Cada vez que leo o escucho que una persona o una empresa pagó un rescate ante un ataque de ransomware, mi corazón se encoge un poco. En cada ocasión me preocupa que nos estemos alejando de poder desmonetizar a los cibercriminales y disuadirlos de llevar a cabo este tipo de delitos. Pero nada es más desalentador que los rescates que pagan las empresas de seguros como parte de sus pólizas contra riesgos cibernéticos. Eso fue lo que ocurrió en Riviera Beach, Florida, cuando el Concejo Municipal decidió por voto unánime solicitarle a su aseguradora que pagara casi 600 mil dólares en criptomonedas a los hackers que tomaron el control del sistema informático de la ciudad.
Ya es de por sí malo que las víctimas de ataques de ransomware paguen los rescates con su propio dinero, dado que, al financiar a los criminales, fomentan más ataques. A su vez, esto alerta a otros criminales sobre el hecho de que estos blancos tienen dinero disponible y ceden ante los pedidos de rescate. Pero cuando esos pagos los realizan aseguradoras, las víctimas toman tanta distancia de estos costos y se acostumbran tanto a pagar sus pólizas como un gasto regular de gestión de riesgos, que los ataques de ransomware terminan siendo un costo cotidiano de las operaciones de negocios, cada vez más aceptado y legitimado.
En un ataque de ransomware, una persona infecta tu computadora con malware, el cual suele encriptar el disco duro, y luego ofrece desencriptarlo a cambio de un pago en alguna criptomoneda anónima, como bitcoin. En otras ocasiones he sostenido que ceder ante las demandas de rescate en casos de ransomware es un error –por lo menos, desde una perspectiva social, si no personal–, excepto en casos de vida o muerte. Cuantas más personas paguen los rescates, más lucrativo será el modelo de negocios y más criminales querrán aprovecharlo.
A diferencia de otros tipos de ciberdelitos, como el fraude con tarjetas de crédito o el robo de identidad, los costos de los ataques de ransomware recaen directamente en las víctimas y no en sus bancos o redes de tarjetas de pago. Esto significa que, como los costos están tan dispersos, no hay intermediarios centralizados –como podrían ser Visa o Mastercard, o las autoridades hacendarias de un país– con medios y fondos necesarios que tengan un fuerte incentivo para detectar, investigar o luchar contra los ataques ransomware.
También significa que en lugar de vender tus datos robados a otros criminales, los cuales usarían para abrir cuentas, pedir devoluciones de impuestos a tu nombre o realizar compras con tu número de tarjeta de crédito, los criminales te están vendiendo tus propios datos a ti. Entonces, muchos datos que de otro modo no valdrían nada en el mercado negro, como tus fotos, tus documentos de Word, tus correos electrónicos, de pronto se vuelven valiosos, a diferencia de datos como tu número de Seguridad Social, tu fecha de tu cumpleaños o tu dirección, que probablemente ya han sido robados y vendidos en varias ocasiones. Y, sobre todo, en el caso de los ataques de ransomware, las fuerzas de seguridad se quedan afuera de una de sus principales vías para investigar ciberdelitos y encontrar a los cibercriminales: el monitoreo de foros en línea del mercado negro.
Por todas estas razones, los ataques de ransomware pueden ser una forma de crimen cibernético muy lucrativa y de poco riesgo para los cibercriminales. Esto se acentúa cuando entran en juego las empresas de seguros contra riesgos cibernéticos, porque las víctimas se encuentran un eslabón más lejos del pago del rescate y entonces no sienten que están perdiendo su propio dinero o que están recompensando a los criminales de forma directa. Solo están haciendo uso de las primas del seguro que le pagaron previamente a la aseguradora. Eso hace que sea mucho más fácil tomar la decisión de pagar un rescate.
