Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN
En este artículo se reflexiona sobre los riesgos asociados a los ataques cibernéticos, ello
a propósito del cyber attack que sufrieron diversas instituciones del sistema financiero y
bancario peruano el 17 de agosto del 2018 y como los efectos económicos negativos
derivados del mismo puede ser gestionados y asumidos por el mercado de seguros a través
de la contratación de las denominadas pólizas cyber o seguros de riesgos cibernéticos.
Igualmente se efectúa una breve descripción de las coberturas normalmente ofrecidas en
dicho seguro y las coberturas y exclusiones presentes en las pólizas registradas en el
mercado peruano.
PALABRAS CLAVES
Cyber attack/ Malware/ Ransomware/ Seguro de riesgo cibernético/ Business Interruption
Durante la semana pasada, una de las noticias más sonadas en nuestro medio, fue el ataque
cibernético al sistema bancario peruano, el cual fue parte de un intento de hackeo masivo
a mundial por parte de ciberdelincuentes llevado a cabo el 17 de agosto del 2018.
Dicho ataque se efectuaría mediante un esquema de fraude conocido como “ATM cash-
out” (retiro de efectivo mediante cajeros automáticos) en el cual, luego de hackear a una
entidad bancaria o a un procesador de tarjetas de pago, usando de tarjetas clonadas se
logra efectuar retiros fraudulentos de millones de dólares en cuestión de pocas horas. Esta
operación es posible violando los sistemas de seguridad de las tarjetas, con una técnica
conocida como “operación ilimitada”, en la que, con un malware, se accede a la
información del cliente del banco (lo que permite clonar la tarjeta) y acto seguido se
(*)
Master por la Universidad de Castilla - La Mancha en la mención del XII Master en Economía y Derecho
del Consumo (2015-2016); Candidato a Magister de la Maestría con Mención de Derecho de la Empresa
de la Escuela de Postgrado de la UNMSM. Egresado de la Facultad de Derecho de la UNMSM. Egresado
del Programa de Especialización de Arbitraje Comercial y de Inversiones-2014 organizado por la CCL y la
Comisión Interamericana de Arbitraje Comercial. Asociado Senior del Área de Derecho de Seguros y
Litigios y Controversias del Estudio Torres, Carpio, Portocarrero & Richter, la cual parte del grupo
internacional DAC BEACHCROFT LLP. Coautor del libro Diccionario Procesal Civil, Gaceta Jurídica,
Lima, 2013. Miembro Principal del Círculo Financiero Corporativo de la UNMSM.
1
Véase la nota FBI Warns of ‘Unlimited’ ATM Cashout Blitz, en
https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/
desactivan las alertas o barreras de seguridad de los cajeros y se modifican los límites de
disposición de efectivo forzando al cajero a entregar cualquier monto deseado.
El riesgo cibernético no es algo nuevo, siendo éste tan antiguo como la difusión y uso
masivo del ciberespacio. Sin embargo, llegado este punto, cabe preguntarse: ¿En qué
consisten los ataques cibernéticos? y, desde una perspectiva de corte más jurídico, ¿Qué
es el cybercrimen?
Un ataque cibernético puede ser entendido, de manera sencilla, como todo ataque o
agresión que se efectué empleando el cyberespacio, el cual puede conllevar a la
destrucción de bienes físicos o una afectación puramente virtual, y puede estar motivado
por intereses puramente económicos o incluso de orden político (como son, por ejemplo,
los casos de cyberterrorismo).
2
Véase el comunicado completo en el siguiente link:
http://www.asbanc.com.pe/Paginas/Noticias/DetalleNoticia.aspx?ItemID=682
ii) Fraude y falsificación online, siendo que tales crímenes a gran escala emplean
conjuntamente el robo de identidad, phishing, spam así como códigos maliciosos.
iii) Contenido ilegal online, incluidos pornografía infantil, incitación al odio racial y
actos terroristas, así como terrorismo, racismo y xenofobia.
A nivel normativo, uno de los textos más importantes en la materia es el Convenio Sobre
Ciberdelincuencia de la Unión Europea, suscrito en Budapest en el 2001, el cual reconoce
los siguientes delitos cibernéticos:
iv) Delitos relacionados con infracciones con las infracciones de la propiedad intelectual
y los derechos afines (delitos relacionados con infracciones de la propiedad
intelectual y afines).
