La frecuencia de los ataques de ransomware está aumentando, junto con el tamaño de las demandas de rescate. Si bien los seguros cibernéticos brindan protección financiera vital y soporte operativo en caso de ataque, el ransomware ha contribuido al deterioro del desempeño de suscripción de las aseguradoras cibernéticas. Enriquecido con conocimientos y aprendizajes de reaseguradoras, este informe identifica los desafíos y las externalidades económicas del ransomware, destacando que los seguros cibernéticos y las políticas pueden trabajar juntos para impulsar la ciberseguridad y, en términos más generales, la resiliencia socioeconómica. Darren Pain, Director de Responsabilidad Cibernética y Evolución, y Dennis Noordhoek, Director de Políticas Públicas y Regulación, especialistas de The Geneva Association, desarrollan estos temas.

El ransomware, un tipo de software malicioso que obtiene acceso a archivos o sistemas y bloquea el acceso del usuario hasta que la víctima paga un rescate a cambio de una clave de descifrado, y otras formas asociadas de extorsión cibernética se han convertido recientemente en un problema grave. El número de intentos de intrusión y ataques exitosos, así como el tamaño de las demandas de rescate, han tenido una tendencia marcadamente mayor en los últimos años. Los ciberdelincuentes también están implementando enfoques sofisticados para extorsionar a sus víctimas. En lugar de cifrar únicamente datos/archivos y exigir un pago por su liberación, los operadores de ransomware adoptan cada vez más técnicas de extorsión adicionales. Estos incluyen amenazar con divulgar información confidencial o eliminar el sitio web de una empresa si no se paga el rescate (Figura 1).
El desarrollo del modelo de negocio ransomware-as-a-service (RaaS), que permite a los piratas informáticos utilizar herramientas y servicios de ransomware listos para usar, ha potenciado este campo del delito cibernético y ha permitido a los actores de amenazas, incluso con habilidades técnicas de TI limitadas, para lanzar ataques altamente disruptivos. Ha surgido todo un ecosistema RaaS con ciberdelincuentes que ahora adoptan roles especializados, la mayoría de los cuales pueden no tener nada que ver con el lanzamiento real de un ataque. Estos incluyen: identificar vulnerabilidades desconocidas, obtener acceso inicial, desarrollar malwares, procesar los rescates pagados e incluso manejar las negociaciones.

Impacto en el Sector Asegurador
Las pólizas de seguro cibernético afirmativas generalmente cubren los gastos externos asociados con un ataque cibernético (por ejemplo, los costos de investigaciones forenses, datos/tarifas de restauración del sistema y gestión de crisis), costos de interrupción del negocio, responsabilidades frente a terceros afectados por el ataque, así como cualquier rescate pagado. El ransomware ha sido un factor importante en el notable deterioro del rendimiento de suscripción de las aseguradoras cibernéticas en los últimos dos años. En conjunto, la tasa de siniestralidad en los seguros cibernéticos de EE.UU. aumentó del 44,6 % en 2019 al 66,9 % en 2020, y el ransomware representó las tres cuartas partes de las reclamaciones según la agencia de calificación crediticia AM Best.²
Los indicadores más recientes no sugieren ninguna mejora sustancial en el entorno de las reclamaciones, y el ransomware sigue siendo un factor clave. Dada la continua presión al alza sobre las reclamaciones, los índices de siniestralidad de las aseguradoras cibernéticas se mantuvieron elevados en 2021 a pesar de un fuerte aumento en el precio del seguro cibernético el año pasado.

Debate Político en Curso
Al pagar rescates, las empresas también incentivan potencialmente a los delincuentes de ransomware y, en el proceso, aumentan el riesgo de futuros ataques contra ellos mismos o contra otros. Si bien esta externalidad económica existe ya sea que la víctima de un ataque de ransomware esté asegurada o no, algunos comentaristas externos han expresado su preocupación de que la presencia de un seguro podría empeorar la situación al alentar ataques de ransomware dirigidos a aquellos con cobertura. Un estudio de 2021, por ejemplo, muestra que el 70% de los profesionales de seguridad de TI del Reino Unido encuestados cree que los pagos de seguros a las empresas que han pagado una demanda de ransomware exacerban el problema y provocan más ataques.³


