Los cada vez más ataques informáticos provocan el crecimiento exponencial de los ciberseguros

16/11/2015
Publicat a: El Confidencial

El 21 de noviembre se cumplirá un año del hack contra Sony, uno de los más devastadores ataques informáticos de la historia, supuestamente orquestado por el gobierno de Corea del Norte. La multinacional Sony Pictures perdió 100 millones de dólares en los 30 días que duró el ataque: sus documentos más confidenciales fueron aireados, así como información privada de sus empleados e incluso películas que no se habían estrenado. Por suerte, Sony tenía un seguro que ha cubierto buena parte de las pérdidas (http://www.insurancejournal.com/news/national/2015/01/12/353835.htm). Su caso y el de otras empresas está convirtiendo en boyante el negocio de los llamados ciberseguros.

La corporación Target también tenía un seguro (http://www.insurancejournal.com/news/national/2014/02/26/321638.htm) cuando, a finales de 2013, descubrió que le habían robado los números de tarjetas de crédito y débito de 40 millones de clientes, así como los datos personales de 70 millones de personas. Fue una debacle en la que Target perdió además la confianza del público y muchas ventas. Sólo el ataque costó a la corporación 61 millones de dólares, de los cuales su seguro cubrió 44.

Según la aseguradora Marsh, el mercado de los ciberseguros generó en Estados Unidos mil millones de dólares en 2013, cantidad que se dobló en 2014 y las previsiones indican que volverá a doblarse en 2015. Los ciberseguros nacen en 1996 en Estados Unidos, donde las empresas están especialmente interesadas en asegurar la privacidad de sus datos. En Europa, en cambio, preocupa más la continuidad del negocio. El mercado europeo de ciberseguros es aún pequeño comparado con Estados Unidos, pero crece también a buen ritmo.

Un reciente estudio de Wells Fargo (https://wfis.wellsfargo.com/insights/research/2015-Cyber-Security-and-Data-Privacy-Survey/Documents/Cyber_data_privacy_survey_white_paper_FNL.pdf) sobre 100 empresas medianas y grandes de Estados Unidos desvela que el 85% tienen ya un ciberseguro. De estas, el 44% han sufrido incidentes que han sido cubiertos por la aseguradora. Las que aún no tiene seguro aducen el elevado coste y problemas para encontrar uno a su medida.

Las primas que se pagan dependen del tipo de negocio, cantidad y calidad de los datos que se salvaguardan y nivel de securización de la organización. Una pequeña empresa, bien gestionada, puede pagar una prima anual de 750 dólares, que sería la más baja. La propia naturaleza de la seguridad informática hace que este tipo de seguro tengan límites muy subjetivos y gran flexibilidad.

Como en otros seguros, aquí también se contempla la posibilidad de catástrofes, categorizadas en 4 supuestos (https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/415354/UK_Cyber_Security_Report_Final.pdf): el mayor proveedor de datos en la nube sufre una violación de su seguridad, el mayor proveedor de alojamiento de aplicaciones en la nube sufre un paro de 24 horas, el mayor proveedor de servicios de procesamiento de pagos sufre un fallo de seguridad y no pueden hacerse pagos en comercio electrónico durante 48 horas y un ciberataque provoca un paro de transmisión de la electricidad durante 48 horas.

Lejos de tanta catástrofe, los delitos más habituales que sufren las empresas, según el Instituto Español de Ciberseguridad (INCIBE), son los accesos no autorizados a información confidencial, junto a los engaños tipo "phishing" para robar datos bancarios o contraseñas. Las víctimas más habituales, según INCIBE, son las grandes compañías tecnológicas, los bancos, las pymes de contenido audiovisual, editoriales, agencias de viajes, empresas de contenido científico o técnico, de comercio y hostelería.

