«Las compañías esperan un incremento de la demanda de pólizas tras la propagación del virus WannaCry

Si existiese una escala de Richter para medir el impacto de los ataques informáticos del mismo modo que se miden los terremotos, el ransomware WannaCry que sacudió el ciberespacio mundial hace una semana habría sido devastador en cuanto a extensión, pero tendría una puntuación modesta a juzgar por los efectos provocados. “El impacto no ha sido terrible. Ha habido otros casos donde los delincuentes consiguieron retornos y daños físicos mayores. La diferencia es que este nos ha demostrado lo vulnerables que somos”, analiza Pablo Montoliu, CIIO del bróker de seguros Aon en España.

Lo que sí ha conseguido el gusano digital es extender el miedo, o al menos ha hecho reflexionar a muchas empresas sobre este tipo de amenazas, y las aseguradoras ya esperan un retorno inmediato en forma de aumento de la demanda de pólizas de seguros (…). Los delitos asociados al uso de las tecnologías de la información acechan a particulares y empresas hace mucho tiempo. Según la memoria de 2016 de la unidad de Criminalidad Informática de la Fiscalía General del Estado, en España se incoaron 18.344 procedimientos por estafas a través de la Red (hubo 405 condenas), 272 procedimientos por descubrimiento de secretos empresariales, 295 por daños informáticos, 68 por delitos contra la propiedad intelectual y 144 por falsificación a través de las TIC. Mapfre calcula que el año pasado se produjeron más de 100.000 ciberataques, “y el 70% de ellos los han sufrido pequeñas y medianas empresas. Un delito de este tipo genera un gasto a las pymes entre los 20.000 y 50.000 euros”.

El Financial Times auguraba esta semana (19 de mayo) que 2017 va a ser “el año de transformación para el seguro cibernético”, un producto que tiene poco que ver con las pólizas de hogar o automóvil, porque la gama de riesgos que debe de cubrir y el tamaño de los clientes es enormemente dispar. “Por eso es tan importante asesorarse bien”, insiste Montoliu. Además, como recordaba esta semana en un artícu­lo Félix Arteaga, investigador principal de seguridad y defensa del Instituto Elcano, “iniciativas como la directiva NIS europea sobre seguridad en las redes y sistemas de información obligarán a informar sobre los incidentes y facilitarán que los responsables y usuarios conozcan los riesgos que corren”. Esa directiva cambiará muchas cosas. El Reglamento General de Protección de Datos que comenzará a aplicarse el 25 de mayo de 2018 puede conllevar multas de hasta 20 millones de euros o del 4% de la facturación de una compañía que no observe ciertas normas. Por ejemplo, las prácticas para recopilar datos que ahora se encuadran en el llamado consentimiento tácito “y que son aceptadas bajo la actual normativa, dejarán de serlo cuando el reglamento sea de aplicación”, recuerdan en la Agencia Española de Protección de Datos.

 

Xavier Ferré, socio responsable de ciberseguridad de EY en Barcelona, recuerda que en EE UU la cobertura de este tipo de siniestros está mucho más avanzada porque las compañías “tienen históricos de datos para confeccionar las pólizas”. Estas cubren una amplísima gama de riesgos que se pueden englobar en dos grandes grupos:

  1. Daños propios. Derivados de la pérdida de ingresos como resultado de una vulneración de seguridad o de un ataque de denegación de servicio. La cobertura para los datos alojados en la nube. Gastos de gestión y comunicación de la crisis (a través de consultoras tecnológicas). Asistencia técnica y gastos de investigación del siniestro (informes forenses). Gastos de reparación y restauración de los datos borrados y de los equipos dañados. Pago de rescates. Defensa jurídica y protección contra multas o sanciones de organismos reguladores.
  2. Daños de terceros. Aquí entrarían las coberturas de responsabilidad civil por pérdida de datos de carácter personal. También los gastos de notificación de vulneraciones de privacidad a los dueños de los registros o a terceros que estén interesados. Protección frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamación en medios corporativos o infección por malware. Cobertura de delitos cibernéticos: estafas de phishing (suplantación de identidad), hacking telefónico, fraude electrónico y extorsión cibernética.

El Instituto Nacional de Ciberseguridad detalla además que existen otras muchas coberturas adicionales, como puede ser la asistencia técnica cuando un ataque pone en riesgo los sistemas informáticos, los gastos por errores tecnológicos, la adecuación de los procesos de la empresa a la Ley de Protección de Datos o la contratación de servicios de atención al cliente externos.

Claudia Gómez, directora de líneas financieras de Aon, habla de aspectos que los seguros no suelen medir, como “los daños que pueda sufrir la propiedad industrial o las violaciones de secretos comerciales”. En cuanto a los precios, el abanico es igual de variado. “Dependerá de la inversión en seguridad de la empresa, el tipo de negocio, su dependencia tecnológica, la complejidad de los riesgos”, valora Gómez. También de si se tiene o no franquicia. Grosso modo, para pymes podrían rondar los 1.000 euros por cada millón contratado como cobertura máxima que la aseguradora puede llegar a pagar, pero en función de los riesgos podrían llegar a 25.000 o 35.000 euros por millón. Marco Cidoncha, socio director de daños en Zurich, no se atreve a concretar un baremo de precios. “Somos una de las pocas multinacionales con experiencia a nivel mundial en este tipo de productos, hemos aprendido mucho de los clientes. Nuestra forma de calcular los precios depende de muchas variables. Además, no es lo mismo asegurar a una compañía con una actividad industrial que a una multinacional financiera, por ejemplo”.

Riesgo creciente

Un documento interno de Zurich augura que para 2020 el mundo pasará a tener 50 billones de aparatos conectados (desde los 30 billones actuales), lo que multiplicará las amenazas. “Ahora se habla mucho de pérdida de datos, pero empiezan a preocupar también ataques a las instalaciones industriales”, añade Cidoncha. Ya ha habido casos inquietantes, como el que sufrió en diciembre de 2014 una fábrica de acero alemana que causó daños masivos e inutilizó un horno. La conexión de las cosas, la economía colaborativa y la dependencia tecnológica harán cada vez más habitual la contratación de estas coberturas. “Se trata claramente de riesgos sin fronteras, es importante que estos riesgos sean tratados por compañías globales”, cree Cidoncha.

Al final, tener una póliza de este tipo es la última línea de defensa para una empresa. Lo primero que debe hacer es considerar la seguridad informática como un área sensible dentro de la organización y dedicar los medios adecuados a su gestión. “Las grandes empresas hace tiempo que se han concienciado, pero no tanto las pymes”, apostilla Ferré, de EY. Porque, como recordaba el economista Santiago Carbó al hilo del ataque, “cuando los ciudadanos observan que grandes corporaciones son atacadas, es difícil convencerlos de que ellos están a salvo. Las crisis de confianza son el germen de grandes crisis económicas”. Evitar ataques es imposible, pero minimizar su poder destructivo no

Fuente: El País, 19/05/2017 (enlace artículo completo). Por: María Fernández.