El riesgo cibernético es una realidad en México: ¿está protegida su empresa?
Las instituciones financieras mexicanas vivieron recientemente el impacto del riesgo cibernético, con ataques a cinco grandes bancos del país. Este tipo de ataques ya se habían presentado con anterioridad, cuando hackers robaron seis millones de dólares a través del sistema SWIFT a un banco ruso, dos millones de dólares a un banco de la India y 81 millones de dólares al banco central de Bangladesh.
En México, existe un procedimiento llamado SPEI (Sistema de Pagos Electrónicos Interbancarios), el cual permite realizar transferencias electrónicas entre cuentas de diferentes bancos. De acuerdo con el Banco de México (Banxico), los ataques consistieron en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago.
El proceso de ataque identificado en mayo de 2018 por Banxico fue el siguiente:
- Los atacantes vulneran la infraestructura tecnológica de los participantes y generan en sus sistemas órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI.
- Las órdenes de transferencias siempre incluyen el número de la cuenta emisora y de la receptora. En el caso de las generadas ilegítimamente, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las cuentas receptoras son reales. La inserción de estas órdenes de transferencia se realizó en una etapa del proceso ejecutado en los sistemas de los participantes que no contaban con controles para asegurar que dichas órdenes fuesen legítimas.
- Los sistemas de los participantes que fueron atacados firmaron y enviaron al SPEI las órdenes de transferencias ilegítimas validadas como si fueran legítimas.
- El SPEI, al recibir las órdenes de transferencias, revisa que estén firmadas por los participantes, las procesa y abona el monto respectivo en la cuenta que le lleva al participante receptor.
- El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor (en este caso, la cuenta especificada en la orden de transferencia de pago ilegítima).
- Finalmente, los recursos ilegítimos son retirados mediante disposiciones de efectivo.
El verdadero alcance de un ataque cibernético
De acuerdo a la encuesta de Marsh y Microsoft publicada en febrero de este año (link), aunque el impacto financiero de un riesgo cibernético es una de las preocupaciones más importantes y directas de un ataque cibernético, la interrupción del negocio, el daño reputacional y la exposición de la información de los clientes, son, en ese orden, los tres escenarios que presentan el mayor impacto potencial en las organizaciones.
Prevención y respuesta: lecciones aprendidas
Mucho se ha discutido acerca de la necesidad de ver el riesgo cibernético no solamente desde la óptica de los sistemas y la tecnología. Una visión completa del riesgo cibernético implica la participación desde la Alta Dirección, pasando por los departamentos de Finanzas, Recursos Humanos, Administración de Riesgos, Legal y por supuesto, Comunicación.
La participación de todos los involucrados permitirá a las empresas tomar en cuenta el ciclo completo del riesgo, más allá de solamente la prevención, considerando el análisis, la mitigación y la resiliencia cibernética.
De acuerdo al reporte de Marsh & McLennan Companies y la asociación Women Corporate Directors, los ataques que se han presentado en los últimos meses, junto con el descubrimiento de nuevas formas de intromisión cibernética, han servido de aprendizaje para diversas empresas y organizaciones. Algunas de las lecciones aprendidas fueron la necesidad de establecer relaciones con organizaciones que ofrezcan apoyo ante un ataque cibernético, como entidades reguladoras, legales, y agencias de servicios de recuperación, incluyendo análisis forense y de manejo de crisis.
Contar con planes de prevención y respuesta es vital para garantizar la continuidad del negocio, o facilitar su recuperación.
Dentro de las medidas de prevención ante un riesgo cibernético, la cobertura de Cyber risk juega un papel importante en la ecuación al ser un componente sustancial en la recuperación. Y esto lo han reconocido cada vez más los diputados y senadores alrededor del mundo, así como la OECD (Organización para la Cooperación y el Desarrollo Económicos), quien ha recomendado diversas acciones para estimular la adopción del seguro cibernético.
Globalmente, se espera que la demanda de esta cobertura dependa de la frecuencia de incidentes cibernéticos de alto perfil, así como del entorno legislativo y normativo respecto a la protección de la privacidad en muchos países.
¿Qué protege un seguro de Cyber Risk?
El Seguro de Cyber representa una herramienta integral de Transferencia de Riesgo para proteger a las empresas por pérdidas de delitos cibernéticos. El Seguro de Cyber indemniza a una empresa por:
La pérdida reclamada por un tercero afectado por la vulneración de su información.
Los gastos legales de defensa incurridos ante un reclamo basado en la divulgación o pérdida de información de un tercero afectado.
Pérdida por la Interrupción del negocio del asegurado y gastos extras.
Honorarios a terceros (agencias de medios, abogados, despachos de tecnología, call center, etc.) incurridos para atender un evento de vulneración.
Costo de reemplazo de activos digitales.
Gastos incurridos para notificar a los afectados la pérdida de su información.
Pérdidas por actos de extorsión relacionados con la información.
Adicional a la protección de una pérdida, la contratación del Seguro de Cyber puede incluir servicios de prevención de pérdidas y análisis forense.
Hoy, más que nunca, las empresas deben incluir el riesgo cibernético dentro de sus prioridades de negocio, pero sobre todo, deben estar preparadas para minimizar, gestionar y transferir el riesgo.