Algunas de las principales empresas de seguros ofrecen de forma explícita en sus pólizas contra riesgos cibernéticos una cobertura por pagos en casos de extorsión en línea y cada vez son más los pagos que se deben realizar en respuesta a esta cobertura. Algunas compañías incluso han intentado utilizar pólizas de seguro contra secuestros para cubrir esos pagos de rescates por ataques en línea, pero no está claro si algún reclamo de esta índole ha prosperado. Si bien son pocas las organizaciones que anuncian públicamente que han utilizado sus pólizas de seguro para realizar estos pagos de rescate, las pólizas de seguro contra riesgos cibernéticos también cubren otros costos relacionados con los ataques de ransomware, como el costo de restaurar o reemplazar los sistemas afectados.
Sin embargo, las pólizas de este tipo son tan nuevas que las empresas de seguros y sus clientes no siempre están de acuerdo respecto de cuáles son los riesgos que cubren. Por ejemplo, la empresa de productos alimenticios Mondelez International ha presentado una demanda contra la empresa de seguros Zurich Insurance debido a que esta se negó a cubrir los costos de reemplazo de los equipos informáticos afectados por el ataque del ransomware conocido como NotPetya en 2017. Por lo tanto, existe la posibilidad de que la empresa que asegura al municipio de Riviera Beach se niegue a realizar el pago según las características específicas de la póliza en cuestión y del ataque en particular (en el caso de Zurich, la negativa se basó en el argumento de que el ataque de NotPetya se podía encuadrar como un acto terrorista, lo que lo excluía de la cobertura de la póliza). Pero la sola idea de que el Concejo Municipal considere que la empresa de seguros realizará el pago por más de medio millón de dólares indica que su póliza incluye cobertura por extorsión en línea por un monto así de exorbitante, lo cual es de suyo preocupante.
Las pólizas de este tipo generan incentivos confusos tanto para las empresas de seguros como para los clientes. Por un lado, las empresas de seguros tienen un incentivo para proteger a sus clientes de los ataques de ransomware si se encuentran obligadas a pagar los rescates correspondientes. En un escenario ideal, las empresas de seguros podrían incluso actuar como ese intermediario centralizado y poderoso que tiene los datos y los medios para implementar mejores protecciones contra ataques de ransomware en toda su cartera de clientes, de forma similar a lo que hacen Mastercard y Visa respecto del fraude con tarjetas de crédito.
Pero la realidad es que muchas empresas de seguros no tienen el conocimiento técnico para poder siquiera identificar esas protecciones y mucho menos para exigirlas o auditar su implementación. Además el mercado de las pólizas de seguro contra riesgos cibernéticos es un mercado en alza con primas muy altas. Esto significa que, por el momento, las empresas de seguros pueden pagar los rescates por algunos de sus clientes sin sufrir grandes pérdidas económicas, porque pueden cobrar esas primas tan altas por las pólizas.
En cierta forma, así es como funcionan todas las pólizas de seguros: las personas y las empresas pagan a una empresa de seguros la misma suma de dinero que habrían gastado en el caso de un desastre a gran escala pero dividida en varios pagos más pequeños y, así, cuando el desastre realmente ocurre –ya sea un terremoto, un diagnóstico de cáncer o un ataque de ransomware–, la víctima no debe pagar el monto total en el momento. La diferencia en este caso es que los pagos de los rescates financian directamente las actividades criminales. Los pagos a raíz de los seguros contra riesgos cibernéticos, como el que ha autorizado el Concejo Municipal de Riviera Beach, no solo aíslan a las organizaciones de los altos costos de tener que pagar una gran suma de dinero en el momento, sino que también fomentan la actividad criminal y adosan los costos de fomentar la actividad criminal a la actividad limpia, responsable y ética que es la gestión de riesgos y la contratación de seguros.
La cuestión es que contratar un seguro para reemplazar las computadoras infectadas, notificar a las víctimas o pagar a los abogados en el caso de un incidente de seguridad no es lo mismo que contratar un seguro para pagar a los criminales de forma directa. Esta última opción puede resultar más barata que ignorar las exigencias de los hackers e insistir en restaurar el sistema de la forma difícil, pero convierte a las empresas de seguros y a sus clientes en cómplices que financian la actividad criminal y asegura que esos criminales tengan ganancias estables por muchos años más.
Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
profesora asistente de políticas de ciberseguridad en la Tufts Fletcher School of Law and Diplomacy.