Top 10 Riesgos

1. Ciberataques / violación de datos

Los líderes empresariales consideran que los ciberataques son una epidemia.

En mayo de 2021, el Congreso de los Estados Unidos convocó a los representantes de los mayores bancos del país a una audiencia para examinar los riesgos a los que se enfrentan la instituciones financieras.

En aquel momento, la variante Delta de COVID-19 estaba surgiendo en muchas partes del mundo. Las amenazas de la escasez de materias primas, la inflación, el cambio climático y una posible contracción económica prolongada en Estados Unidos se cernían en el horizonte. Sin embargo, para sorpresa de muchos observadores, los directores ejecutivos de Citigroup, Goldman Sachs, Morgan Stanley y Wells Fargo señalaron los ciberataques como la amenaza más grave para las instituciones financieras estadounidenses y el sistema en su conjunto.

Sus preocupaciones están justificadas. Aunque las instituciones financieras globales tienen niveles de madurez cibernética más altos que la mayoría de las organizaciones, su gran escala y diversidad geográfica han creado desafíos. A lo largo de la última década, el sector ha sufrido numerosos ataques de gran repercusión. Un informe especial de Cyber Talk revela que las organizaciones de servicios financieros experimentaron un aumento del 238% en los ciberataques en el primer semestre de 2020. Casi el 75% de los bancos y grupos de seguros han experimentado un aumento de los ciberdelitos desde el inicio de la pandemia del coronavirus. Mientras tanto, el Departamento del Tesoro de Estados Unidos afirma que Evil Corp, una organización cibercriminal con sede en Rusia, ha robado casi 100 millones de dólares de bancos e instituciones financieras de más de 40 países.

De hecho, los hackers y los delincuentes aprovecharon la pandemia para atacar a todos los sectores empresariales. El número de ciberataques a empresas batió todos los récords en 2020. Por ejemplo, los ataques de ransomware crecieron dramáticamente: un 400% desde el primer trimestre de 2018 hasta el cuarto trimestre de 2020, según el informe Cyber Security Risk Report 2021 de Aon.

Mientras tanto, las Soluciones Cibernéticas de Aon observaron un promedio de tres nuevos errores y omisiones (E&O) y asuntos cibernéticos por día hábil en 2020, un aumento de casi el 100%. La mayoría de estos asuntos estaban relacionados con eventos de ransomware. La empresa de ciberseguridad SonicWall señala que los ataques de ransomware se dispararon a nivel mundial en el primer semestre de 2021 hasta alcanzar los 304,7 millones de dólares, superando el total de todo el año 2020, 304,6 millones de dólares.

Las alarmantes estadísticas relacionadas con la frecuencia y la gravedad de los ciberataques y las funestas advertencias de los líderes empresariales y políticos han aumentado la concienciación sobre este riesgo. En la Encuesta Global de Gestión de Riesgos 2021 de Aon, los participantes de todo el mundo calificaron el riesgo de ciberataques / violación de datos como la amenaza número uno a la que se enfrentan las empresas hoy en día.

Este riesgo aparece en el puesto seis de la encuesta de Aon de 2019. En aquel momento, las empresas participantes preveían que ocuparía el tercer lugar en el futuro. En 2015, solo un sector, el de las telecomunicaciones y la radiodifusión, consideró que el riesgo de ciberataques / violación de datos era una de las principales amenazas. Ahora, otros cuatro sectores (finanzas, seguros, servicios profesionales y tecnología) lo perciben como una amenaza importante. Además, todos los sectores encuestados lo perciben como uno de los 10 principales riesgos, lo que supone una gran demostración de la mayor concienciación sobre este riesgo.

Por otra parte, todos los puestos de trabajo, incluidos los directores financieros, los directores ejecutivos y los directores de personal, ahora clasifican el riesgo de ciberataques / violación de datos en el top 10, aunque ninguno de ellos lo ha clasificado tan alto como los gerentes de riesgo en 2019.

A nivel regional, las empresas de América del Norte han considerado sistemáticamente los ciberataques / violación de datos como el riesgo número uno desde 2019. Su percepción del riesgo está impulsada por el dramático aumento de la frecuencia y la gravedad de las violaciones cibernéticas de alto perfil y los exorbitantes pagos de rescates en América del Norte. En 2020, el Centro de Denuncias de Delitos en Internet del FBI recibió por parte del público estadounidense 791.790 denuncias por todo tipo de delitos en Internet, una cifra récord, con pérdidas declaradas que superan los 4.100 millones de dólares. La grave situación provocó que el editor de tecnología de Yahoo Finance proclamara en una de sus columnas: "Lo siento, Estados Unidos. ¡Ya te han hackeado!" El presidente de la Reserva Federal de Estados Unidos, Jerome Powell, declaró que le preocupa más el riesgo cibernético que otra crisis financiera porque "un evento cibernético" podría tener "un amplio papel" en que el sistema financiero "se paralice."

En este contexto de aumento de los ataques, el riesgo de ciberataques / violación de datos registró el mayor nivel de preparación frente al riesgo, con un 87%. En la categoría de "pérdida de ingresos", ocupa el tercer lugar en la lista de los 10 principales riesgos, con un 18% en 2021. En comparación con otros riesgos de la lista de los 10 principales, el cibernético ha tenido el mayor porcentaje de acciones de mitigación de riesgos adoptadas: el 65% de los participantes afirma haber evaluado el riesgo cibernético, el 46% lo ha cuantificado, el 68% ha desarrollado un plan de gestión de riesgos cibernéticos, el 45% ha evaluado soluciones de financiación y transferencia de riesgos y el 60% ha desarrollado planes de continuidad.