Los gobiernos también han insinuado el impacto no intencional que el seguro puede tener en la extorsión de ransomware, destacando cómo los rescates exigidos a menudo se adaptan a la cantidad asegurada en virtud de la póliza de seguro cibernético.
Esto ha reavivado un debate político sobre hasta qué punto deben intervenir los gobiernos para mitigar la externalidad económica asociada con los rescates, es decir, usar leyes, regulaciones e impuestos para garantizar que las empresas víctimas reconozcan que el pago de rescates posiblemente fomente más ransomware y aumente las futuras demandas de extorsión.
Los debates de política están en curso en varios países sobre la posibilidad de prohibir los pagos de rescate por completo. La razón es que si se prohibieran los rescates o los pagos de seguros por pagos de rescate, sería menos probable que las víctimas de ransomware pagaran a los ciberdelincuentes. Y si los objetivos del ransomware no pagaran o redujeran la cantidad que estaban dispuestos a pagar (debido a la falta de fondos de seguro como fuente potencial de financiación), el incentivo de los piratas informáticos para exigir un rescate en primer lugar también disminuiría.⁴

Prohibir los Pagos de Rescate No Es Realmente la Respuesta
En la práctica, no hay soluciones fáciles para el ransomware y las medidas a menudo implican importantes compensaciones, sobre todo por el potencial de consecuencias no deseadas.
Por ejemplo, una prohibición total de los pagos de rescate podría hacer que tales transacciones se vuelvan clandestinas y/o alentar a los atacantes de ransomware a involucrarse en nuevas formas de extorsión, incluidas las amenazas de destruir la propiedad o causar lesiones corporales si no se cumplen sus demandas.
Una encuesta de la Asociación de Ginebra sobre reaseguradoras cibernéticas revela que, si bien la mayoría cree que prohibir los pagos de rescate o prohibir los pagos de seguros asociados probablemente desalentaría algunos ataques de ransomware (Figura 2), una respuesta política tan contundente no siempre tendrá el efecto deseado, especialmente si las prohibiciones no se aplican consistentemente a nivel internacional. Una prohibición únicamente contra los reembolsos de las aseguradoras sería particularmente ineficaz, ya que privaría a las víctimas de un importante medio de protección cuando otras formas de financiación del riesgo pueden ser difíciles de organizar. La ausencia de cobertura de seguro cibernético para pagos de extorsión no solo penaliza a los asegurados, sino que tampoco hace nada para abordar el crecimiento de RaaS, que ha alimentado los ataques de ransomware.
La experiencia de Italia con los secuestros en la década de 1990 subraya los desafíos de cualquier prohibición de rescate. El gobierno italiano declaró ilegal el pago de rescates en 1991, una medida a la que se atribuye ampliamente el posterior aplanamiento de las tasas de secuestro.
Pero la amenaza no desapareció por completo ya que las familias de los ciudadanos italianos secuestrados simplemente dejaron de denunciar los delitos a las autoridades. Si se prohibieran los pagos de ransomware, las empresas víctimas probablemente buscarían encubrir los ataques y enrutar los pagos de rescate a través de mecanismos no oficiales para evitar la detección. Esto significa potencialmente que los aprendizajes y las lecciones sobre las nuevas cepas de ransomware pasarían desapercibidos en gran medida.

