Zurich Insurance Group se debate para no pagar una demanda millonaria

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

La demanda de $ 100 millones de dólares que Mondelez, el fabricante de chocolate Oreos y Cadbury, entabló contra Zurich Insurance Group

Esto muestra que los gobiernos deberían tener más cuidado al identificar a los posibles culpables en las supuestas guerras cibernéticas: tales reclamos pueden tener consecuencias imprevistas y pueden a veces perjudicar a las empresas.

En junio de 2017, un programa de malware denominado ExPetr o NotPetya causó estragos en el gigante naviero danés Maersk, la farmacéutica estadounidense Merck, la petrolera estatal rusa Rosneft y una serie de otras grandes corporaciones, entre ellas Mondelez.

NotPetya utilizó un exploit conocido como EternalBlue, creado por la Agencia de Seguridad Nacional de EE. UU. Y filtrado a principios de 2017.

En febrero de 2018, el Reino Unido culpó oficialmente a Rusia por el ataque cibernético inusualmente poderoso. Estados Unidos, Canadá y Australia lo siguieron rápidamente como parte de lo que más tarde se reveló como una acción diplomática coordinada.

La declaración oficial de la Casa Blanca calificó el malware como «parte del esfuerzo continuo del Kremlin para desestabilizar a Ucrania» y dijo que demostraba «cada vez más claramente la participación de Rusia en el conflicto en curso». Las compañías de seguridad cibernética descubrieron que el ataque se había producido por primera vez en Ucrania.

La atribución oficial a Rusia por parte de los gobiernos occidentales se ajusta al patrón de nombrar y avergonzar establecido en los últimos años.

No se sienten obligados a proporcionar ninguna prueba: eso es innecesario si la idea es decirle a Rusia: «Sabemos lo que está haciendo».

Rusia invariablemente niega su participación, por lo que las consecuencias generalmente se limitan a una campaña meramente publicitaria.

Pero no en este caso: la disputa de Mondelex-Zurich podría sentar un desagradable precedente, lo que plantea la cuestión de si es necesario cambiar las reglas de los negocios para tener en cuenta el Nuevo Mundo Valiente de los ciberataques.

Mondelez reclamó $ 100 millones de dólares en su póliza de seguro porque creía que el daño permanente a 1,700 de sus servidores y 24,000 computadoras portátiles, infligido por NotPetya, más el robo de miles de credenciales de usuario, órdenes de clientes no cumplidas y otras pérdidas, quedaron bajo la provisión de su póliza de seguro que cubrió «pérdida física o daño a datos electrónicos, programas o software» causado por «la introducción maliciosa de un código o instrucción de máquina».

En junio de 2018, Zurich respondió que NotPetya estaba excluida de la política que cubría «actos hostiles o bélicos» considerados para acciones en tiempo de paz o guerra, lo que significaba que la aseguradora no tenía que cumplir con el reclamo.

Mondelez demandó, afirmando que la aplicación de Zurich de la exclusión a un ataque cibernético o, de hecho, a cualquier cosa que no fuera la guerra convencional no tenía precedentes.

La carga de la prueba en un caso como este es con la compañía de seguros.

Los ataques cibernéticos son notoriamente difíciles de atribuir, e incluso las pruebas recopiladas por las compañías de seguridad cibernética pueden no ser convincentes ante un tribunal.

Sin embargo, en este caso particular, Zurich puede referirse a una serie de declaraciones oficiales de los gobiernos occidentales que describen NotPetya como parte de una acción hostil rusa contra Ucrania.

Pero, como es habitual con las revelaciones de las agencias de inteligencia, no se ofreció ninguna prueba para respaldar la acusación.

La demanda plantea la cuestión de si las reclamaciones de fuentes oficiales deben ser admisibles como prueba, incluso cuando carecen de fundamento.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris