viernes, octubre 31, 2025
Lo último:
COBERTURA #88Interés General

Aumento de las reclamaciones por ciberseguridad

Valeria Díaz Zettelmann

En 2023, se registraron 1.300 casos de demandas colectivas relacionadas con filtraciones de datos, más del doble que en 2022 y cuatro veces más que en 2021. 

Actualmente, el riesgo cibernético se clasifica  como el riesgo empresarial número uno a nivel mundial, muy por delante de riesgos tales como las interrupciones de la cadena de suministro, las catástrofes naturales, los cambios en la legislación y otros factores macroeconómicos.

Las opiniones de tres aseguradoras líderes, Allianz, Coalition y Netdiligence, brindan una explicación clara sobre la evolución del panorama de las amenazas:

La gravedad de los siniestros aumenta cada año

Según Allianz, la gravedad de las reclamaciones cibernéticas (por valor en dólares) aumentó un 17% en 2024, en comparación con un aumento de sólo el 1% en 2023. Coalition ha observado una tendencia similar en 2024:aumento de la gravedad de las reclamaciones en un 14% en empresas de todos los tamaños. En las empresas con ingresos superiores a US$100 millones, la severidad se disparó un 140%. Adicionalmente, si los ataques de ransomware conducen a la exfiltración de datos, se convierten rápidamente en violaciones de la privacidad de los datos, lo que desencadena reclamaciones de mayor sustancialidad.

El ransomware y el BEC (Compromiso del correo electrónico empresarial) dominan las reclamaciones de seguros

Los ataques de ransomware y de compromiso del correo electrónico empresarial (BEC por sus siglas en inglés) no sólo acaparan todos los titulares, sino también los siniestros. En Allianz, el ransomware representó el 58% del valor de los grandes siniestros cibernéticos (siniestros superiores a EUR1 millón). En Coalition, más de la mitad de las reclamaciones (el 56%) fueron consecuencia de fraudes por transferencia de fondos o de ataques BEC. En NetDiligence, el 53% de los siniestros cibernéticos registrados entre 2019 y 2023 se debieron a ataques de ransomware y BEC.

En 2023, existieron 1.300 demandas colectivas relacionadas por violaciones de datos, más del doble que en 2022, y cuatro veces más en comparación con 2021.

Actualmente, el riesgo cibernético es clasificado como el riesgo empresarial número uno a nivel global, llevando la delantera a riesgos como las interrupciones de la cadena de suministro, las catástrofes naturales, los cambios en la legislación y demás factores macroeconómicos.

La conectividad de terceros conduce a una mayor exposición al riesgo

Con la creciente dependencia de terceros para la provisión y para la gestión del software, el almacenamiento de los datos y los servicios, surgen nuevas capas de complejidad y de riesgos. Coalition descubrió que casi el 23% de las empresas sanitarias, cuyos ingresos superan los US$100 millones, se vieron afectadas por el ataque Change Healthcare. Del mismo modo, el 75% de los concesionarios automotores, con ingresos superiores a US$100 millones, se vieron afectados por el ransomware CDK Global. Según Allianz, alrededor del 40% de las violaciones de datos se produjeron en múltiples entornos, es decir,  en nubes públicas y en privadas.

Las violaciones de la privacidad producen el aumento de las demandas colectivas

Allianz ha observado un fuerte aumento de las demandas colectivas derivadas de la violación de datos. En 2023, hubo 1.300 demandas colectivas relacionadas con violaciones de datos, más del doble que en 2022 y cuatro veces más que en 2021. Las demandas por violaciones de datos no relacionadas con ataques (es decir, el intercambio de datos sin el consentimiento de los usuarios, el tratamiento ilícito de datos personales, la invasión de la privacidad mediante el rastreo del comportamiento de los consumidores, etc.) han aumentado: un 7% en 2022, un 14% en 2023 y un 21% en el primer semestre de 2024.

El error humano es la principal causa de la mayor parte de los incidentes

Según un informe de Allianz, algunos de los mayores incidentes de los últimos 18 meses provienen de errores humanos comunes, como ser víctimas del phishing, de credenciales comprometidas, de desconfiguraciones de la nube y de ataques BEC. Del mismo modo, en NetDiligence, los ataques BEC son la segunda causa principal de los daños económicos de  las PYMES. Asimismo, Coalition ha reforzado esta tendencia: la causa principal de más de la mitad de los siniestros cibernéticos fueron los ataques BEC y el phishing. Estas estadísticas subrayan que el error humano es una de las vulnerabilidades más significativas y persistentes de la  ciberseguridad.

