La economía cambiante del ciberdelito



Nota del editor: El autor participó en una mesa redonda en el Foro Económico Mundial titulada «Ransomware: Pagar o no pagar» sobre 19 de enero de 2023.

Si bien gran parte de la prensa en el Foro Económico Mundial de 2023 en Davos, Suiza, se centró en los conflictos internacionales, en el terreno fue un asunto significativamente más económico. Ciertamente, muchas de las conversaciones se centraron en cómo la sociedad debe hacer más para alinearse en torno a soluciones para los muchos policrisis que enfrentamos hoy, incluida la amenaza de una tercera guerra mundial, la aceleración del cambio climático y la ampliación de la desigualdad de ingresos por COVID. Pero el principal de los temas fue la discusión actual y táctica sobre cómo reducir los motivos de lucro de los ciberdelincuentes y ayudar a las empresas a ver su riesgo cibernético de una manera radicalmente diferente.

En nuestro panel de ransomware, Catherine De Bolle, directora ejecutiva de Europol, señaló que el ciberdelito es un riesgo creado por humanos, impulsado por las condiciones económicas de alto beneficio y fácil oportunidad. El ransomware es la monetización más reciente de estos motivos y oportunidades, y ha evolucionado desde un very simple malware hasta exploits avanzados y modelos de doble o triple extorsión.

Él motivo para el ciberdelito es claro: robar dinero. Pero la naturaleza digital del ciberdelito hace que el oportunidad excepcionalmente atractivo, debido a lo siguiente:

  1. La criptomoneda hace que la extorsión en línea, el comercio de bienes y servicios ilícitos y el lavado de fondos fraudulentos sean altamente anónimos y, por lo general, fuera del alcance de los reguladores financieros o la inspección occidentales.
  2. No hay suficiente miedo de ser atrapado por un delito cibernético. Recientemente, el Departamento de Justicia de los EE. UU. obtuvo una gran victoria al traer al fundador de un intercambio de cifrado ilícito, Anatoly Legkodymov, a la justicia. Pero EE. UU. tuvo que esperar hasta que viajó a un país dentro de la jurisdicción de las fuerzas del orden occidentales. La mayoría de los delincuentes no son tan descuidados, lo que hace que un arresto de este tipo sea un éxito excepcional.
  3. Con la explosión del gasto en transformación digital (16.3% CAGR en los próximos cinco años), los datos son el nuevo oro. Y es increíblemente fácil de robar, debido a fallas en la higiene básica, como cifrar datos en reposo y en tránsito o limitar el acceso solo a usuarios autorizados.
  4. Pagar la extorsión a través de extensas pólizas de seguro cibernético solo alimenta la epidemia de ransomware al incentivar más delitos, como señaló el director del FBI, Christopher Wray.

Como un veterano oficial de operaciones cibernéticas de la Fuerza Aérea que ahora dirige una compañía de soluciones de riesgo cibernético que redacta pólizas de seguro que cubren los pagos de extorsión, siento estos puntos con demasiada claridad. Es por eso que es hora de que las empresas reconsideren drásticamente la forma en que administran su riesgo cibernético no solo como un problema técnico, sino también como un problema financiero.

Lucha contra el ciberdelito con resiliencia cibernética

Si bien ayudar a las empresas a pagar la extorsión nunca es la primera opción para ninguna aseguradora, su función es ayudar a que sus clientes estén completos y reducir su exposición financiera. Pero las aseguradoras tienen la responsabilidad de ayudar a sus clientes a pensar de manera proactiva y holística sobre cómo evalúan, miden y administran su riesgo cibernético en normal. En otras palabras, pregunta:

  • ¿El cliente está invirtiendo su presupuesto de ciberseguridad en los controles que más importan?
  • ¿El cliente está haciendo un esfuerzo para ayudar a mejorar la higiene cibernética de su organización?
  • ¿Está el cliente haciendo más para romper los silos de gestión que separan la seguridad y el negocio?
  • ¿Puede el cliente predecir y cuantificar su riesgo en función de su postura de seguridad?
  • ¿Puede el cliente mejorar su cobertura de seguro cuando hace todo lo anterior?

Esta es la concept central detrás de la resiliencia cibernética, una forma de proteger la infraestructura electronic para las empresas mediante la integración de los elementos técnicos, políticos, de comportamiento y económicos necesarios para mitigar y gestionar la cibernética como un riesgo predecible.

En comparación con las líneas de seguros como la propiedad o el automóvil, que tienen décadas de datos que miden lo que evita que un edificio se incendie o la víctima de un accidente automovilístico viva, la cibernética es una línea de seguro menos madura. Las pólizas cibernéticas son aún más difíciles de suscribir, dada la dificultad de cuantificar y fijar el precio del riesgo. Requieren suscriptores talentosos respaldados por conocimientos técnicos, application de evaluación de amenazas y análisis avanzados para medir los controles de seguridad de una empresa en equilibrio con los riesgos en su sector. Pero al igual que impulsar las regulaciones que requieren rociadores contra incendios en los edificios y cinturones de seguridad en los automóviles, los seguros pueden reescribir las reglas de cómo se gestiona el riesgo cibernético al ayudar a nuestros clientes a hacer que su infraestructura digital sea significativamente más resistente a las amenazas de extorsión.

Las mejores prácticas ayudan a impedir la extorsión

Chainalysis, miembro del grupo de trabajo sobre ransomware del Instituto de Seguridad y Tecnología, descubrió que los ingresos por ransomware se redujeron en casi el 50% en 2022. Aunque hemos visto extorsión intentos mantenerse fuertes, podemos decir anecdóticamente que menos empresas están decidiendo pagar extorsión debido a los controles que les permiten restaurar desde copias de seguridad o reconstruir sus redes de TI.

Esto nos dice que para cierto segmento del ecosistema corporativo, compartir las mejores prácticas genera resiliencia a la extorsión y aumenta el costo para los atacantes. Nuestro objetivo ahora es cambiar la visión de las empresas y la industria de seguros hacia este nuevo enfoque de resiliencia cibernética y recompensar a aquellos que invierten en una fuerte higiene cibernética.

En nuestro grupo de discusión sobre ransomware, un director ejecutivo que acababa de frustrar un intento de extorsión lo dijo mejor cuando notó que lo que los salvó fue ensayar un program holístico para responder a un incidente. El ejercicio con lecciones del mundo real ayudó a su equipo ejecutivo a navegar con éxito una intrusión sin pagar el rescate. La mezcla de líderes de los sectores público y privado de Davos hizo la audiencia perfecta para escuchar este mensaje.

La lucha contra el delito cibernético es un deporte de equipo y, para tener éxito, debemos adoptar este marco de resiliencia cibernética que integre los elementos técnicos, políticos, de comportamiento y económicos necesarios para gestionar la realidad del delito cibernético en constante crecimiento como un riesgo cibernético predecible y manejable.



Enlace a la noticia first