Por qué las aseguradoras exigen MFA para los ciberseguros
Análisis de los requisitos de los seguros de ciberseguridad y del motivo por el que las aseguradoras ahora exigen MFA Actualmente se observa en el mercado una tendencia a que los proveedores de seguros exijan la autenticación multifactor (MFA) en la cobertura de los ciberseguros. Aunque los seguros contra riesgos relacionados con la ciberseguridad existen desde la década de 1990, el mercado no deja de crecer y cambiar para responder a las exigencias de un número cada vez mayor de normativas sobre privacidad de datos que deben cumplirse y al aumento de las amenazas a la ciberseguridad. Según
Bloomberg, el mayor pago por un rescate de ransomware divulgado hasta la fecha fue de 40 millones de dólares en marzo de 2021 por parte de CNA Financial Corp.En los dos últimos años se ha producido un aumento del
phishing y el
ransomware, y las compañías de ciberseguros entienden que todas las empresas (grandes y pequeñas) son objetivos de los ciberdelincuentes. Ya no es cuestión de SI su empresa será objetivo, sino de CUÁNDO. Ante el aumento de la amenaza, los proveedores de seguros necesitan limitar su propio riesgo y reducir el importe de los pagos a los asegurados. Por consiguiente, la necesidad de implantar una MFA se está convirtiendo en uno de los requisitos estándar de los seguros de ciberseguridad.
Cybersecurity Ventures predice que los costes mundiales de la ciberdelincuencia crecerán un 15 % anual en los próximos cinco años, hasta alcanzar los 10,5 billones de dólares anuales en 2025, frente a los 3 billones de 2015.
¿Qué cubre el ciberseguro?El seguro contra amenazas a la ciberseguridad protege a las empresas de los riesgos relacionados con la infraestructura de las tecnologías de la información, que normalmente están excluidos de las pólizas de seguros comerciales tradicionales, y suele cubrir la vulneración de datos, la extorsión mediante ransomware, el robo, la piratería malintencionada y los ataques de denegación de servicio. La mayoría de las pólizas cubren a la empresa los costes de investigación de un delito informático, la recuperación de los datos perdidos en una brecha de seguridad, la gestión de la reputación, etc., y también pueden cubrir los daños y perjuicios a terceros y los acuerdos y costes legales implicados en la defensa de reclamaciones en caso de incumplimiento de normativas, como el RGPD.
¿Por qué las aseguradoras exigen AMF para los ciberseguros?Para cualquier empresa que envíe o almacene datos electrónicos, el ciberseguro ofrece apoyo financiero en caso de vulneración de datos. Sin embargo, el
“ciberseguro no resolverá al instante todos sus problemas de ciberseguridad y no impedirá una vulneración/ataque cibernético” (NCSC del Reino Unido)
. Al igual que se presupone que el propietario de una vivienda debe disponer de las medidas de seguridad adecuadas para proteger el contenido de su hogar, las aseguradoras de ciberseguridad esperan que las organizaciones dispongan de ciertas medidas de seguridad para reducir el riesgo potencial de una vulneración de datos. Con el incremento del número de ataques de phishing y ransomware en los últimos dos años y el aumento de los costes para resolver una vulneración de datos, las aseguradoras de ciberseguridad exigen un mínimo de autenticación multifactor (MFA) como parte de sus requisitos de seguro de ciberseguridad
“Al proporcionar una barrera adicional y una capa de seguridad que dificulta enormemente que los atacantes la traspasen, MFA puede bloquear más del 99,9 por ciento de los ataques que ponen en peligro las cuentas. No bastará con conocer o descifrar la contraseña para obtener acceso.” Microsoft
¿En qué consiste la MFA?La «autenticación» en términos tecnológicos es el acto de verificar la identidad de un usuario. Normalmente, esta se verifica mediante un nombre de usuario y una contraseña.El principal problema del uso de contraseñas para la identificación es que pueden descifrarse fácilmente y, una vez descifradas, pueden ponerse a disposición de los ciberdelincuentes. Si la contraseña es la única forma de defensa, los hackers pueden utilizarla para obtener acceso inmediato a aplicaciones y servicios de su empresa en cuestión de segundos o minutos. La autenticación multifactor (MFA) proporciona capas adicionales de seguridad, mediante diferentes factores, que pueden establecerse para proteger el acceso a sus sistemas y datos.
