Algunas pólizas cubren el daño de un ciberataque por el pago del rescate

En el peor de los escenarios posibles, el que sitúa al empresario menos precavido contra la pared de un chantaje por un ciberataque que compromete la propia supervivencia del negocio, las autoridades recuerdan que bajo ningún concepto se ha de pagar un rescate porque ello no garantizará la recuperación de la documentación sensible, ni que el chantaje no vaya a repetirse. Y, sobre todo, porque ello supone «alimentar a la bestia», reforzar el propósito de los delincuentes. Y que es un delito según el artículo 518 del Código Penal.

«Estoy de acuerdo, pero es muy fácil decirlo cuando no es tu empresa la afectada; qué haces si no te has protegido bien y ves que, si no, la cadena de producción va a estar un mes parada; tu negocio se te cae», reflexiona Beatriz Calvo (Inycom). No pocos acaban tragando el veneno: «No se pueden dar cifras porque no las hay y el que pague no lo reconocerá porque es algo que no se puede hacer, pero...», deja en el aire. Por eso cada vez proliferan más las pólizas de cobertura de los seguros en los que se añaden conceptos como el lucro cesante y la posibilidad de que el empresario acabe pagando, «pero las aseguradoras también te van a exigir que hayas adoptado previamente una serie de medidas mínimas de protección», puntualiza Calvo.

Desde la correduría de seguros Kalibo, su director técnico, Óscar Rubén Sanz, explica que en el sector existen dos bloques de cobertura: «Uno cubre los daños que puedan causar a terceros, en la protección de datos, los producidos al usar medios digitales y los daños por sufrir la mencionada vulneración», detalla. Y el segundo se refiere a la protección del propio patrimonio, que cubre la recuperación de lo sustraído y la documentación dañada; la pérdida de beneficios a consecuencia del ataque y, en tercer lugar, el apartado dedicado a proteger el patrimonio de las extorsiones cibernéticas. «Se intenta por todos los medios resolver el problema y, llegado el caso, se contempla incluso la negociación con los extorsionadores. En los casos extremos está en juego la viabilidad de la empresa y los puestos de trabajo», argumenta. La clave puede estar en el matiz de no cubrir el pago de rescates, sino las pérdidas por ciberataques.

En materia de prevención, la Policía Nacional apunta a la necesaria responsabilidad del usuario de los sistemas, la difusión de las políticas de seguridad, establecer un plan formativo básico y detallar periodos y programas concretos y una evaluación de lo aprendido y de las debilidades a tratar.

En esa tarea formativa se afana el Curso de Ciberseguridad en la nube que la Universidad de Zaragoza imparte en Walqa. Va dirigido a técnicos de las FFCCS y profesionales de las empresas y consta de asignaturas de tecnología de la ciberseguridad en los sistemas operativos, en las redes y en los programas, otra de la nube como nueva herramienta y otra de los principios legales y normas regulatorias.