Allianz Commercial publica hoy su informe anual de riesgos cibernéticos. Los siniestros de esta tipología han continuado su tendencia al alza durante el pasado año, impulsados en gran parte por un aumento de los  incidentes de violación de datos y privacidad. Así, la frecuencia de grandes siniestros  cibernéticos (>1 millón de euros) en los primeros seis meses de 2024 aumentó un 14%, mientras  que la gravedad se incrementó en un 17%, tras un aumento de sólo el 1% en la gravedad  durante 2023. Los elementos relacionados con la violación de datos y privacidad están  presentes en dos tercios de estas grandes pérdidas, refleja el informe. En general, se espera que el número total de siniestros cibernéticos en 2024 se estabilice, tras un aumento del 30% en la frecuencia durante 2023, que dio lugar a más de 700 siniestros. 

«La creciente importancia de las pérdidas por violación de datos entre las reclamaciones de  seguros cibernéticos está impulsada por una serie de tendencias notables», explica Michael  Daum, director global de Reclamaciones Cibernéticas de Allianz Commercial. «El aumento de  los ataques de ransomware, que incluyen la exfiltración de datos, es consecuencia de las  tácticas cambiantes de los atacantes y de las crecientes interdependencias entre las  organizaciones que comparten volúmenes cada vez mayores de registros personales. Al mismo  tiempo, la evolución del entorno normativo y jurídico ha traído consigo un repunte de los  denominados litigios colectivos relacionados con la privacidad de los datos no relacionados  con ataques, derivados de incidentes como la recopilación y el tratamiento ilícito de datos  personales. Es relevante destacar queel número de estas demandas ha triplicado su valor solo  en dos años», añade Daum.  

Aumentan las reclamaciones sin ataques específicos 

El aumento de las demandas de privacidad de datos no relacionadas con ataques es consecuencia de la evolución de la tecnología, el creciente valor comercial de los datos personales y la evolución del panorama normativo y jurídico. Por ejemplo, a diferencia del  Reglamento General de Protección de Datos (RGPD) de la UE, la normativa sobre privacidad  en Estados Unidos es menos prescriptiva y está abierta a la interpretación, lo que hace que los  abogados demandantes estén ávidos de posibles fuentes de ingresos. Esto está creando una  zona gris propicia para los litigios colectivos, señala el informe de Allianz Commercial. 

«Estamos viendo más demandas por violación de la privacidad de datos en Estados Unidos,  donde hay una tendencia creciente de litigios colectivos contra grandes empresas  estadounidenses e internacionales relacionados con violaciones de la privacidad, como en  torno al consentimiento y el uso de datos», afirma Daum. «El coste de algunas de estas  demandas puede ser incluso mayor que el de un incidente de ransomware, de cientos de  millones de dólares», añade. En el último año en particular, las violaciones de datos se han  convertido en una de las áreas de más rápido crecimiento de los litigios colectivos en Estados  Unidos. Según el bufete de abogados Duane Morris, en 2023 se presentaron más de 1.300  demandas por una amplia gama de normativas sobre privacidad de datos, más del doble que  en 2022 y cuatro veces más que en 2021.  

Se han presentado múltiples demandas colectivas contra organizaciones de una amplia gama  de sectores como la sanidad, redes sociales y gaming, por utilizar herramientas de seguimiento  como Meta Pixel para vigilar el comportamiento de los consumidores, mientras que las  plataformas de streaming de entretenimiento también han sido objeto de ataques alegando  que pueden haber violado los derechos de protección de la privacidad. Las violaciones de  datos de gran envergadura también pueden derivar en litigios contenciosos, y un suceso puede  desencadenar una serie de demandas colectivas. En octubre de 2023, más de 240 demandas  relacionadas con la filtración de datos de Moveit se unificaron en un único litigio. Y con un  gran número de demandantes, hay incentivos para que ambas partes lleguen a un acuerdo.  Los 10 acuerdos de demandas colectivas por violación de datos más importantes del año  pasado ascendieron a un total de 516 millones de dólares, un aumento significativo respecto  a los 350 millones de dólares registrados en 2022.  

El riesgo de litigios por violación de datos también está creciendo en Europa. Una mayor  concienciación sobre los derechos de protección de datos, un aumento de la disponibilidad de  financiación de litigios por terceros y un entorno de litigios más favorable a los consumidores podrían hacer realidad las demandas masivas sobre privacidad de datos, aunque no a la  misma escala que en Estados Unidos, señala el estudio de Allianz Commercial. 

La IA impulsará y evitará futuras violaciones de la privacidad de los datos. El hecho de que casi todas las industrias utilicen ahora la IA tendrá un impacto significativo en  el panorama de los riesgos cibernéticos y de privacidad en el futuro. La IA se basa en la  recopilación y el procesamiento de grandes cantidades de datos, incluida información  personal, sanitaria y biométrica, para entrenar modelos de IA y hacer predicciones o  recomendaciones. Pero las herramientas de IA, como los chatbots, pueden crear riesgos  potenciales para la privacidad, la desinformación y la seguridad si no se gestionan  adecuadamente. Con tantos datos recopilados y procesados, existe el riesgo de que caigan en las manos equivocadas, ya sea a través de piratería informática u otras brechas de seguridad. También preocupa la posible vulneración de la legislación sobre privacidad, por ejemplo si las  organizaciones cuentan con el consentimiento adecuado para procesar datos mediante IA. 

De la filtración a la protección de datos 

A pesar de la tendencia general al aumento de la inversión en ciberseguridad en los últimos  años, muchas violaciones de datos, incluidos algunos de los mayores ciberataques de exfiltración masiva de datos de los últimos 18 meses, son el resultado de una ciberseguridad deficiente dentro de las organizaciones y/o sus cadenas de suministro. Tales incidentes pueden  dar lugar a una gran reclamación que implique multas reglamentarias, costes de notificación y  litigios de terceros, además de demandas de extorsión, costes de primera parte e interrupción  del negocio. 

La mejor forma de mitigar los riesgos de violación de datos es mediante una buena ciberhigiene, que incluya controles de acceso estrictos, segregación de bases de datos, copias  de seguridad, parches y formación. Muchas empresas deben mejorar la supervisión de las ciberdebilidades en sus cadenas de suministro. 

«Las capacidades de detección y respuesta tempranas también son clave. Alrededor de dos  tercios de las infracciones suelen ser denunciadas por terceros o por los propios atacantes»,  afirma Rishi Baviskar, director Global de Consultoría de Riesgos Cibernéticos de Allianz  Commercial. «Las brechas cibernéticas que no se detectan y contienen a tiempo pueden acabar  siendo 1.000 veces más caras que las que sí se detectan. Es la diferencia entre que una pérdida  de 20.000 euros se convierta en una de 20 millones de euros», añade.  

«La IA también se está convirtiendo en una herramienta esencial en la lucha contra los  ciberataques. Así, puede identificar rápidamente una brecha de seguridad y aislar  automáticamente los sistemas y bases de datos. Además, tiene el potencial de reducir  significativamente el coste y el ciclo de vida de una reclamación por violación de datos  mediante la automatización de tareas, como la investigación forense y las notificaciones,  ahorrando potencialmente millones de dólares a las empresas», afirma Baviskar.