Incidentes de privacidad y violación de datos en entornos informáticos
Durante la primera mitad del año, la frecuencia y la gravedad de los siniestros cibernéticos de coste superior al millón de euros se ha elevado bastante.
Allianz Commercial, firma de Grupo Allianz que gestiona seguros corporativos de grandes y medianas empresas y riesgos complejos, publica su informe anual de riesgos cibernéticos. Los siniestros de esta tipología han continuado su tendencia al alza durante el pasado año, impulsados en gran parte por un aumento de los incidentes de violación de datos y privacidad.
Así, la frecuencia de grandes siniestros cibernéticos (>1 millón de euros) en los primeros seis meses de 2024 aumentó un 14%, mientras que la gravedad se incrementó en un 17%, tras un aumento de sólo el 1% en la gravedad durante 2023. Los elementos relacionados con la violación de datos y privacidad están presentes en dos tercios de estas grandes pérdidas, refleja el informe. En general, se espera que el número total de siniestros cibernéticos en 2024 se estabilice, tras un aumento del 30% en la frecuencia durante 2023, que dio lugar a más de 700 siniestros.
“La creciente importancia de las pérdidas por violación de datos entre las reclamaciones de seguros cibernéticos está impulsada por una serie de tendencias notables”, explica Michael Daum, Director Global de Reclamaciones Cibernéticas de Allianz Commercial. “El aumento de los ataques de ransomware, que incluyen la exfiltración de datos, es consecuencia de las tácticas cambiantes de los atacantes y de las crecientes interdependencias entre las organizaciones que comparten volúmenes cada vez mayores de registros personales. Al mismo tiempo, la evolución del entorno normativo y jurídico ha traído consigo un repunte de los denominados litigios colectivos relacionados con la privacidad de los datos no relacionados con ataques, derivados de incidentes como la recopilación y el tratamiento ilícito de datos personales. Es relevante destacar que el número de estas demandas ha triplicado su valor solo en dos años”, añade Daum.
Aumentan las reclamaciones sin ataques específicos a medida que se intensifican los litigios sobre privacidad
El aumento de las demandas de privacidad de datos no relacionadas con ataques es consecuencia de la evolución de la tecnología, el creciente valor comercial de los datos personales y la evolución del panorama normativo y jurídico. Por ejemplo, a diferencia del Reglamento General de Protección de Datos (RGPD) de la UE, la normativa sobre privacidad en Estados Unidos es menos prescriptiva y está abierta a la interpretación, lo que hace que los abogados demandantes estén ávidos de posibles fuentes de ingresos. Esto está creando una zona gris propicia para los litigios colectivos, señala el informe de Allianz Commercial.
“Estamos viendo más demandas por violación de la privacidad de datos en Estados Unidos, donde hay una tendencia creciente de litigios colectivos contra grandes empresas estadounidenses e internacionales relacionados con violaciones de la privacidad, como en torno al consentimiento y el uso de datos”, afirma Daum. “El coste de algunas de estas demandas puede ser incluso mayor que el de un incidente de ransomware, de cientos de millones de dólares”, añade. En el último año en particular, las violaciones de datos se han convertido en una de las áreas de más rápido crecimiento de los litigios colectivos en Estados Unidos. Según el bufete de abogados Duane Morris, en 2023 se presentaron más de 1.300 demandas por una amplia gama de normativas sobre privacidad de datos, más del doble que en 2022 y cuatro veces más que en 2021.
Se han presentado múltiples demandas colectivas contra organizaciones de una amplia gama de sectores como la sanidad, redes sociales y gaming, por utilizar herramientas de seguimiento como Meta Pixel para vigilar el comportamiento de los consumidores, mientras que las plataformas de streaming de entretenimiento también han sido objeto de ataques alegando que pueden haber violado los derechos de protección de la privacidad. Las violaciones de datos de gran envergadura también pueden derivar en litigios contenciosos, y un suceso puede desencadenar una serie de demandas colectivas. En octubre de 2023, más de 240 demandas relacionadas con la filtración de datos de MOVEit se unificaron en un único litigio. Y con un gran número de demandantes, hay incentivos para que ambas partes lleguen a un acuerdo. Los 10 acuerdos de demandas colectivas por violación de datos más importantes del año pasado ascendieron a un total de 516 millones de dólares, un aumento significativo respecto a los 350 millones de dólares registrados en 2022.
El riesgo de litigios por violación de datos también está creciendo en Europa. Una mayor concienciación sobre los derechos de protección de datos, un aumento de la disponibilidad de financiación de litigios por terceros y un entorno de litigios más favorable a los consumidores podrían hacer realidad las demandas masivas sobre privacidad de datos, aunque no a la misma escala que en Estados Unidos, señala el estudio de Allianz Commercial.
La IA impulsará y evitará futuras violaciones de la privacidad de los datos
El hecho de que casi todas las industrias utilicen ahora la inteligencia artificial tendrá un impacto significativo en el panorama de los riesgos cibernéticos y de privacidad en el futuro. La IA se basa en la recopilación y el procesamiento de grandes cantidades de datos, incluida información personal, sanitaria y biométrica, para entrenar modelos de IA y hacer predicciones o recomendaciones. Pero las herramientas de IA, como los chatbots, pueden crear riesgos potenciales para la privacidad, la desinformación y la seguridad si no se gestionan adecuadamente. Con tantos datos recopilados y procesados, existe el riesgo de que caigan en las manos equivocadas, ya sea a través de piratería informática u otras brechas de seguridad. También preocupa la posible vulneración de la legislación sobre privacidad, por ejemplo si las organizaciones cuentan con el consentimiento adecuado para procesar datos mediante IA.
De la filtración a la protección de datos
A pesar de la tendencia general al aumento de la inversión en ciberseguridad en los últimos años, muchas violaciones de datos, incluidos algunos de los mayores ciberataques de exfiltración masiva de datos de los últimos 18 meses, son el resultado de una ciberseguridad deficiente dentro de las organizaciones y/o sus cadenas de suministro. Tales incidentes pueden dar lugar a una gran reclamación que implique multas reglamentarias, costes de notificación y litigios de terceros, además de demandas de extorsión, costes de primera parte e interrupción del negocio.
La mejor forma de mitigar los riesgos de violación de datos es mediante una buena ciberhigiene, que incluya controles de acceso estrictos, segregación de bases de datos, copias de seguridad, parches y formación. Muchas empresas deben mejorar la supervisión de las ciberdebilidades en sus cadenas de suministro.
“Las capacidades de detección y respuesta tempranas también son clave. Alrededor de dos tercios de las infracciones suelen ser denunciadas por terceros o por los propios atacantes", afirma Rishi Baviskar, Director Global de Consultoría de Riesgos Cibernéticos de Allianz Commercial. "Las brechas cibernéticas que no se detectan y contienen a tiempo pueden acabar siendo 1.000 veces más caras que las que sí se detectan. Es la diferencia entre que una pérdida de 20.000 euros se convierta en una de 20 millones de euros”, añade.
“La IA también se está convirtiendo en una herramienta esencial en la lucha contra los ciberataques. Así, puede identificar rápidamente una brecha de seguridad y aislar automáticamente los sistemas y bases de datos. Además, tiene el potencial de reducir significativamente el coste y el ciclo de vida de una reclamación por violación de datos mediante la automatización de tareas, como la investigación forense y las notificaciones, ahorrando potencialmente millones de dólares a las empresas”, afirma Baviskar.
