyber-liability-to-reach-62b-by-2020/
5 VERISK, Sizing the Standalone Commercial Cyber Insurance Market, p. 2
6 VERISK, Sizing the Standalone Commercial Cyber Insurance Market, idem.
Por otro lado, según el Risk Barometer 20187, elaborado por ALLIANZ, el cyber riesgo,
continua su incremento, pasando del puesto N° 15 de exposición al riesgo en el 2013, al
puesto N° 2 en el 2018 en Europa y Asia-Pacífico.
No obstante ello, las típicas secciones de coberturas que ofrecen este tipo de seguros son
de dos tipos: i) Una cobertura de daño a terceros (la cual es propiamente la cobertura de
responsabilidad civil); y, ii) Una cobertura de daño propios.
La sección de daño a terceros, normalmente estos son los clientes de las empresas
contratantes, comprende las siguientes coberturas:
Por otro lado, la sección de daños propios hace referencia a todas las pérdidas
patrimoniales sufridas directamente por el contratante como consecuencia de un ataque
cibernético siendo las coberturas típicas las siguientes:
- Denegación de Acceso.
- Defensa jurídica y tutela contra sanciones o multa por parte de la autoridad que
tutela la privacidad de los datos.
- Business Interruption. Una mención especial merece esta cobertura, siendo una de
las más llamativas para las empresas, toda vez que el ciber ataque puede dejar en
stand by la actividad productiva de la empresa, lo cual genera un corte relevante de
ingresos, desestabilizando el sistema de ingresos y pagos de la compañía.
Como es ampliamente conocido, la indemnización por interrupción del negocio
abarca tanto el lucro cesante (derivado del impedimento de la normal ejecución de
la actividad economía de la empresa) como la asunción de gastos fijos hasta que se
reestablezca la norma marcha del negocio.
Este tipo de cobertura para este producto de seguros tiene la particularidad, a
diferencia de los seguros tradicionales, de no exigir el daño a bienes tangibles, en
tal sentido la doctrina argentina ha señalado acertadamente lo siguiente:
“Corresponde destacar que en los casos de Business Interruption y de Business
Interruption Contingente (que en algunos se ampara con un sublímite) de los
Seguros de CyberRisk es que dicho requisito no se exige, dado que en la gran
mayoría de los casos, van a tratarse de daños al software, o un denegación de
acceso (D.O.S.), o una extorsión de un hacker, etc.”9
A la fecha existen únicamente dos empresas de seguros que ofrecen sus propias pólizas
de cyberseguro, las cuales están debidamente registradas en la SBS: i) Chubb Perú S.A.
Compañía de Seguros y Reaseguros; y, ii) Rímac Seguros y Reaseguros S.A.
El seguro ofrecido por CHUBB PERÚ ofrece, a nivel de delimitación positiva del
riesgo, como riesgos principales expresamente cubiertos, los siguientes: i) Pérdidas
causadas a terceros (responsabilidad por privacidad; responsabilidad por seguridad de la
red; responsabilidad por contenidos electrónicos); y, ii) Pérdidas Propias (Cyber
Extorsión; pérdida de activos digitales e interrupción del negocio).
Por su parte, la póliza ofrecida por RIMAC se divide en dos tipos de cobertura: i) Cobertura
básica (Cobertura de Pérdida o Robo de Datos, Cobertura de Responsabilidad Civil por
Violación de la Confidencialidad; Cobertura de Protección contra Violación de la
Privacidad / Violación de Datos Personales, Cobertura de Responsabilidad por
Violación de la Privacidad / Violación de Datos Personales, Cobertura de
9 Sobrino, Waldo, Seguros de cyber risk (A propósito del ciberataque mundial de fecha 12 de mayo de
2017), en Revista Ibero-Latinoamericana Vol. 26, N° 47, Pontificia Universidad Javierana, Bogotá, 2017,
pp. 156-157.
Responsabilidad Civil por Seguridad del Red, Cobertura de Riesgos de la Reputación
del Asegurado); y, ii) Coberturas adicionales (Cobertura de Extorsión Cibernética,
Cobertura de Interrupción de Negocio, Cobertura Estándar de Seguridad de Datos en la
Industria de Tarjetas de Pago).
V. Conclusiones
La reciente ola de ataques cibernéticos, ha evidenciado lo vulnerable que pueden ser las
empresas y las instituciones públicas frente a tal riesgo, así mismo el impacto
económico derivado del mismo puede ser tan intenso que puede determinar la quiebra
de compañía, por lo cual una adecuada gerencia de tal riesgo debería pasar por la
contratación de una póliza de riesgo cibernético, la cuales están intentándose expandirse
no sólo a las grandes empresas sino a las medianas y pequeñas empresas e incluso a los
ciudadanos de a pie y que, creemos, tendrá una mayor presencia en nuestro mercado
nacional en los siguientes años.
Finalmente, a modo de muestra de la utilidad de este seguro debemos indicar que de los
61 millones de pérdidas que se le generó a TARGET en el 2013, 44 millones fueron
asumidos por el sistema de seguros, internalizando únicamente la empresa una pérdida
de 17 millones.