El Ciberseguro Es Parte de la Solución
Si bien a menudo son los pagos de rescate los que ocupan los titulares, las pérdidas totales relacionadas con un ataque de ransomware van mucho más allá de las demandas de extorsión. Los seguros juegan un papel importante en el apoyo a las empresas que enfrentan una variedad de pérdidas propias y de terceros como resultado del ransomware. Después de un ataque, el seguro cibernético puede ser un mecanismo para convocar al equipo adecuado de expertos, incluidos asesores legales y analistas informáticos forenses, para evaluar el incidente y recomendar una respuesta oportuna.
Estos expertos a menudo traen valiosas habilidades de negociación que pueden usarse para ayudar a reducir el rescate realmente pagado, sobre todo porque están bien ubicados para evaluar la credibilidad de la amenaza, incluida la viabilidad de las claves de descifrado y la probabilidad de restaurar las operaciones.
Además de proporcionar a las víctimas de ransomware el apoyo operativo y financiero necesario para ayudarlas a recuperarse lo más rápido posible, el seguro cibernético puede hacer una contribución importante a la gestión general del riesgo cibernético. Los seguros pueden influir positivamente en los estándares de seguridad cibernética y las mejores prácticas al promover la conciencia sobre la exposición al ransomware y otros delitos cibernéticos, compartir la experiencia en gestión de riesgos y alentar la inversión en la prevención y mitigación de riesgos.
Por ejemplo, las aseguradoras (directamente o en colaboración con firmas especializadas en ciberseguridad) a menudo monitorean continuamente el entorno de amenazas, destacando vulnerabilidades y debilidades en las redes y sistemas de una firma que pueden ser desconocidas para el titular de la póliza. Del mismo modo, a través de los términos y condiciones de la cobertura disponible, las reaseguradoras pueden incentivar la inversión en una buena higiene cibernética, lo que reduce significativamente la posibilidad de ransomware y otros ataques cibernéticos. Estos beneficios básicos del seguro deben sopesarse frente a cualquier efecto de incentivo adverso e involuntario en los ciberdelincuentes para llevar a cabo ataques de ransomware.
Los Gobiernos y los Reguladores Deben Ir más Allá para Contrarrestar los Ataques de Ransomware
No existe una bala de plata para el ransomware, y se requerirá un enfoque multifacético para reducir los factores subyacentes, limitar su impacto y garantizar la resiliencia empresarial.
Los gobiernos, junto con sus organismos reguladores y de supervisión, tienen un papel importante que desempeñar para mejorar la seguridad del ciberespacio y ayudar a las empresas legítimas a ganar ventaja frente a los ciberadversarios. La Tabla 1 presenta sugerencias de reaseguradoras para políticas destinadas a disuadir los ataques de ransomware, interrumpir los modelos comerciales de los ciberdelincuentes, preparar mejor a las organizaciones contra las intrusiones y responder a los ataques de manera más efectiva.
Muchas de estas sugerencias se reflejan en las medidas ya anunciadas por varios gobiernos para mejorar la ciberseguridad a raíz de la reciente epidemia de ransomware. En particular, los mecanismos mejorados para rastrear, monitorear y compartir información sobre las cepas de ransomware deberían ser beneficiosos. La inteligencia de amenazas recopilada por las agencias de seguridad patrocinadas por el gobierno podría usarse para identificar y rastrear a los ciberdelincuentes. También podría proporcionar advertencias avanzadas y orientación a las víctimas sobre contramedidas efectivas y herramientas de descifrado para contener la propagación del malware.
También se necesitarán regulaciones de criptomonedas más estrictas para ayudar a identificar y erradicar las transacciones ilícitas, seguimiento mejorado de criptomonedas, análisis forense y otras herramientas de inteligencia de blockchain para recuperar los fondos robados, especialmente para contrarrestar las tendencias emergentes, como la adopción de monedas que protegen la privacidad y el uso de intercambios descentralizados que dificultan la investigación de delitos en línea y la aplicación de sanciones.⁵ Junto con las incautaciones públicas de alto perfil, esto actuará como elemento disuasorio: si los ciberdelincuentes saben que las fuerzas del orden público pueden incautar sus criptomonedas, es posible que disminuyan sus incentivos para usarlas en el futuro.
La política también puede alentar a las empresas a hacerse más resistentes a los ataques de ransomware. Las primas agregadas para el seguro cibernético independiente representan menos del 1% del mercado global de propiedad y accidentes, mientras que algunos informes indican que solo alrededor de un tercio de las pequeñas empresas compran este tipo de protección. Dado que las exposiciones cibernéticas solo aumentarán, las medidas políticas para fomentar este mercado pequeño pero incipiente ayudarán a garantizar que se obtengan todos los beneficios sociales del ciberespacio.

1 Referencias:
• AM Best 2021. Informe de segmento de mercado de Best: Ransomware y problemas de agregación requieren nuevos enfoques para el riesgo cibernético. https://noticias.ambest.com/ presscontent.aspx?refnum=30762&altsrc=9
• Clark, R., S. Kreps y A. Rao. 2022. El panorama criptográfico cambiante amenaza las investigaciones y sanciones de delitos. Brookings TechStream. 7 de marzo. https://www.brookings. edu/techstream/shifting-crypto-landscape-amenazas-crimen- investigaciones-y-sanciones/
• K. Logue y A. Shniderman. 2021. El caso de la prohibición (y Obligatorio) Seguro de Ransomware. https:// repositorio.law.umich.edu/law_econ_current/207/
• Talión. 2021. Informe de percepciones de ransomware, 2021. https:// talion.net/wp-content/uploads/2021/08/Talion Report_final.pdf
2 AM Best 2021.
3 Talión 2021.
4 Logue y Shniderman 2021.
5 Por ejemplo, Monero utiliza una serie de tecnologías que mejoran la privacidad, como el oscurecimiento de las direcciones IP, para ocultar las identidades de las personas involucradas en los intercambios y mejorar la fungibilidad de los tokens. Clark et al. 2022.

The frequency of ransomware attacks is increasing, along with the size of ransom demands. While cyber insurance provides vital financial protection and operational support in the event of attack, ransomware has contributed to the deterioration in cyber insurers’ underwriting performance. Enriched by re/insurer insights and learnings, this report identifies the challenges and economic externalities of ransomware, highlighting that cyber insurance and policy can work together to boost cybersecurity and, more broadly, socio-economic resilience. Darren Pain, Director of Cyber Responsibility and Evolution, and Dennis Noordhoek, Director of Public Policy and Regulation, specialists from The Geneva Association, develop these topics.

