WannaCry, el detonador de un negocio casi en pañales: los ciberseguros

La posibilidad de sufrir un incendio en una empresa no supera el 1 %. En cambio, una empresa española se enfrenta a una media anual de 100 ataques informáticos, de mayor o menor virulencia. Mientras, resulta complicado encontrar compañías capaces de abrir al público sin contratar un seguro de incendios. Eso sí, son raras las que han subscrito un ciberseguro para protegerse de los ataques de hackers, virus, etc.

A pesar de que este tipo de cobertura de riesgos informáticos tiene registros desde hace 20 años, su volumen actual es apenas una gota en el océano del voluminoso mercado de seguros mundial. Según los datos que maneja el sector, estamos ante un mercado que apenas mueve 3.000 millones anuales en todo el mundo, y el 90% del negocio procede de EEUU. Lo que es casi es como decir que fuera del país de las barras y estrellas apenas existe. Pero esta situación parece tener los días contados.

El Financial Times ha identificado el 2017 como el año la explosión de los ciberseguros. Los motivos, como veremos, son variados, pero todo apunta a que WannaCry, el famoso gusano informático que paralizó más de 200.000 empresas en 150 países hace una semana, ha servido como catalalizador.

Lo cierto es que WannaCry no tiene nada de particular desde el punto de vista técnico. Es un virus del tipo ransomware que se cuela en un ordenador, lo bloquea, se extiende por la red a la que está conectado y solicita a sus usuarios el pago un rescate para recuperar el acceso a la información. Miles de empresas sufren ataques similares a este desde hace años. Solo en España, el Instituto Nacional de Ciberseguridad (Incibe), detectó 115.000 ataques informáticos, un 130% más que el año anterior. Esta estadística sitúa a España como tercer país más ciberatacado del mundo, sólo por detrás de EEUU y Reino Unido.

Y esto es solo la punta de iceberg de lo que puede estar pasando. Ya que, en contra de lo ocurrido con WannaCry, la publicidad y la información no van ligadas a este tipo de incidentes. Las empresas son muy reticentes a recocer que han sido víctimas de algún tipo de delito informático. Ya sea robo de datos de clientes, pérdida de documentos o secuestros por parte de algún ransomware. En este caso, prefieren pagar los entre 300 y 1.200 euros que los ciberdelincuentes demandan como rescate de los datos antes de sufrir el escarnio público que implica reconocer que, como en el caso del pasado viernes, la puerta de entrada del virus se debía a una deficiente actualización de los softwares manejados.

De hecho, lo que puede convertir a WannaCry en el detonante de esa posible fiebre por los ciberseguros es que el virus fue masivo (afectó a 200.000 ordenadores en 150 países) y, sobre todo, fue mediático. Lo suficiente como para que muchos empresarios pensaran “si le ha pasado a Telefónica, mi empresa también puede estar en riesgo”,

Para los que todavía tengan dudas, será el imperativo legal lo que, con mucha probabilidad, les hará cambiar de opinión. El hecho de que el 90% de las actuales coberturas de ciberseguros procedan de EEUU, no es casual. Allí, la ley obliga a las empresas a asumir responsabilidades por la custodia de los datos privados de sus clientes e informar de los posibles ataques informáticos que puedan sufrir.

Obligaciones similares comenzarán a implantarse en Europa a partir del 25 de mayo 2018, fecha en la que está previsto que comience a aplicarse el Reglamento General de Protección de Datos en territorio de la Unión Europea. Entre otras cosas, esa normativa impone la posibilidad de multar con hasta 20 millones de euros o más del 4% de la facturación a las compañías que no cumplan con los requisitos de seguridad cibernética exigidos.

La presión legal sigue dando vueltas de tuerca también en EEUU. Por ejemplo, las autoridades de Nueva York competentes en este tema están presionando para que todos los organismos financieros informen de cualquier incidente al regulador de los mercados. Ni que decir tiene el impacto que esto puede provocar en las cotizaciones bursátiles de los afectados.

En base a estas proyecciones, la aseguradora Allianz estima que para 2025, el volumen anual del ciberseguro puede crecer hasta los 20.000 millones de dólares. Pero esa evolución no parce que vaya a ser muy fácil.

Según reconoce un estudio elaborado por La Asociación de Ginebra, un think tank participado por las principales compañías del sector asegurador, el mercado del ciberseguro es pequeño y con carencias importantes. En EEUU apenas 50 compañías lo ofrecen. En España, según informaciones publicadas en Hoja de Router, apenas tres o cuatro compañías ofrecen pólizas para Internet, o para pérdidas de datos… etc.