Las aseguradoras con más recursos son proactivas, no reactivas

Tanto las aseguradoras de ciberriesgos como sus clientes comparten un objetivo común: la reducción del riesgo y la minimización de los daños derivados de los ciberataques. Trabajando conjuntamente para la prevención de los ciberataques y de las brechas, las organizaciones podrán mejorar la resiliencia, impulsar la salud financiera, mejorar la confianza de los clientes y la reputación empresarial, reducir los costos de  seguros y obtener una mejor cobertura. El marco mínimo para una prevención eficaz incluye:

  • Concentración en las amenazas más frecuentes: Canalización de los esfuerzos de seguridad hacia las amenazas que producen el 90% de los ataques. Impedimento de las distracciones relacionadas con las narrativas comercializadas por los proveedores de seguridad. El phishing, el robo de credenciales y las vulnerabilidades sin parches son algunas de las amenazas más comunes y generalizadas que producen brechas de seguridad.
  • Estrategia de defensa basada en datos: Un mejor conocimiento de la propia infraestructura y de los riesgos a los que se encuentra expuesta. Aplicación de soluciones, de procesos y de contramedidas de seguridad específicas, tras el reconocimiento del entorno y de las amenazas, en lugar de una confianza ciega y exclusiva en el asesoramiento externo.
  • Medidas de ciberseguridad multicapa: Despliegue de defensas multicapa para la garantía que, ante la falla de una capa, las capas adicionales detectarán y bloquearán la amenaza. Esto incluye la autenticación multifactor resistente al phishing, los cortafuegos, la detección y la respuesta de endpoints, la seguridad en la nube y del correo electrónico y web, etc.}
  • Empleados con conciencia cibernética: La representación de los errores humanos es de casi el 75% en todas las violaciones de datos. Las organizaciones deben asegurar la educación de sus usuarios sobre los riesgos, probando y validando sus reflejos de seguridad mediante ejercicios de simulación de phishing, mejorando su concientización sobre  las normas, las políticas y los procedimientos de seguridad, responsabilizando a los usuarios por la seguridad y garantizando la adhesión a las mejores prácticas de seguridad.
  • Gestión de riesgos de terceros: Evaluación de la postura de ciberseguridad de los vendedores y de los proveedores de una organización, asegurando la adhesión a las mejores prácticas. Las auditorías de seguridad periódicas y las obligaciones contractuales ayudarán en la mitigación de los riesgos de la cadena de suministro. El mantenimiento de una lista de materiales de software (SBOM por sus siglas en inglés) ayudará a los equipos de seguridad en la comprensión de los diversos componentes de los productos de software, incluyendo las dependencias y las vulnerabilidades.
  • Planificación de la respuesta a incidentes: Desarrollo y prueba de un plan de respuesta a incidentes (IR por sus siglas en inglés) ayudará en la minimización del impacto de un ciberataque. Mientras que el costo medio de una violación de datos es de unos US$4,88 millones, los estudios muestran que el ahorro de las organizaciones que cuenta con un equipo de IR y con prácticas regulares de sus planes de IR, es de, al menos, US$2 millones
  • Resiliencia a la privacidad de los datos: Concientización respecto de los datos recopilados. La recopilación y el almacenamiento de la información personal será únicamente para las operaciones de la empresa. Se deberá implementar  un proceso para el deshecho de los datos de forma segura cuando ya no sean necesarios. Asimismo, se deberá aplicar el cifrado y la supervisión del acceso de terceros, restringiendo el acceso a los datos confidenciales sólo a aquellas personas que los requieran con fines empresariales. También, se deberán utilizar herramientas de prevención de fugas de datos y de análisis del comportamiento de los usuarios para la identificación de cualquier acceso o movimiento inusual de datos.

En conclusión, estos informes del sector de seguros subrayan la urgencia del refuerzo de las defensas de ciberseguridad por parte de las organizaciones. Los riesgos generados por el ser humano deberán ser abordados, las amenazas emergentes deberán ser actualizadas periódicamente, y las medidas sólidas de mitigación deberán ser mantenidas. de esta forma, las organizaciones podrán navegar por el cambiante panorama cibernético con una mayor resiliencia. 

FUENTE: www.propertycasualty360.com

También te puede gustar

Medidas sencillas de ciberseguridad

Valeria Díaz Zettelmann

Aumento de M&A mundiales en 2024

Valeria Díaz Zettelmann

Se espera que la industria de seguros móviles en todo el mundo alcance los $ 67 mil millones para 2027

admin