Toda vez que el presente comentario se centra en los ataques a los datos y a los sistemas
informáticos, procedemos a dar un sucinto recuento de los tipos de ataques cibernético
más comunes en la materia:
- El Malware.- Con dicho término genérico se alude a todo software malicioso que
permite infiltrarse en un sistema con la intención de dañarlo.
- Los gusanos.- Son programas que, un vez activados, proceden a realizar copias de si
mismo y se difunden por intermedio de las redes y que se diferencian de los virus, en
tanto no requiere que el usuario lo active ni necesita de un medio de respaldo ya que
pueden transmitirse por correos electrónicos o las propias redes. La intención de este
tipo de malware, no es la destrucción del sistema sino la creación de botnets, esto es
redes de ordenadores que ejecutan de manera simultánea cualquier orden o acción
que se les indique de manera remota.
- Los troyanos.- Son malware muy parecidos a los virus, pero con la diferencia que
no tienen una finalidad destructiva directa, por el contrario, este permite el ingreso
de otros códigos o programas maliciosos (es decir, actúa como un Caballo de Troya).
- Denegación de servicio distribuido o DoS).- Este ciber ataque tiene por finalidad la
saturación y colapso de un servidor, lo cual se logra mediante, el envío masivo, y
desde diversos ordenadores, de peticiones a dicho servidor.
Finalmente, para evidenciar cuanto les cuesta este tipo de ataques a las empresas privadas
y a los Estados traemos a colación seis de los ataques cibernéticos más conocidos de la
historia:
- El ataque cibernético que sufrió AOL en el 2004, por parte de uno sus ex ingenieros
y por el cual se sustrajo la lista de correos de 92 millones de usuarios, las cuales luego
fueron vendidas a spammers, quienes enviaron 7 mil millones de correos no deseados
a dichas cuentas.
- El ataque que sufrieron Heartland Payment Systems en el 2008, por parte del equipo
del hacker Albert Gonzales, y por el cual se sustrajeron los datos de 130 millones de
tarjetas de crédito y de débito.
- El ataque que sufrieron las cuentas bancarias de ADOBE en octubre del 2013, y que
afectó aproximadamente a 152 millones de usuarios.
- El ataque que sufrió la cadena de almacenes Target en diciembre del 2013 y que
afectó a un total de 70 millones de usuarios aproximadamente y que tuvo un costo
para la empresa de al menos 61 millones de dólares.
- El ataque que sufrió Ebay, en el 2014 y por el cual se sustrajeron datos personales de
al menos 145 millones de usuarios desconociéndose el volumen de información
sustraída.
Justamente para hacer frente a estos riesgos, desde inicios del 2000, las empresas
aseguradoras, vieron en la internet, y su uso creciente por parte de las compañías (esto es
la denominada burbuja dot.com), un nuevo nicho de mercado, desarrollando productos
de seguros dirigidos a empresas que vieron en el comercio electrónico el futuro de las
relaciones comerciales, tales como amazon, Google y Ebay entre otros.
3
Véase la nota: Entendiendo el ataque al Banco de Chile: ¿Qué diferencia a un virus común de una
vulnerabilidad en el sistema?, en el siguiente link
http://www.emol.com/noticias/Tecnologia/2018/06/11/909452/Entendiendo-el-ataque-al-Banco-de-Chile-
Que-diferencia-a-un-virus-comun-de-una-vulnerabilidad-en-el-sistema.html
4
Véase la nota de prensa Verisk Projects Written Premium for Commercial Cyber Liability to Reach $6.2B
by 2020 en https://www.verisk.com/press-releases/2018/march/verisk-projects-written-premium-for-
commercial-cyber-liability-to-reach-62b-by-2020/
5
VERISK, Sizing the Standalone Commercial Cyber Insurance Market, p. 2
6
VERISK, Sizing the Standalone Commercial Cyber Insurance Market, idem.
Por otro lado, según el Risk Barometer 20187, elaborado por ALLIANZ, el cyber riesgo,
continua su incremento, pasando del puesto N° 15 de exposición al riesgo en el 2013, al
puesto N° 2 en el 2018 en Europa y Asia-Pacífico.
No obstante ello, las típicas secciones de coberturas que ofrecen este tipo de seguros son
de dos tipos: i) Una cobertura de daño a terceros (la cual es propiamente la cobertura de
responsabilidad civil); y, ii) Una cobertura de daño propios.
