<<Caballeros, ¿debo recordarles que mis probabilidades de éxito aumentan en cada nuevo intento?>>.
Esta frase, pronunciada por John Nash, resume perfectamente lo que vamos a desarrollar a continuación. Nash ha sido uno de los matemáticos más brillantes de nuestra historia. En 1994 recibió el Premio Nobel de Economía como reconocimiento a sus aportaciones a la Teoría de Juegos desarrollando la tesis de los Juegos no cooperativos.
La naturaleza del riesgo cibernético
Cuando abordamos este riesgo concreto decimos que es relativamente nuevo, en tanto en cuanto su aseguramiento en Europa se lleva a cabo desde los primeros años del siglo XXI. Estas casi 2 décadas nos han demostrado que su carácter sustancial difiere del de los riesgos tradicionales sobre todo porque no está sujeto al azar sino a la probabilidad.
En este sentido, siempre hemos definido el riesgo asegurable como aquel que es posible, incierto y fortuito. Sin embargo, ahora nos enfrentamos a un riesgo sujeto a la probabilidad, pues el vector que lo activa ya no es un hecho sujeto al azar -como un incendio, una pandemia o un error- sino un ser humano. Hablamos de organizaciones criminales que van a intentar una y mil veces acceder a los sistemas informáticos que se propongan. Y, para ello, van a utilizar su ingenio y la IA para poner todas las probabilidades a su favor. Y no van a parar hasta conseguirlo.
El foco en la gestión del riesgo cibernético
Este cambio de paradigma se ha acentuado notablemente en los últimos años como consecuencia del rápido avance de las tecnologías basadas en IA. Herramientas como los deepfakes, el deepvoice o las soluciones capaces de replicar documentación incorporando elementos de seguridad sintética han elevado el nivel de sofisticación de los ataques. Como respuesta, muchas empresas han comenzado a poner el foco en el refuerzo de controles internos y en el diseño de nuevos procedimientos orientados a ayudar a los empleados a identificar intentos de suplantación de identidad generados mediante inteligencia artificial.
En este contexto, resulta habitual encontrar programas de concienciación y formación dirigidos a empleados que ocupan posiciones especialmente sensibles, como los responsables de tesorería, compras o recursos humanos. Se implementan procesos de verificación reforzada, validaciones por distintos canales y protocolos específicos para operaciones críticas, como transferencias bancarias, cambios de cuentas de proveedores o solicitudes urgentes de información. El objetivo es reducir la probabilidad de que un empleado, actuando de buena fe, sea engañado por una identidad falsa aparentemente legítima y facilite, de forma involuntaria, un fraude.
Identidades humanas frente a Identidades no humanas
No obstante, este enfoque, aunque necesario, presenta una limitación relevante. La mayoría de estas medidas se centran casi exclusivamente en las identidades humanas (suplantación de identidad de proveedores, clientes, altos directivos), mientras que se presta una atención menor a las denominadas Non Human Identities (NHI). Bajo este concepto se agrupan identidades no humanas esenciales para el funcionamiento de los sistemas empresariales modernos, como cuentas de servicio, credenciales de aplicaciones, claves API, certificados digitales o identidades asociadas a procesos automatizados y a cargas de trabajo en la nube.
Paradójicamente, estas identidades suelen contar con amplios privilegios de acceso y operar de forma continua, pero su gestión permanece, en muchos casos, fuera del foco de las estrategias clásicas de prevención del fraude. Su carácter técnico y automatizado hace que quizá no se estén percibiendo todavía como un vector de riesgo equiparable al de una identidad humana, cuando en realidad representan una superficie de ataque especialmente atractiva para los ciberdelincuentes.
Los atacantes son conscientes de esta situación. En lugar de asumir el riesgo de interactuar con un empleado —lo que puede activar alertas internas o despertar sospechas—, pueden optar por comprometer una NHI mal protegida, obsoleta o caducada, con credenciales expuestas o con privilegios excesivos. Una vez obtenidas estas credenciales, el acceso a los sistemas corporativos se realiza de manera silenciosa y persistente. Desde el punto de vista de muchos controles tradicionales, no se produce una suplantación evidente, ya que el acceso se efectúa utilizando una identidad técnicamente válida, aunque haya sido robada o comprometida.
Este escenario complica de forma considerable la gestión del riesgo cibernético. A diferencia de las identidades humanas, cuyo comportamiento puede resultar anómalo o incoherente con los patrones habituales, las NHI suelen operar de forma predecible y repetitiva. Cuando un atacante utiliza estas identidades para moverse lateralmente por los sistemas, realizar operaciones fraudulentas o extraer información sensible, la detección temprana resulta mucho más difícil. Además, la atribución de responsabilidades internas se diluye, ya que no existe un error humano directo, sino una brecha de seguridad que puede haber pasado desapercibida durante largos periodos de tiempo.
Los Seguros de Ciber riesgos y de Fraude (o Crime) como elementos fundamentales en la gestión del riesgo cibernético
Como consecuencia, las empresas se enfrentan a un escenario en el que, pese a haber invertido en formación, procedimientos y herramientas para combatir la suplantación de identidad basada en IA, siguen estando expuestas a pérdidas económicas significativas. La sofisticación de los ataques, unida a la complejidad de los entornos tecnológicos actuales, hace que la prevención absoluta sea, en la práctica, inalcanzable y se complique conforme evoluciona la tecnología en general y la IA, en particular. Siempre existirá un nivel de riesgo consustancial, especialmente cuando los atacantes combinan técnicas avanzadas de ingeniería social con el compromiso de identidades no humanas.
En este contexto, adquiere una relevancia creciente la transferencia del riesgo a través de mecanismos financieros adecuados. Contar con un programa de seguros de Ciber riesgos y de Fraude (o Crime, en su denominación inglesa), se convierte en un elemento esencial dentro de una estrategia integral de gestión del riesgo. Este tipo de cobertura está diseñada para responder ante pérdidas económicas derivadas de actos fraudulentos y fallos de seguridad, incluidos aquellos originados por accesos no autorizados, robo de credenciales o suplantación de identidades.
El valor de este tipo de seguros no reside únicamente en la indemnización tras la materialización del siniestro. Su verdadera aportación se encuentra en su capacidad para dotar a la empresa de capacidad financiera frente a un riesgo que, por su propia naturaleza, es extremadamente difícil de eliminar y gestionar. Ese riesgo puede ser transferido al mercado asegurador en lugar de asumirlo en el propio balance de la empresa.
En un entorno en el que los ataques pueden producirse de forma reiterada y con un impacto económico elevado, disponer de una cobertura adecuada permite absorber el impacto financiero, garantizar la continuidad del negocio y realizar un análisis pormenorizado del incidente que ayude a reforzar los controles internos.
