En una disputa sobre la cobertura de un ataque cibernético que involucró $1400 millones, un tribunal de apelaciones de Nueva Jersey emitió un fallo que tenía el potencial de sentar un precedente a favor de Merck & Co. Inc. El tribunal sostuvo que un grupo de aseguradoras no puede utilizar el hecho de que ahora es una guerra como base para excluir a Merck de la cobertura del ataque cibernético que ocurrió en 2017. El ataque de NotPetya causó una interrupción generalizada en las redes informáticas en todo el mundo y miles de máquinas propiedad de Merck se vieron afectadas.
El seguro contra todo riesgo que Merck tenía con Ace American por $1,750 millones cubría la cobertura de sucesos que condujeron a la pérdida de datos de software. Sin embargo, la aseguradora no pagó, citando una cláusula de inclusión de “Actos de guerra” en su decisión. Esto se debió a que NotPetya fue causado por un ciberataque apoyado por Rusia contra entidades ucranianas. La mayoría de los contratos de seguros tienen el lenguaje, sin embargo, Merck sostuvo que la exclusión no se aplicaba ya que las consecuencias en las que incurría no estaban relacionadas con la actividad militar. La cláusula se encuentra en la mayoría de las pólizas de seguro. El tribunal llegó a la misma conclusión que las partes y decidió que el ciberataque NotPetya no constituyó ningún tipo de acción militar y, por lo tanto, no se le puede negar la cobertura bajo el pretexto de una exclusión de conducta bélica.
Según la decisión, “la cobertura solo podría excluirse en esta circunstancia si extendiéramos el significado de ‘hostil’ a su límite exterior en un intento de aplicarlo a un ataque cibernético en una empresa no combatiente que proporcionó actualizaciones de software de contabilidad a varios clientes no combatientes, todo totalmente fuera del contexto de cualquier conflicto armado u objetivo militar”.
La declaración continuó diciendo que “pero ese enfoque entraría en conflicto con nuestros principios fundamentales de construcción que requieren que un tribunal interprete estrictamente una exclusión de póliza de seguro”. En una exclusión, el significado particular, obvio, claro y conspicuo de una palabra o frase, así como su significado y propósito claros, no equivalen a la interpretación más amplia posible de la frase o palabra; más bien, equivale a la interpretación más pequeña posible de la frase.
La demanda se originó a raíz de las consecuencias que experimentó Merck a raíz de la catástrofe de NotPetya. Según la denuncia, “dentro de los 90 segundos de la infección inicial, se infectaron aproximadamente 10 000 máquinas en la red global de Merck”, y en cinco minutos, casi 20 000 máquinas adicionales se infectaron con el software malicioso. Más de 40.000 computadoras en la red global de la compañía farmacéutica se vieron comprometidas por el virus.
Se informa que la corporación incurrió en pérdidas de $ 1.4 mil millones debido a interrupciones en la producción y fabricación, costos pagados a firmas cibernéticas de terceros y el gasto para reemplazar cada sistema que se vio afectado negativamente.
En el momento del hackeo, Merck tenía un seguro a todo riesgo con Ace American por 1750 millones de dólares. Una de las disposiciones de la póliza era la cobertura de incidentes que resultaron en la pérdida de datos de software. Sin embargo, la aseguradora no pagó, citando una cláusula de inclusión de “Actos de guerra” en su decisión. Esto se debió a que NotPetya fue causado por un ciberataque apoyado por Rusia contra entidades ucranianas.
La frase está incluida en la gran mayoría de los planes de seguro; sin embargo, Merck sostuvo que la exclusión no se aplicaba a su situación ya que los efectos que sufrió no fueron el resultado de un ataque cibernético lanzado por un estado-nación.
En la denuncia original que Merck presentó en agosto de 2018, se observó que la disposición de exclusión no se aplicaba a ningún incidente relacionado con la cibernética y solo se aplicaba a los ataques sancionados oficialmente por el gobierno.
Una sentencia dictada por el Tribunal Superior de Nueva Jersey en diciembre de 2021 falló en contra de Ace American y “sin vacilar” concedió la petición de Merck de juicio sumario parcial. El tribunal llegó a la conclusión de que la exclusión de conducta hostil/bélica no se aplicaba para limitar la cobertura de los daños de Merck causados por NotPetya. Luego de eso, la aseguradora presentó un recurso de apelación, argumentando que el tribunal de primera instancia se equivocó en su decisión.
El argumento a favor de Merck establecía que, para garantizar una cobertura de seguro adecuada, “aceptar la interpretación de las aseguradoras de la exclusión hostil/bélica operaría para cambiar el significado establecido de las exclusiones de guerra y… también amenazaría con deshacer las reglas de interpretación de pólizas que los locales históricamente los gobiernos han confiado”.
La sentencia que se dictó esta semana pone fin a una prolongada lucha legal y ordena que Ace American pague las pérdidas sufridas por Merck.
Este fallo está siendo aclamado como un gran éxito para las empresas que presentan reclamos por ataques cibernéticos, particularmente a la luz del hecho de que los piratas informáticos vinculados a estados-nación hostiles han aumentado sus actividades de amenazas en forma de ataques a la cadena de suministro, ransomware y otras formas de amenazas destructivas. Se prevé que la sentencia facilitaría a las empresas la compensación de sus reclamos en caso de que un examen forense revele que un actor vinculado al estado está relacionado con un ataque. El fallo también debería beneficiar al sector de seguros en su conjunto al motivar a las aseguradoras a, como mínimo, revisar sus pólizas y actualizarlas con las exclusiones apropiadas para mantenerse al tanto del complicado y cambiante mundo cibernético.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