La sección de daño a terceros, normalmente estos son los clientes de las empresas
contratantes, comprende las siguientes coberturas:
7
Véase el mismo en: https://www.allianz.com/v_1516057200000/media/press/document/AGCS-
RiskBarometer-2018_EN.pdf
8
Sobre el particular, se ha señalado que “el mapa de ciber riesgos constituye una herramienta inicial de
suma importancia, previo a la suscripción de la cobertura de ciber riesgos, ya que este mapa permitirá
identificar, analizar y evaluar los riesgos que desean ser transferidos y asegurables, como también para
diseñar un correcto plan de contingencias y aplicar las medidas de seguridad más adecuadas”. (Cerda,
Sebastian, Mapa de riesgos y plan de contingencias en el seguro de ciber riesgos, Ponencia dada en el XVII
Congreso Nacional de Derecho de Seguros, llevado a cabo los días 2,3,4 de mayo del 2018 en Mendoza –
Argentina.
- Reclamaciones por incumplimiento de custodia de datos, difamación en medios
corporativos o infección por malware.
Por otro lado, la sección de daños propios hace referencia a todas las pérdidas
patrimoniales sufridas directamente por el contratante como consecuencia de un ataque
cibernético siendo las coberturas típicas las siguientes:
- Denegación de Acceso.
- Defensa jurídica y tutela contra sanciones o multa por parte de la autoridad que tutela
la privacidad de los datos.
- Business Interruption. Una mención especial merece esta cobertura, siendo una de
las más llamativas para las empresas, toda vez que el ciber ataque puede dejar en
stand by la actividad productiva de la empresa, lo cual genera un corte relevante de
ingresos, desestabilizando el sistema de ingresos y pagos de la compañía.
Como es ampliamente conocido, la indemnización por interrupción del negocio
abarca tanto el lucro cesante (derivado del impedimento de la normal ejecución de la
actividad economía de la empresa) como la asunción de gastos fijos hasta que se
reestablezca la norma marcha del negocio.
A la fecha existen únicamente dos empresas de seguros que ofrecen sus propias pólizas
de cyberseguro, las cuales están debidamente registradas en la SBS: i) Chubb Perú S.A.
Compañía de Seguros y Reaseguros; y, ii) Rímac Seguros y Reaseguros S.A.
El seguro ofrecido por CHUBB PERÚ ofrece, a nivel de delimitación positiva del riesgo,
como riesgos principales expresamente cubiertos, los siguientes: i) Pérdidas causadas a
terceros (responsabilidad por privacidad; responsabilidad por seguridad de la red;
responsabilidad por contenidos electrónicos); y, ii) Pérdidas Propias (Cyber Extorsión;
pérdida de activos digitales e interrupción del negocio).
Por su parte, la póliza ofrecida por RIMAC se divide en dos tipos de cobertura: i) Cobertura básica
(Cobertura de Pérdida o Robo de Datos, Cobertura de Responsabilidad Civil por
Violación de la Confidencialidad; Cobertura de Protección contra Violación de la
Privacidad / Violación de Datos Personales, Cobertura de Responsabilidad por Violación
de la Privacidad / Violación de Datos Personales, Cobertura de Responsabilidad Civil por
9
Sobrino, Waldo, Seguros de cyber risk (A propósito del ciberataque mundial de fecha 12 de mayo de
2017), en Revista Ibero-Latinoamericana Vol. 26, N° 47, Pontificia Universidad Javierana, Bogotá, 2017,
pp. 156-157.
Seguridad del Red, Cobertura de Riesgos de la Reputación del Asegurado); y, ii)
Coberturas adicionales (Cobertura de Extorsión Cibernética, Cobertura de Interrupción de
Negocio, Cobertura Estándar de Seguridad de Datos en la Industria de Tarjetas de Pago).
V. Conclusión
La reciente ola de ataques cibernéticos, ha evidenciado lo vulnerable que pueden ser las
empresas y las instituciones públicas frente a tal riesgo, así mismo el impacto económico
derivado del mismo puede ser tan intenso que puede determinar la quiebra de compañía,
por lo cual una adecuada gerencia de tal riesgo debería pasar por la contratación de una
póliza de riesgo cibernético, la cuales están intentándose expandirse no sólo a las grandes
empresas sino a las medianas y pequeñas empresas e incluso a los ciudadanos de a pie y
que, creemos, tendrá una mayor presencia en nuestro mercado nacional en los siguientes
años.
Finalmente, a modo de muestra de la utilidad de este seguro debemos indicar que, de los
61 millones de pérdidas que se le generó a TARGET en el 2013, 44 millones fueron
asumidos por el sistema de seguros, internalizando la empresa únicamente una pérdida de
17 millones.