LONDRES– El reciente ataque de programa de secuestro contra la Colonial Pipeline en Estados Unidos es un ejemplo de la creciente sofisticación de los ciberataques a lo largo de los últimos 12 meses.
Desde el ataque a Colonial, ha habido otros a empresas de seguros en Asia, a un proveedor de camiones de alquiler en Europa, a un comprador de deuda insolvente francés y a una compañía global de alimentos. Todos contenían ataques de programas de secuestro y en ellos destacaba la capacidad de los hechores de escoger objetivos sin importar lugar geográfico ni actividad económica.
Los ataques se limitan a firmas que se transen en la bolsa: también son muy vulnerables los Estados soberanos y las instituciones públicas. Hemos visto ataques a la ciudad estadounidense de Hartford, numerosos distritos escolares de Texas y, más recientemente, al sistema sanitario irlandés.
No es de sorprender que el riesgo cibernético se esté convirtiendo en un factor cada más significativo en la decisión de asignar calificaciones crediticias. En S&P Global Ratings hemos visto más sucesos de este tipo en los últimos seis meses que en los seis años anteriores y constantemente nos ponemos al día con los avances en este ámbito para aguzar nuestro análisis. Nuestras últimas evaluaciones han reforzado varias de nuestras opiniones anteriores, pero nuestra perspectiva del manejo del riesgo cibernético sigue evolucionando.
Muchas de las organizaciones que calificamos, en especial en los ámbitos de los seguros y la tecnología de la información, están presenciando el surgimiento de más oportunidades en el área de los servicios cibernéticos. Pero las empresas harían bien en tomar varias medidas para reducir el potencial impacto crediticio de los ciberataques.
Primero, sigue siendo crucial la velocidad de la acción, como vimos hace poco, tras el ciberataque a la aseguradora estadounidense CNA. Las prontas medidas correctivas de la compañía —que incluyeron la comunicación con los empleados, clientes, intermediarios, agentes, inversionistas y entidades normativas— ayudaron a limitar la extensión de los daños y disiparon nuestra inquietud inicial sobre el impacto potencial a su marca, reputación y posición competitiva.
Segundo, si bien la prevención activa de ciberataques se está convirtiendo en norma, muchos de ellos se están estructurando de maneras cada vez más difíciles de descubrir. En consecuencia, las detecciones activas se volverán una ventaja competitiva.
Cultura de riesgos. Vimos el alcance de la detección activa en el caso de SolarWinds Holdings Inc., de la que se informó ampliamente que sufrió una violación informática a principios del 2020, varios meses antes de que se diera cuenta de ello. El tiempo transcurrido entre el ataque y su detección elevó su escala y magnitud. El impacto y costo del ataque fueron factores para la reciente baja de la calificación de S&P de SolarWinds a B desde B+.
Tercero, aunque probablemente la pandemia aumente la disposición de los altos ejecutivos a asignar fondos para el manejo de sus empresas del riesgo cibernético, no basta con eso. Puesto que una gran proporción de las violaciones relacionadas con la ciberseguridad se puede atribuir a errores humanos o a insuficiencias en la cultura de riesgos, incluso un gasto significativo de TI no será suficiente. Por consiguiente, esperamos ver más apoyo de las altas gerencias a ejercicios de simulación para evaluar y probar el grado de preparación de sus organizaciones.
Cuarto, el impacto crediticio de un ciberataque sigue dependiendo del tipo y su motivo subyacente. Las compañías resultan perjudicadas de manera indirecta como resultado de ataques centralizados y quizás políticamente motivados, como los sufridos por SolarWinds y Microsoft Exchange Server, pero no siempre tendrán consecuencias financieras y de imagen directas. Es más probable que los ataques directos a firmas o instituciones específicas, que combinen un efecto sobre el balance con alteraciones operacionales materiales, tengan consecuencias sobre su calificación, sobre todo si se responde a ellos de manera deficiente.
Quinto, las compañías se encuentran en una carrera armamentística virtual con los responsables de los ataques, por lo que necesitan comprender los aspectos básicos del manejo de riesgos cibernéticos antes de dar un paso hacia delante. Aquellas que tengan estándares de gobernanza mediocres probablemente tendrán una calificación de crédito comparativamente más débil antes de sufrir algún ciberataque.
Peso de la gobernanza. Vigilaremos cada vez más la existencia de estándares de gobernanza laxos y especialmente la falta de elementos básicos como formación a empleados y aplicación de parches de software. Los parches, cuando se aplican de manera adecuada y oportuna, reducen la exposición potencial de la empresa a vulnerabilidades conocidas que los ciberatacantes a menudo intentan aprovechar.
Consideramos el manejo del riesgo cibernético como una categoría de la gestión del riesgo operacional general. La gobernanza y la gestión de riesgos estándares y convencionales se pueden adaptar con facilidad, por lo es crucial que las compañías conozcan su rango de tolerancia y propensión al riesgo cibernético. Si una firma no puede mantenerse a la vanguardia, por lo menos debe asegurarse de no quedar a la zaga de sus competidores. Como mínimo, esperaríamos que una compañía tenga un respaldo de datos y una estrategia de recuperación fiables y plenamente testeadas.
En sexto lugar, bien podría ser que la próxima gran amenaza al sistema financiero global esté relacionada con el ámbito cibernético, y con un mayor riesgo correlacionado y un contagio más veloz de que hoy se puede prever. Las compañías y los gobiernos deben actuar de manera correspondiente. Según sea la magnitud y el impacto financiero, así como el éxito de los esfuerzos de mitigación, un suceso así podría generar medidas de calificación generalizadas. Es posible que las compañías con balances más débiles que carezcan de un seguro para ciberataques adecuado se enfrenten a presiones en sus calificaciones crediticias.
Las aseguradoras mismas están aprendiendo de la ambigüedad relacionada con la pandemia en sus distintos productos, y eso debe seguir siendo una prioridad. El ciberataque de agosto del 2020 a la bolsa de valores neozelandesa (NZX) no debió haber sido inesperado, dado el papel que desempeña en el sistema financiero. Tras ello, la NZX reconoció que sus recursos tecnológicos y su planificación para el manejo ante crisis necesitaban mejorar.
Los sucesos ocurridos en los últimos 12 meses han puesto de relieve la vulnerabilidad de redes de producción complejas e interdependientes, lo que convertirá a las cadenas de suministro en una de creciente fuente de riesgos cibernéticos en los años venideros. Como se ha detectado en una serie de ataques recientes (SolarWinds, Microsoft Exchange Server y Codecov) y la filtración de datos del 2013 en Target, la gobernanza del riesgo cibernético debe centrarse en la cadena de suministro más amplia, lo que incluye los estándares cibernéticos de terceros proveedores.
Las empresas deben lograr que el aprendizaje surgido de ciberataques pasados pase a ser parte de su ADN y adoptar medidas activas para prevenir y detectar amenazas futuras. Dada la importancia de la gobernanza del riesgo cibernético para las calificaciones crediticias, es probable que los beneficios de contar con una ciberseguridad sólida se extiendan más allá del mundo digital.
Simon Ashworth es el director de análisis de seguros en S&P Global Ratings.
© Project Syndicate 1995–2021