Escasos avances, pese a los 20 años de historia

Las primeras pólizas relacionadas con la seguridad cibernética aparecieron en EEUU a finales de la década de los noventa del siglo pasado. Los riesgos que se cubrieron en aquel momento eran variados, adaptados a cada asegurado. Desde el que contrataba pólizas para cubrirse de cualquier perdida derivada de sustracción, extravío de ordenadores personales, hasta los cubrían posibles errores derivados de una mala gestión interna del tratamiento de datos. En realidad, ni aseguradoras ni clientes sabían muy bien qué era aquello que estaban firmando en cuánto valorar los riesgos y hasta qué punto las primas cubrían las posibles pérdidas ocasionadas. Lo cierto es que la situación no ha evolucionado mucho en este aspecto.

El cambio de milenio aceleró las conexiones a Internet en todo el planeta. Y junto a ellas también crecieron los ciberdelincuentes. Las extorsiones, el robo de datos se fueron generalizando. Comenzaron los primeros experimentos con monedas virtuales.

Pero fue a partir de 2010 cuando todos estos riesgos traspasaron la frontera de lo que podrían considerarse empresas tecnológicas o vinculadas a los últimos avances de Internet y se colaron en, lo que los estadounidenses denominan Main Street. Es decir, vida más cotidiana de los individuos. En los últimos años, tal y como reflejan las estadísticas antes mencionadas, el incremento de delitos cibernéticos está siendo exponencial. Entre los casos más sonados están el ciberataque sufrido por en banco JPMorgan en 2014, según el cual los piratas informáticos tuvieron acceso a datos de 76 millones de hogres. Home Depot, Target,Ebay son algunos de los pocos casos que han salido a la luz. En realidad, son las pequeñas empresas, tal vez, las más afectadas. Entre los casos más famosos están el de web de citas Ashley Madison, que en 2016 sufrió un robo masivo de los datos de sus clientes.

La variedad de ataques, las circunstancias en que se producen, el impacto que causan es tan diverso, que el sector asegurador todavía no ha sido capaz de diseñar productos estándar como puedan ser las pólizas de incendios, vehículos, e incluso las de hogar.

Los ciberseguros ni siquiera cuentan con una terminología común

La Asociación de Ginebra, reconoce en su estudio que este es uno de los principales hándicaps que tiene por delante el sector. Superarlo no es fácil.

El primer escollo al que se enfrenta es la falta de datos creíbles. Como hemos comentado anteriormente, la reticencia de muchas compañías a informar sobre sus ataques hace que estemos ante un mercado cuyo volumen real de riesgo es una gran incógnita. Nada que ver con lo que ocurre con otro tipo de seguros como son los coches, que nada más tener un incidente se da parte a las compañías aseguradora.

Ante esa escasez de datos, también ha impedido que durante estos años se conformen bases de datos con suficiente recorrido histórico. Esa herramienta que los actuarios habitualmente manejan para calcular riesgos y cuantía de primas.

Como no podía ser otra forma en un mundo en continuo cambio como es te, otro gran problema al que se tiene que enfrentar el ciberseguro es la variedad de productos y cobertura que demandan los usuarios o las que tratan de ofrecer las compañías. Según la Asociación de Ginebra esta falta de estandarización de pólizas encarece necesariamente los ciberseguros que en muchos casos tienden a la personalización en función de las necesidades de cada compañía y el nivel de riesgo al que puede estar expuesta.

Esta dificultad para definir un modelo de contrato más o menos estandarizado deriva en futuras tensiones. Aseguradora y clientes no siempre tienen claro el alcance de los que están asegurando. Y lo que es peor, cada uno de ellos considera que está hablando de cosas diferentes. Inevitablemente, esto deriva en una litigiosidad jurídica en aumento, como se está viendo en el mercado estadounidense.

Para avanzar en todos estos problemas, la Asociación de Ginebra propone “que la industria del seguro en su conjunto trabaje de manera conjunta en la puesta en común de todos los datos que dispone cada compañía para definir de forma más eficiente el escenario de riesgos”.

Además, insisten en este Think Tank es necesario trabajar en la creación de la unificación de conceptos para la creación de ciberseguros, desde un vocabulario común hasta la definición de un código de buenas prácticas. Para empezar, dicen desde Suiza, “debería comenzarse con la realización de un esquema común de clasificación de riesgos”. Porque el ciberriesgo ya no es solo una cuestión de informáticos, entidades financieras o empresas de bases de datos. El resto de la industria del seguro se va a ver afectada, aunque ahora pocos quieran verlo. Y es que, en pleno 2017 todavía nadie es capaz de valorar con exactitud el impacto que puede tener la creciente industria del Internet de las Cosas. ¿Cuál debe ser la prima de un seguro que cubra una vivienda con sus principales servicios conectados a la red? ¿Y el de un coche susceptible de ser hackeado a través de su red wifi?

Imagen | Flickr CC BY-SA 2.0 |

También te puede gustar

Portada de El Blog Salmón

Ver todos los comentarios en https://www.elblogsalmon.com

VER 4 Comentarios