Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Y CRÉDITO PÚBLICO
RIESGO
CIBERNÉTICO Y
CIBERSEGURIDAD
2019
Fernando Pérez Márquez
Introducción ……………………………………………………………………….. 3
Conclusiones ………………………………………………………………………. 35
Referencias ………………………………………………………………………….. 37
Introducción
El acceso cada vez más fácil al uso de nuevas y mejores tecnologías, así
como su masificación, ha propiciado un cambio cultural profundo en la
sociedad, no solo porque se hace más fácil la realización de actividades y
procesos, sino porque ha transformado radicalmente la forma en que el ser
humano interactúa con la sociedad y su entorno.
De acuerdo con Willis Towers Watson (2018), se estimó que en el año 2018
el 83% de las empresas mexicanas fueron víctimas de ciberataques por lo
menos una vez al año, y sólo el 30% de las mismas tenía un plan para
protegerse. Asimismo, en promedio las pérdidas a consecuencia de
ciberataques se encontraban cerca de 1.5 millones de dólares y se estimó
que para este año 2019 el costo total anual por delito cibernético en la
economía mundial podría sobrepasar los 2 billones de dólares.
Es por esta razón que el presente estudio busca abordar de manera general
dos conceptos fundamentales: Riesgo Cibernético y Ciber Seguridad, con
el objeto de analizar el panorama que guardan dentro del entorno de los
mercados de seguros y fianzas en México, identificando las fuentes de
riesgo, así como las medidas necesarias para su atención y control.
Capítulo 1
Concepto de Riesgo
Cibernético y Ciberseguridad
Los ciber ataques pueden ocasionar una multiplicidad de daños, esto es,
podrían generar en su caso un efecto de contagio en cadena hacia distintas
entidades o eslabones de la cadena productiva.
1
National Institute of Standards and Technology (NIST), glosario de términos, disponible en
https://csrc.nist.gov/glossary/term/Cyber-Risk
2
Federal Financial Institutions Examination Council (FFIEC), glosario de términos, disponible en
https://ithandbook.ffiec.gov/glossary.aspx
3
International Organization for Standardization (ISO), norma ISO/IEC 27032, disponible en
https://www.iso27001security.com/html/27032.html
4
National Initiative for Cybersecurity Careers and Studies (NICCS), glosario de términos, disponible
en https://niccs.us-cert.gov/about-niccs/glossary#C
Capítulo 2
Características e importancia
• Bajo costo
• Ubicuidad y fácil ejecución
• Efectividad e impacto
• Reducido riesgo para el atacante
Comisión Nacional de Seguros y Fianzas || Capítulo II
Por otra parte, de acuerdo con Frieiro (2017), se pueden identificar a los
principales agentes atacantes de acuerdo con la motivación y objetivos
que persiguen:
Disrupción de sistemas
Cibervándalos Disrupción de sistemas
5
National Institute of Standards and Technology (NIST), glosario de términos, disponible en
https://www.nist.gov/itl/smallbusinesscyber/cybersecurity-basics/glossary
Fuente: Elaboración con propia con datos de World Economic Forum (2018)
$ 0 2 4 6 8 10 12 14 16 18 20
Fuente: Elaboración con propia con datos de Accenture (2019).
Cabe resaltar que el sector bancario se constituye como el sector más
afectado en términos monetarios por ataques cibernéticos, en tanto que la
Comisión Nacional de Seguros y Fianzas || Capítulo II
$2,014,142
Ataque Basado en la Web (+ 13%)
$2,275,024
$1,565,435 2017
Negación de Servicio (+ 10%)
$1,721,285
2018
$1,415,217
Informante Malicioso (+15%)
$1,621,075
$1,298,978
Phishing e Ingeniería Social (+ 8%)
$1,407,214
$1,282,324
Código Malicioso (+9%)
$1,396,603
$865,985
Robo de dispositivos (12%)
$973,767
$532,914
Ransomware (+21%)
$645,920
$350,012
Botnets (+12%)
$390,752
US $millones
$7.0
5.9
$6.0
5.0
$5.0
Comisión Nacional de Seguros y Fianzas || Capítulo II
3.7
$4.0
3.4
3.0
2.6
2.3
2.0
$2.0
1.5
$1.0
0.5
0.5
0.3
0.3
$0.0
Interrupción de Pérdida de Pérdida de Daño del Equipo
Negocio Información Ing resos
2.5. Casos de incidentes de Ciber seguridad en instituciones de seguros
Como se ha mencionado a lo largo del presente estudio, existe un volumen
creciente en el número de incidentes de ciber seguridad y resulta
especialmente importante el impacto que tienen dentro del sector
financiero por las razones anteriormente citadas. En particular, el sector
asegurador como parte del sistema financiero, constituye un segmento
potencialmente expuesto a ataques cibernéticos.