¿Qué son los factores MFA?La autenticación multifactor suele constar de al menos dos factores necesarios para acceder a sus sistemas de TI:
Factor 1: algo que el usuario conoce (contraseña, PIN o pregunta de seguridad)
Factor 2: algo que el usuario tiene (token de hardware, código de autenticación de un solo uso o SMS)
Factor 3: algo que solo es propio del usuario (biometría: huella dactilar, retina, voz o rostro)
Factor 4: un lugar en el que se encuentra el usuario, es decir, una ubicación conocida (casa u oficina).
Además de los dos primeros factores, también se puede optar por utilizar la biometría para identificar al usuario o limitar el acceso en función de la ubicación del usuario que inicia sesión.Según Google, incluso una de las modalidades más débiles de autenticación de dos factores, la verificación en dos pasos a través de mensajes de texto SMS, puede detener el 100 % de todos los ataques automatizados, el 96 % de los ataques de phishing masivo y tres cuartas partes de los ataques selectivos. Más información:
¿En qué consiste la 2FA?¿Por qué utilizar 2FA o MFA?¿Qué controles de MFA hay que implantar para contratar un ciberseguro?Muchas pólizas de ciberseguro exigen la implantación de los siguientes controles específicos de MFA:
- MFA para redes remotas. Reduce la posibilidad de una brecha en la seguridad de la red provocada por una contraseña comprometida. Este aspecto ha cobrado especial importancia tras el aumento masivo del teletrabajo provocado por la Covid-19, y las aseguradoras quieren asegurarse de que el acceso a la nube está protegido.
- MFA para acceso de administrador. Dado que los administradores de las soluciones empresariales tienen las claves de su empresa, este aspecto es de especial importancia. Este tipo de autenticación limita la capacidad de un atacante a la hora de acceder a una red comprometida.
- MFA para acceso remoto al correo electrónico. Con tanta información almacenada en correos electrónicos y distribuida por toda la organización, es increíblemente importante asegurarse de que este acceso está protegido.
La MFA es imprescindible con o sin ciberseguroLas estadísticas de ciberataques hablan por sí solas: aumentan los costes de los ciberataques a las empresas, se incrementan los ataques (incluso a las empresas más pequeñas) y plataformas como el ransomware como servicio facilitan cada vez más a los ciberdelincuentes la ejecución de un ataque. Además de la disrupción empresarial, el aumento de los ciberataques y las vulneraciones de datos puede conllevar multas de carácter normativo, así como daños a la reputación y pérdida de clientes. Incluso si la MFA no fuera un requisito desde la perspectiva del ciberseguro, seguiría siendo imprescindible para proteger sus datos y su empresa.
MFA Video >Case Studies >Looking for a comprehensive MFA solution?
Please complete the form below to discuss SecurEnvoy’s flexible and effective multi-factor authentication that is easy-to-use for you and your users with a member of the team.
Published: 28 septiembre 2023
Category: Industry Research
2FA / Data Control / Financial / MFA
Adam Bruce, CRO, SecurEnvoy
Adam’s career spans over twenty years, starting with a technical specialisation in Networking and Security. This start provided a sound technical understanding of Cyber Security and gave the foundation for twenty years in commercial sales. Adam’s experience includes over seven years operating within a high-profile Cyber Security VAR, working with household names across a wide range of sectors. Adam joined SecurEnvoy in 2005, as the first sales hire, with a hand in both End User Sales and Channel Development. The fifteen year SecurEnvoy journey has resulted in Adam successfully building out and leading the commercial operations and strategy. He has risen through many roles within the business at SecurEnvoy, culminating as Chief Revenue Officer.