Pocas tienen un ciberseguro, que de momento es una opción de lujo pues las primas no son baratas. Las más grandes sí empiezan a apostar por este producto, que comercializan las principales compañías del sector. "Hoy en día, quien contrata un ciberseguro en España son empresas con una facturación superior a los 100 millones: instituciones financieras, empresas de suministros (agua, eléctricas) y empresas de 'retail'", explican fuentes de Allianz Global, convencidas de que los ciberseguros "crecerán exponencialmente con la llegada de la nueva directiva europea sobre protección de datos y las multas y sanciones de mayor importe".

La ciberpóliza "Allianz Cyber Protec" cubre, en versiones estándar y premium, la responsabilidad frente a terceros por robo de datos de clientes, así como las reclamaciones, por ejemplo las interpuestas por proveedores de servicios de pagos electrónicos. También asume los gastos de auditoría forense, indemnizaciones, notificación del hecho a las personas afectadas y multas relacionadas con el robo.

Otros daños que puede cubrir esta ciberpóliza son los que sufra la empresa a consecuencia de un ataque informático, como la pérdida de beneficios, gastos de restitución del sistema informático al momento anterior al que se produjo el incidente de seguridad, reembolso del dinero pagado por error, ciberextorsión o robo informático. Por último, el seguro también puede encargarse de los gastos de rehabilitación de la imagen y consultoría.

"El proceso de contratación y maduración de estos seguros es largo, lleva entre 6 meses y un año", explican en Allianz Global. En la versión estándar el asegurado sólo tiene que rellenar un cuestionario sobre las medidas de seguridad de su empresa. La versión Premium precisa de un análisis más profundo de los sistemas y procedimientos de la compañía, que lleva a cabo la división Allianz Risk Consulting y consiste, según la compañía, en "un diálogo con los responsables de sistema del asegurado".

Los ciberseguros abren un nuevo vector de negocio no sólo para las aseguradoras sinó también para las empresas de seguridad informática. Xabier Mitxelena, CEO de S21sec, lleva 12 años trabajando con empresas que quieren asegurarse frente a daños informáticos. S21sec les recomienda el mejor seguro, pero su papel puede ir más allá, como hacer el análisis de riesgo para la aseguradora, realizar las revisiones cíclicas de seguridad que contemple el seguro y, en caso de siniestros, hacer el análisis forense y la gestión de incidentes.

"El auge que estamos viviendo en la oferta y demanda de ciberseguros nos ha llevado a cerrar un acuerdo de colaboración con la correduría de seguros MDS, de la red internacional Brokerlink", explica Mitxelena, quien ha visto cómo evolucionaban los activos y riesgos a asegurar, desde el simple cumplimiento de la Ley de Protección de Datos hace unos años hasta la complejidad actual, que exige "un grado de auditoría de mayor nivel, con un análisis de riesgos de procesos, tecnologías y 'compliance' cuyos resultados harán variar las primas".

Los requisitos mínimos que debe cumplir una empresa para poder contratar una póliza de este tipo serían tener una política de seguridad y cumplir la normativa. Ahora bien, avisa Mitxelena: "Un ciberseguro no debe suplir la falta de seguridad de una empresa. Una aspirina no evita el origen de un problema grave de salud y un seguro no es la solución a mi falta de seguridad y ausencia de planes y modelos de protección de mis activos".

Sentirse seguras sólo porque han contratado un ciberseguro es una de las confusiones más frecuentes de las empresas. Otro grave problema, que implica tanto a empresas como aseguradoras, es que "no están bien definidas las reglas del juego", dice Mitxelena. "La sensación que todos tenemos es que este mundo está evolucionando de forma exponencial y se necesita que toda la cadena de valor esté formada y tenga criterios homogéneos".

Falta estandarizar los niveles de seguridad que deberían pedirse a tal infraestructura o empresa para calcular a qué póliza puede aspirar, así como certificar a las empresas que actuan de péritos. Por otra parte, las compañías que solicitan los ciberseguros tiene dificultad en definir qué necesitarían para garantizar su continuidad, o no está claro qué volumen de cobertura necesitan, ni tampoco las aseguradoras tienen límites bien marcados respecto a qué están dispuestas a asumir. Mitxelena ve "incógnitas sobre los niveles de confianza de las infraestructuras de los clientes y el alcance y volumen de las coberturas y primas de las pólizas. Queda aún bastante camino por recorrer".