8
Ver Bank info security. Anthem Hit by Massive Data Breach. Disponible en:
ttps://www.bankinfosecurity.com/anthem-health-hit-by-massive-data-breach-a-7876
9
Ver https://www.reuters.com/article/us-cyberattack-premera/premera-blue-cross-breached-
medical-information-exposed-idUSKBN0MD2FF20150318
de pacientes.
• Caso CareFirst Blue Cross Blue Shield Health Insurance10
En mayo de 2015, la aseguradora de salud, CareFirst Blue Cross Blue Shield,
anunció que fue objeto de un sofisticado ciberataque en el cual la
información de 1.1 millones de asegurados fueron robados. Si bien no hubo
registros de salud ni números de seguridad social en la violación, los
atacantes accedieron a una base de datos que contenía nombres, fechas
de nacimiento, direcciones de correo electrónico y números de
identificación de suscriptores de los clientes de CareFirst.
Afortunadamente, las contraseñas necesarias para acceder a las cuentas
de los miembros se cifraron y almacenaron por separado.
Ver https://www.eleconomista.com.mx/sectorfinanciero/Aseguradora-AXA-sufre-ciberataque-
11
20181024-0022.html
Comisión Nacional de Seguros y Fianzas || Capítulo II
Capítulo 3
(Panorama Internacional)
12
Ver IOSCO-BIS (2015).
4. Pérdidas financieras.
5. Daños a la reputación.
Por otra para una adecuada gestión del ciber riesgo, la IAIS reconoce
que es necesario el debido involucramiento de la alta gerencia, con una
estructura de gobierno corporativo efectiva y capaz de comprender,
prevenir, detectar, responder y abordar incidentes de ciberseguridad.
Además, resulta indispensable contar con programa de administración
de riesgos que funcione bien y que sea compatible con las mejores
prácticas de resiliencia cibernética y deberá implementarse y verificarse
a través de una revisión de supervisión continua.
Por otra parte, cabe mencionar los Principios Básicos de Seguros (PBS) que
la IAIS considera que deben tomarse en cuenta para la supervisión del
riesgo cibernético:
18
Ver NAIC (2015).
Capítulo 4
4.2. Principios para el Fortalecimiento de la Ciberseguridad para la
Estabilidad del Sistema Financiero19
4.3 Bases de Coordinación en Materia de Seguridad de la Información21
El 24 de mayo de 2018 se emitieron las Bases de Coordinación en Materia
de Seguridad de la Información, como instrumento de colaboración entre
las instancias públicas, las asociaciones gremiales y las entidades
pertenecientes al sistema financiero mexicano.
21
Ver Secretaría de Hacienda y Crédito Público (2018).
Conclusiones
IAIS, IOSCO, BIS, ente otros, han sumado esfuerzos para incorporar en su
agenda el tema de la ciber seguridad, adoptando el marco establecido por
NIST e ISO.
Referencias
IAIS, (2016). Issues paper on cyber risk to the insurance sector. Disponible
en:
https://www.iaisweb.org/page/supervisory-material/issues-
papers//file/61857/issues-paper-on-cyber-risk-to-the-insurance-
sector
https://www.bis.org/cpmi/publ/d138.pdf
World Economic Forum (2018). The Global Risks Report 2018 13th Edition.
Disponible en:
http://www3.weforum.org/docs/WEF_GRR18_Report.pdf