norteOTPETYA ES UN desagradable nombre para el ataque informático más vil del mundo. Incrustado en una pieza inocua de software fiscal, el virus, que según el gobierno estadounidense tenía las huellas dactilares del Kremlin por todas partes, golpeó a Ucrania en junio de 2017, inutilizando agencias federales, sistemas de transporte, cajeros automáticos, incluso los monitores de radiación en Chernobyl, el cáscara de una central nuclear.
Luego se volvió deshonesto, abriéndose camino desde las computadoras de las empresas multinacionales con sucursales locales en Ucrania hasta sus operaciones globales, causando daños colaterales a víctimas que van desde Maersk, una gran compañía naviera, y Saint-Gobain, un gigante francés de la construcción, hasta Mondelez. International, propietario de Cadbury chocolate. El golpe total se calculó en $ 10 mil millones, lo que lo convierte en el ataque más costoso de la historia. Uno de los golpes más costosos recayó en Merck, un fabricante de medicamentos con sede en Nueva Jersey con un valor de mercado cercano a los 200.000 millones de dólares, que perdió 40.000 computadoras en un abrir y cerrar de ojos y se vio obligado a detener la fabricación de su vacuna contra el virus del papiloma humano.
Merck buscó cubrir sus pérdidas cibernéticas con un reclamo de seguro de propiedad de $ 1.4 mil millones. Sin embargo, sus aseguradoras se negaron a pagar, invocando una cláusula del contrato llamada exclusión de guerra. Esto excluye la cobertura en caso de acción bélica por parte de los gobiernos o sus agentes. El asunto terminó en un tribunal de Nueva Jersey. Años más tarde, cuando las tropas rusas y los guerreros cibernéticos vuelven a amenazar a Ucrania, un fallo en el caso ofrece una razón oportuna para explorar cuánto han aprendido las empresas desde entonces sobre cómo lidiar con una guerra cibernética potencialmente catastrófica. La respuesta corta es: no lo suficiente.
El juicio de Merck, hecho público el mes pasado, es potencialmente un hito. Aborda una cuestión de gran importancia en el contexto de la beligerancia actual: ¿la guerra cibernética es guerra? Las aseguradoras de Merck, incluidas firmas como Chubb, argumentaron que había amplia evidencia de que NotPetya era un instrumento del gobierno ruso y parte de las hostilidades en curso contra Ucrania. En otras palabras, fue un acto de comportamiento bélico amparado por la exclusión de guerra. El tribunal, sin embargo, eludió la cuestión de quién fue el responsable del asalto. En cambio, dijo que las aseguradoras no hicieron nada para cambiar el lenguaje de sus contratos para sugerir que la exclusión de guerra incluía ataques cibernéticos. Dijo que era razonable que Merck pensara que la exclusión se aplicaba solo a la guerra “tradicional”, es decir, tanques y tropas, no a gusanos, insectos y piratas informáticos.
No es el veredicto final. Un caso similar de exclusión de guerra que involucra a Mondelez y sus aseguradoras continúa en un tribunal de Illinois. Pero aunque marcó una victoria para Merck, puede ser una victoria pírrica para las empresas en general. Esto se debe a que muchas aseguradoras ahora buscan fortalecer el lenguaje en las pólizas para protegerse mejor de los pagos relacionados con las travesuras cibernéticas patrocinadas por el estado. Si un virus similar a NotPetya viniera del belicismo de Rusia en Ucrania y se enterrara en las cadenas de suministro del mundo, las aseguradoras están dispuestas a asegurarse de limitar su exposición a él. Las consecuencias de eso para las víctimas corporativas podrían ser graves.
La evidencia sugiere que las empresas tienen mucho que temer. El año pasado un informe de HP, una empresa de tecnología, dijo que los ataques patrocinados por el estado se habían duplicado entre 2017 y 2020, y que las empresas eran los objetivos más comunes. Cada vez más, el arma preferida de los piratas informáticos estatales es el malware insertado en el software o el hardware de los proveedores, que es particularmente difícil de detectar para las empresas de la cadena de valor. A diferencia de otros ciberdelincuentes, que atacan y siguen adelante, los estados tienen paciencia estratégica, muchos recursos y están por encima de la ley dentro de sus propias fronteras. También cubren bien sus huellas, por lo que puede ser particularmente difícil atribuir la culpa de un ataque.
Frente a eso, la cautela de la industria de seguros es comprensible. Ya se enfrenta a un aumento en las reclamaciones de ransomware de las empresas durante la pandemia de covid-19, lo que está aumentando el precio de los seguros cibernéticos. El ataque NotPetya reveló el riesgo de “ciberseguridad silenciosa” o riesgo cibernético no especificado oculto en los contratos de seguros. Estos podrían representar un riesgo sistémico para la industria en caso de un ataque correlacionado a gran escala. En parte como respuesta a tales amenazas, Lloyd’s Market Association, un grupo asesor, emitió recientemente cuatro cláusulas modelo para excluir la cobertura de guerra de las pólizas de seguro cibernético. Permiten que las compañías de seguros personalicen sus exclusiones más fácilmente y brindan a las empresas más claridad sobre qué riesgos están cubiertos y cuáles no. Pero parecen proteger más a los aseguradores que a los asegurados.
Todavía es un mercado en evolución. La sentencia de exclusión de guerra de Merck se basó en la jurisprudencia dictada antes de que cibernético fuera siquiera una palabra. La industria de los seguros cibernéticos, aunque está creciendo rápidamente, aún es pequeña e inmadura. Eventualmente, las técnicas actuariales para medir el riesgo cibernético mejorarán, y la industria de seguros mejorará al exigir a los clientes que introduzcan el equivalente cibernético de alarmas contra incendios y sistemas de rociadores para minimizar el peligro. Por ahora, sin embargo, persiste el riesgo de una confusión considerable si estalla algo parecido a una guerra cibernética.
Autoaislamiento
Entonces, ¿qué deben hacer las empresas? Una conocida lista de verificación de medidas de seguridad para implementar incluye cosas como autenticación de dos factores y actualizaciones rápidas de software, que ayudan a mantener a raya a los piratas informáticos. A la luz del peligro de infección a lo largo de la cadena de suministro, ya sea por hardware o software comprometido, las empresas deben evaluar minuciosamente sus exposiciones contingentes: fábricas u oficinas en lugares remotos, subcontratados ESOcomputación en la nube e incluso la propia ciberseguridad.
Las juntas corporativas deben tener una mejor comprensión de los niveles de amenaza. Como dice un exfantasma cibernético, no solo necesitan diversidad racial y de género, sino también diversidad tecnológica, para interrogar a los técnicos de la empresa sobre defensas cibernéticas. Además, deben reconocer la guerra cibernética como uno de los crecientes riesgos geopolíticos que enfrentan las empresas. Asegurarse de que ninguno de los puntos de contacto de una empresa con Ucrania y Rusia sea una vulnerabilidad para el resto de sus operaciones es el primero de muchos pasos que deben tomar. ■
Para obtener un análisis más experto de las historias más importantes en economía, negocios y mercados, suscríbase a Money Talks, nuestro boletín semanal.
Lea más de Schumpeter, nuestro columnista sobre negocios globales:
A medida que colapsa la venta de Arm, la marea se vuelve contra SoftBank (12 de febrero de 2022)
Cómo Sony puede regresar a la guerra de las consolas (5 de febrero de 2022)
Lakshmi Mittal transformó la fabricación de acero. ¿Puede su hijo hacerlo de nuevo? (29 de enero de 2022)
Este artículo apareció en la sección Business de la edición impresa con el título “Cyber-rattling”