Un nuevo reporte de Zurich Insurance Group (SWX: ZURN), destacada aseguradora multirramo, y Marsh McLennan , empresa líder en las áreas de riesgo, estrategia y personas, destaca la necesidad crítica de una mayor participación del sector público para fortalecer la resiliencia de la sociedad en caso de un evento cibernético catastrófico.

El reporte, Cerrando la brecha de protección contra riesgos cibernéticos (Closing the cyber risk protection gap), enfatiza la necesidad urgente de soluciones innovadoras para cerrar la brecha de protección contra riesgos cibernéticos, especialmente para las pequeñas y medianas empresas que a menudo carecen de seguro o tienen una cobertura insuficiente, pues las amenazas cibernéticas en constante evolución superan la capacidad de las soluciones tradicionales de seguros y gestión de riesgos para mitigarlos por completo. El informe destaca incidentes como el malware masivo y la interrupción masiva de servicios en la nube, que sólo son asegurables hasta cierto nivel de pérdida financiera, y eventos como el fallo de infraestructuras críticas, que generalmente se consideran no asegurables.

En línea con estos hallazgos, la Encuesta de Percepción de Riesgos Globales del Foro Económico Mundial 2023-2024 reveló que el 39% de los encuestados cree que los ciberataques son los más propensos a presentar una crisis material a escala global en 2024. La inseguridad cibernética fue clasificada como el cuarto riesgo con mayor impacto (gravedad) en un horizonte de 2 años. Reflejando los resultados de la encuesta del año anterior, los ciberataques (39%) siguen siendo una preocupación importante en la perspectiva general y aparecen como una de las tres principales preocupaciones para los encuestados del sector gubernamental y privado.

Los encuestados del GRPS destacan la inseguridad cibernética y la concentración de poder tecnológico como los únicos impulsores de riesgos que pueden llevar a resultados adversos de las tecnologías de IA. Además, en los próximos años, las defensas cibernéticas más sofisticadas desplazarán los objetivos hacia individuos menos alfabetizados digitalmente o infraestructuras y sistemas menos seguros. En el ciberespacio, por ejemplo, productos comercializados (incluido el ransomware) y servicios a la carta (como el lavado de dinero) ahora son fácilmente accesibles para actores menos competentes técnicamente. El cibercrimen podría crear flujos de financiación ilícitos lucrativos que son difíciles de atribuir a cualquier estado en particular y que pueden ser utilizados para servicios gubernamentales, actividades políticas ilegales (como asesinatos o campañas de desinformación) o incluso campañas políticas.

En 2023 se recopilaron 4,128 eventos, un aumento del 35% en comparación con los 3,074 eventos recopilados durante el transcurso de 2022, lo que equivale a 11.3 eventos por día. El malware continuó liderando las técnicas de ataque con un 35.9%, seguido por la explotación de vulnerabilidades en segundo lugar con un 16.3%.

De acuerdo con la publicación, es necesario establecer un marco común para el intercambio de datos, una colaboración más significativa e innovación entre la industria de seguros y el sector público para abordar esta brecha de protección, fortalecer la resiliencia y proteger a las sociedades y economías del creciente panorama de amenazas cibernéticas. Esto incluye no únicamente ataques de ransomware y amenazas de actores maliciosos, sino también interrupciones globales de tecnología de la información y otros incidentes cada vez más interconectados.

Para crear una mayor resiliencia cibernética en la sociedad, ambas firmas recomiendan que la industria de seguros y el sector público implementen un marco de resiliencia cibernética que incluya incentivos sólidos como alternativa a una mayor regulación, métodos para medir el riesgo cibernético catastrófico cuantificable y estrategias para gestionar el riesgo cibernético no cuantificable a través de asociaciones público-privadas. El informe afirma que estas medidas podrían ayudar a sostener la economía en general y crear capacidad para que el mercado de seguros apoye a la sociedad frente a los riesgos acumulativos financieros graves.

Panorama en Colombia

El sector financiero en Colombia enfrenta desafíos crecientes a medida que las amenazas cibernéticas continúan evolucionando. En 2022, se previó un aumento significativo de estas amenazas debido al teletrabajo y al crecimiento de las actividades desarrolladas en línea y en entornos digitales. Estos cambios han generado nuevas oportunidades de ataque, ofreciendo grandes beneficios económicos para los ciberdelincuentes.

Durante 2021, el Equipo de Respuesta a Incidentes de Ciberseguridad Sectorial (CSIRT Financiero) de Asobancaria emitió 687 alertas de amenazas cibernéticas al sector financiero colombiano y cargó 72,446 Indicadores de Compromiso (IoC) en la plataforma de intercambio de inteligencia de amenazas MISP. Asimismo, se analizaron 364 incidentes relacionados con phishing, lo que evidencia la prevalencia de esta amenaza.

En el cuarto trimestre de 2021, el CSIRT Financiero observó que el 52% de las amenazas fueron originadas por malware bancario, mientras que un 26% correspondió a fraudes cibernéticos, siendo estas las dos ciberamenazas que más afectaron negativamente al sector financiero.

Un estudio realizado por la OEA en 2018 sobre el estado de la ciberseguridad en el sector bancario de América Latina y el Caribe reveló que el 92% de las entidades bancarias identificaron algún tipo de evento de seguridad digital, ya sea exitoso o no, y que el 37% de estas entidades fueron víctimas de ataques exitosos. Además, un 24% de los bancos reportaron la detección diaria de malware, mientras que un 22% lo hizo con el phishing.

En el país, según cifras del Centro Cibernético Policial, durante 2018 se registraron 21,687 denuncias por delitos informáticos, lo que representa un aumento del 36% en comparación con 2017, cuando se denunciaron 15,942 casos. Además, un diagnóstico realizado en 2017 por la Superintendencia Financiera de Colombia (SFC) entre 59 entidades supervisadas reveló que estas entidades reciben anualmente cerca de 40 millones de ataques cibernéticos.