La empresa de alimentos norteamericana Mondelez, dueña de las marcas como las galletas Oreo, está exigiendo a la empresa de seguros Zurich el pago de más de US$100 millones tras haber sufrido un ataque informático con el ransomware «NotPetya», luego de que la aseguradora se negara a pagar la póliza de seguro para cubrir las pérdidas.
Debemos recordar que en junio de 2017 diversas personas y empresas fueron afectados por el programa «NotPetya», el cual cifraba archivos e impedía funcionar correctamente a computadores y exigía el pago en Bitcoin a usuarios y a las empresas afectadas se les daba la opción de pagar rescates significativos o perder grandes cantidades de datos por el no pago. NotPetya afectó a una gran cantidad de empresas, con Mondelez entre los afectados. La compañía de alimentos de Estados Unidos ha reportado la pérdida de 1.700 servidores y 24.000 computadoras portátiles por dicho ataque cibernético, así como a los pedidos no cumplidos y otras interrupciones en sus operaciones de distribución.
NotPetya es considerado el ciberataque más costoso hasta la fecha y está dentro de Top 5 de los ciberataques más memorables según Kaspersky. Según las estimaciones, el daño causado se calcula en 10.000 millones de dólares. Además de Mondelez, otras como el transportista Maersk, la subsidiaria de FedEx TNT y el gigante farmacéutico Merck, perdieron unos US$300 millones de dólares cada una de ellas debido a las interrupciones del servicio causadas por el gusano ransomware.
imagen de equipo infectado
brotes de malware NotPetya 28 de junio 2017 por ESET.
mensaje de experto indicando finalidad es ataque y no rescate de información encriptada
programa M.E.Doc base de ataque
Para Mondelez, la empresa aseguradora debe indemnizar los gastos incurridos porque el ciberataque y sus efectos caen bajo la disposición de su póliza para cubrir «todos los riesgos de pérdida física o daño» a la propiedad, incluida la «pérdida física o daño a datos electrónicos, programas o software, incluida la pérdida o daño causado por la introducción maliciosa de un código de máquina. o instrucción «.
Sin embargo, la empresa aseguradora Zurich ha afirmado que se aplica una exclusión en este caso porque NotPetya cae bajo una “acción hostil o bélica en tiempos de paz o guerra”, lo que significa que no tiene que pagar.
Fundamenta su argumento en que en febrero de 2018, Estados Unidos, Canadá, Australia y Nueva Zelanda se adhieron al Reino Unido para culpar al gobierno de Rusia del devastador ataque de ransomware NotPetya. Así, un comunicado del ministro de ciberseguridad del Ministerio de Relaciones Exteriores del Reino Unido, Tariq Ahmad señaló que “el ataque mostró un continuo desprecio por la soberanía ucraniana. Su lanzamiento temerario interrumpió a las organizaciones de toda Europa que cuestan cientos de millones de libras”.
Es importante considerar que justamente estos países firmaron un acuerdo de colaboración de intercambio de inteligencia conocido como Five Eyes Alliance, por lo que para muchos éste sería el origen de las conclusiones con respecto a la atribución del ataque.
Se cree que el ataque fue una operación sofisticada creado por militares rusos, destinados a afectar a Ucrania. Comenzó con la infección del popular software de contabilidad ucraniano ME Docs. Una vez descargado por las agencias gubernamentales ucranianas y las empresas de infraestructura crítica, la actualización luego disemina la infección. Se ha afirmado también que el elemento de rescate del malware era simplemente una cubierta para lo que era esencialmente un ataque de malware destructivo diseñado para cifrar el disco duro de las máquinas infectadas sin manera de desbloquearlas.
Aunque originalmente tenía la intención de dirigirse solo a organizaciones ucranianas, las multinacionales con oficinas en el país que estaban infectadas terminaron propagando el malware a nivel mundial, siendo finalmente Mondelez una de las afectadas.
Sin embargo, a pesar de sus fuertes declaraciones, los gobiernos no presentaron pruebas sólidas para respaldar sus afirmaciones, lo que podría dificultar que Zurich demuestre su caso, según los señalan algunos expertos.
Así, para Igor Baikalov, científico jefe de Securonix , el argumento de «acto de guerra» para excepcionar el pago no es el enfoque correcto. “En lugar de una cláusula de exclusión de guerra, Zurich debería haber invocado una cláusula de negligencia grave, que es mucho más fácil de probar en este caso, que un ataque de un Estado a otra nación, sobre todo teniendo en cuenta Mondelez fue golpeado dos veces por el mismo ransomware”, dijo.
Se basa en que cualquier empresas que cae víctimas de ransomware, uno de los primeros pasos para su recuperación es asegurarse de que no vuelva a suceder, incorporando medidas de ciberseguridad, sin embargo la empresa Mondelez fue afectada en dos oportunidades sucesivas.
La resolución de esta disputa es probable que sea muy importante para el resultado de demandas futuras de seguridad cibernética Clic para tuitear, sumado al aumento de la popularidad de los seguros de ciberseguridad y a las crecientes acusaciones de Estados en contra de otros Estados como causante de ciberataques.
Es importante, por tanto, considerar estos y otros antecedentes para poder resolver controversias entre empresas aseguradoras y sus respectivos clientes asegurados.