Ransomware -a type of malicious software that gains access to files or systems and blocks user access until the victim pays a ransom in exchange for a decryption key- and other associated forms of cyber extortion have recently become a serious issue. The number of attempted intrusions and successful attacks as well as the size of ransom demands have trended sharply higher in recent years. Cybercriminals are also deploying sophisticated approaches to extort their victims. Rather than solely encrypting data/files and demanding a payment for their release, ransomware operators increasingly adopt additional extortion techniques. These include threatening to release sensitive information or taking down a firm’s website if the ransom is not paid (Figure 1).
The development of the ransomware-as-a-service (RaaS) business model, which enables hackers to use off-the-shelf ransomware tools and services, has supercharged this field of cybercrime and enabled threat actors, even with limited technical IT skills, to launch highly disruptive attacks. A whole RaaS ecosystem has sprung up with cybercriminals now adopting specialised roles, most of which may have nothing to do with the actual launch of an attack. These include: identifying unknown vulnerabilities, gaining initial access, developing malware, processing any ransoms paid and even handling the negotiations.

Impact on the Insurance Sector
Affirmative cyber insurance policies typically cover the external expenses associated with a cyberattack (for example, the costs of forensic investigations, data/ system restoration and crisis management fees), business interruption costs, liabilities to third parties affected by the attack as well as any ransom paid. Ransomware has been a significant factor in the notable deterioration in cyber insurers’ underwriting performance over the past two years. In aggregate, the loss ratio on U.S. cyber insurance rose from 44.6% in 2019 to 66.9% in in 2020, with ransomware accounting for three quarters of claims according to credit rating agency AM Best.²
More recent indicators suggest no material improvement in the claims environment, with ransomware remaining a key driver. Given the continued upward pressure on claims, cyber insurers’ loss ratios remained elevated in 2021 despite a steep increase in the price of cyber insurance last year.

Ongoing Policy Debate
By paying ransoms, firms also potentially incentivise ransomware criminals and in the process amplify the risk of future attacks on themselves or others. While this economic externality exists whether or not the victim of a ransomware attack is insured, some external commentators have expressed concern that the presence of insurance could make the situation worse by encouraging targeted ransomware attacks on those with cover. One 2021 study, for example, shows that 70% of U.K. IT security professionals surveyed believe insurance payments to companies that have paid a ransomware demand exacerbate the problem and cause more attacks.³ Governments have also hinted at the unintentional impact that insurance may have on ransomware extortion, highlighting how the ransoms demanded are often tailored to the amount insured under the cyber insurance policy.
This has revived a policy debate about how far governments should intervene to mitigate the economic externality associated with ransoms -that is, using laws, regulations and taxes to ensure victim firms recognise that paying ransoms possibly fosters more ransomware and ratchets up future extortion demands.
Policy discussions are ongoing in a number of countries about the possibility of banning ransom payments altogether. The rationale is that if ransoms or the insurance payouts for
ransom payments were prohibited, ransomware victims would be less likely to pay cybercriminals. And if ransomware targets did not pay or reduced the amount they were willing to pay (due to the lack of insurance funds as a potential source of finance), hackers’ incentive to demand a ransom in the first place would also be diminished.⁴

Banning Ransom Payments Is Not Really the Answer
In practice, there are no easy solutions to ransomware and measures often involve important trade-offs, not least because of the potential for unintended consequences.
For instance, an outright ban on ransom payments could drive such transactions underground and/or encourage ransomware attackers to engage in new forms of extortion, including threats to destroy property or cause bodily injury if their demands are not met.
A Geneva Association survey of cyber re/insurers reveals that, while most feel that banning ransom payments or prohibiting associated insurance payouts would probably discourage some ransomware attacks (Figure 2), such a blunt policy response may not always have the desired effect, especially if bans are not consistently applied on an international level. A ban solely against insurer reimbursements would be particularly ineffective, depriving victims of an important means of protection when other forms of risk financing may be difficult to organise. The absence of cyber insurance cover for extortion payments not only penalises the insured, but also does nothing to address the growth of RaaS, which has fuelled ransomware attacks.
Italy’s experience with kidnapping in the 1990s underscores the challenges of any ransom ban. The Italian government made it illegal to pay ransoms in 1991, a move widely credited for the subsequent flattening in kidnapping rates. But the threat did not go away completely as the families of kidnapped Italian citizens simply stopped reporting crimes to authorities. If ransomware payments were outlawed, victim companies would likely look to cover up attacks and route ransom payments through unofficial mechanisms to avoid detection. This potentially means that learnings and lessons about new ransomware strains would largely go unheeded.