De la misma opinión es Jeimy J. Cano (http://insecurityit.blogspot.com), co-fundador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática de la Universidad de los Andes (http://gecti.uniandes.edu.co), quien detecta bastantes puntos débiles en los ciberseguros: "Falta de madurez frente a los posibles incidentes que se pueden generar, lenta evolución frente a las coberturas y modelos de ciberseguridad de las empresas, confusión conceptual entre las prácticas de seguridad de la información y de ciberseguridad, baja sensibilización empresarial de nivel directivo sobre estos productos y poco conocimiento del mercado del cibercrimen y los ecosistemas digitales criminales".

Los altos directivos empiezan ahora, poco a poco, a pedir cuentas sobre estos aspectos, animados por cientos de artículos y cada vez más libros que tratan el tema. Además, dice Cano, "con la alta visibilidad internacional de los recientes ciberataques y sobreexposición en los medios de las vulnerabilidades y brechas de seguridad, que alimentan el imaginario de miedo, incertidumbre y dudas, la temática ya no es desconocida a nivel empresarial".

También poco a poco, las aseguradoras norteamericanas van aprendiendo dónde se han metido y haciéndose más selectivas. Ya no aseguran a cualquiera, están incluso rechazando a empresas. Han limitado las cantidades aseguradas a, como máximo, 100 millones de dólares, y sólo para determinadas empresas, después de pasar meticulosas revisiones. La pérdida media para una gran compañía en un ataque informático es de alrededor de los 6 millones de dólares, pero las grandes están perdiendo cientos.

Recientemente la empresa BitPay demandó a su compañía de seguros porque no aceptó pagarle un robo: en diciembre de 2014 alguien hackeó la cuenta del CEO de la empresa BTC Media, que estaba en conversaciones con BitPay. Haciéndose pasar por el jefe de BTC Media, el atacante mandó un mail al director financiero de BitPay, que creyó el engaño y abrió un documento adjunto. Al hacerlo, sus credenciales de correo cayeron en manos del hacker, quien usó su cuenta para mandar mails al CEO de BitPay. Este, creyendo a su vez estar hablando con el director finaciero, autorizó tres transacciones valoradas en 1,8 millones de dólares.

La compañía de seguros de BitPay, Massachusetts Bay Insurance Company, se negó a pagar porque, según sus abogados, "la póliza requiere que la pérdida de dinero sea resultado directo del uso de un ordenador para hacer la transferencia fraudulenta". Es decir: el seguro sólo cubría el robo si era consecuencia directa de un acceso no autorizado a un sistema informático. En este caso, el sistema asaltado por el hacker había sido el de BTC Media, no el de Bitpay.

Jeimy Cano le ve la lógica: "Parte de este tema son los ejercicios de concienciación y pruebas de ingeniería social, como fuente de la evidencia que la organización está trabajando para mejorar los comportamientos de los empleados. Si esto no lo encuentra el asegurador, quien lo tiene como parte de las prácticas que las empresas deben desarrollar, es muy poco probable que entre a indemnizar por este tema".

Por otra parte, los ciberseguros tampoco cubren los delitos realizados por directivos y socios de la compañía, los daños materiales a personas y equipos, la obsolescencia de los sistemas informáticos incluído el software, el uso de programas ilegales o en fase beta, el robo de propiedad intelectual y espionaje industrial por parte de administradores, directivos o ex empleados, el uso de aplicaciones informáticas sin licencia actualizada, cortes de suministro eléctrico, de telefonía o telecomunicaciones y líneas y cables deteriorados.

Un sector con gran futuro en este ya de por sí interesante campo son los seguros de las infraestructuras críticas, que ya apuntaba precozmente este verano la consultora Lloyd's, presentando un estudio que avisaba de las pérdidas billonarias que podría provocar un ataque en este sector (http://www.securityweek.com/cyber-attack-power-grid-could-top-1-trillion-damage-report).



Mercè Molist