Entonces, ¿por qué el riesgo cibernético está clasificado como el riesgo número uno cuando los niveles de preparación son altos y las pérdidas declaradas son bajas?

Esta alta clasificación podría atribuirse al reconocimiento del papel central que ha desempeñado la tecnología como facilitadora tanto de la supervivencia de las empresas durante los confinamientos por COVID-19 de 2020 como de la aceleración de la actividad económica durante la reapertura. Sin embargo, esta mayor dependencia de la tecnología ha ampliado igualmente las "superficies de ataque", presentando más vulnerabilidades potenciales de seguridad a los actores maliciosos.

Un ejemplo ilustrativo es cómo el trabajo a distancia ha pasado de ser una opción a una necesidad casi de la noche a la mañana. Esto obligó a las empresas a adelantar entre dos y cinco años la inversión y la transformación en un modelo "digital a escala". El cambio en el modelo operativo y la arquitectura tecnológica fue tan rápido que las empresas menos avanzadas en este viaje de transformación pasaron por alto o crearon involuntariamente vulnerabilidades. El informe Cyber Security Risk Report 2021 de Aon lo subraya, ya que solo el 40% de las organizaciones declaran que tienen controles de ciberseguridad adecuados para salvaguardar las nuevas estrategias de trabajo a distancia. Otra tendencia que ha impulsado el ascenso de la clasificación del riesgo cibernético ha sido la evolución de los objetivos y las tácticas de los delincuentes. Por ejemplo, en el pasado, intentaban robar datos sensibles o dinero en línea. Ahora, emplean el ransomware para extorsionar, violar la seguridad de los datos y borrarlos, además de atacar directamente las infraestructuras físicas críticas. En mayo de 2021, un ransomware penetró en el sistema de equipos informáticos de un oleoducto estadounidense, paralizando sus operaciones. Sin embargo, la investigación de Aon muestra que sólo el 31% de las organizaciones cuentan con medidas de resiliencia empresarial adecuadas para hacer frente a las amenazas de ransomware.

Los actores maliciosos también se están aprovechando de la expansión de los proveedores terceros de tecnología y las cadenas de suministro digitales. En lo que se conoce como ataques de "watering-hole", los hackers insertan códigos maliciosos en las plataformas de las empresas para extender su ataque a los clientes corporativos, que a veces pueden ser miles. Sin embargo, a pesar de estos riesgos, sólo el 21% de las organizaciones encuestadas en el informe Cyber Security Risk Report 2021 de Aon tienen medidas de referencia para supervisar a los proveedores y vendedores críticos.

El mercado de los ciberseguros se ha visto igualmente afectado por el aumento de los ciberataques desde el inicio de la pandemia. Según Underwriting Survey Data 2021 de Aon, el ransomware representa actualmente la mayoría de las pérdidas de las aseguradoras (más del 58%), con índices de siniestralidad que aumentan entre el 5% y el 25% para todos los grandes suscriptores cibernéticos.

Según las investigaciones de Aon, que supervisan las señales de comportamiento del mercado, estas pérdidas de las aseguradoras están provocando dos principales respuestas:

• Aumento de las primas de los seguros: las tasas aumentaron más del 35% en el primer trimestre de 2021 y continuaron su tendencia al alza hasta llegar al 40% o 50% en el segundo trimestre de 2021.
• Capacidad reducida: ahora son menos las empresas que pueden asegurar o renovar las pólizas de ciberseguro. Actualmente, las aseguradoras exigen una mayor protección contra el ransomware que incluya medidas proactivas y reactivas, como la gestión de la continuidad del negocio y los planes de respuesta a incidentes. Si no se cumplen estas condiciones, es más probable que las aseguradoras rechacen la cobertura.

Dado que los ciberdelincuentes y las naciones-estado innovan constantemente, y nuestra dependencia de la tecnología digital no hace más que aumentar, las empresas deben mantenerse al día sobre los riesgos cibernéticos. Además de aumentar sus presupuestos de ciberseguridad, Rich Nolan, Director General de Investigaciones Cibernéticas de Citigroup, explicó a Aon que las empresas deben adoptar una arquitectura de confianza cero para hacer frente a los riesgos cibernéticos. La confianza cero es un concepto de seguridad en el que una organización no confía en nadie dentro o fuera de su perímetro y verifica cualquier solicitud de conexión a sus sistemas, incluso si la solicitud parece provenir de un empleado.

Según Forbes, en 2025 se calcula que el 70% de la fuerza laboral trabajará a distancia al menos cinco días al mes. "Como la pandemia catalizó la rápida evolución digital de los modelos de negocio en todos los sectores, se ha reconocido que el riesgo cibernético será ahora una amenaza persistente para la ‘nueva normalidad’ en el futuro", afirma Adam Peckman, responsable de la práctica global de Consultoría de Riesgos Cibernéticos. "Con las cadenas de suministro distribuidas, la automatización, el trabajo a distancia y el comercio electrónico apuntalando estos nuevos modelos, nuestras estrategias de mitigación de riesgos y del mercado de seguros para gestionar el riesgo cibernético tendrán que seguir evolucionando para mantenerse a la vanguardia."