Cyber Insurance is Part of the of the Solution
While it is often ransom payments that grab the headlines, the total losses related to a ransomware attack go well beyond extortion demands. Insurance plays an important role in supporting companies that face a variety of first- and third-party losses resulting from ransomware. After an attack, cyber insurance can be a mechanism for convening the right team of experts, including legal counsel and computer forensic analysts, to assess the incident and recommend a timely response. These experts often bring in valuable negotiating skills that can be used to help lower the ransom actually paid -not least because they are well placed to assess the credibility of the threat, including the viability of decryption keys and likelihood of restoring operations.
In addition to providing ransomware victims with the operational and financial support needed to help them recover as quickly as possible, cyber insurance can make an important contribution to the overall management of cyber risk. Insurance can positively influence cyber- security standards and best practices by promoting awareness about the exposure to ransomware and other cybercrime, sharing expertise on risk management and encouraging investment in risk prevention and mitigation. For instance, carriers (directly or in collaboration with specialist cybersecurity firms) often continuously monitor the threat environment, highlighting vulnerabilities and weaknesses in a firm’s networks and systems that might be unknown to the policyholder. Likewise, through the terms and conditions of available cover, re/insurers can incentivise investment in good cyber hygiene, which significantly lowers the chance of ransomware and other cyberattacks. These core benefits of insurance need to be weighed against any inadvertent, adverse-incentive effects on cybercriminals to carry out ransomware attacks.

Governments and Regulators Must Go Further to Counter Ransomware Attacks
There is no silver bullet for ransomware, and a multi- faceted approach will be required to reduce the underlying drivers, limit their impact and ensure business resilience. Governments, along with their regulatory and supervisory agencies, have an important role to play in improving the security of cyberspace and helping legitimate businesses gain the upper hand against cyber adversaries. Table 1 presents suggestions from re/insurers for policies aimed at deterring ransomware attacks, disrupting cybercriminals’ business models, preparing organisations better against intrusions and responding to attacks more effectively.
Many of these suggestions are mirrored in measures already announced by various governments to enhance cyber security in the wake of the recent ransomware epidemic. In particular, improved mechanisms to track, monitor and share information about ransomware strains should be beneficial. The threat intelligence gathered by government-sponsored security agencies could be used to identify and track down cybercriminals. It could also provide advanced warning and guidance to victims on effective counter measures and decryptor tools to contain any spread of the malware.
Tighter cryptocurrency regulations to help identify and root out illicit transactions, enhanced cryptocurrency tracing, forensics and other blockchain intelligence tools to recover stolen funds will also be needed -especially to counter emerging trends such as the adoption of privacy- protecting coins and the use of decentralised exchanges that make investigating online crimes and enforcing sanctions difficult.⁵ Together with high-profile public seizures, this will act as a deterrent: if cybercriminals know law enforcement can seize their cryptocurrency, it may lower their incentive to use it in the future.
Policy can also encourage firms to make themselves more resilient against ransomware attacks. Aggregate premiums for standalone cyber insurance represent less than 1% of the global property and casualty market, while some reports indicate that only around a third of small businesses purchase this kind of protection. With cyber exposures only set to increase, policy measures to foster this small but nascent market will help ensure the full societal benefits of cyberspace are realised.

1 References:

• AM Best. 2021. Best’s Market Segment Report: Ransomware and aggregation issues call for new approaches to cyber risk. https://news.ambest.com/ presscontent.aspx? refnum=30762&altsrc=9

• Clark, R., S. Kreps, and A. Rao. 2022. Shifting Crypto Landscape Threatens Crime Investigations and Sanctions. Brookings TechStream. 7 March. https://www.brookings. edu/ techstream/shifting-crypto-landscape-threatens-crime-investigations-and-sanctions/

• K. Logue and A. Shniderman. 2021. The Case for Banning (and Mandating) Ransomware Insurance. https:// repository.law.umich.edu/law_econ_current/207/

• Talion. 2021. Ransomware Perceptions Report, 2021. https://talion.net/wp-content/ uploads/2021/08/Talion- Report_final.pdf
2 AM Best 2021.
3 Tailon 2021.
4 Logue and Shniderman 2021.
5 For example, Monero utilises a number of privacy-enhancing technologies, such as the obscuring of IP addresses, to obfuscate the identities of those involved in trades and improve the fungibility of tokens. Clark et al. 2022.