Ciberseguros a la medida del ataque
Las compa?¨ªas esperan un incremento de la demanda de p¨®lizas tras la propagaci¨®n del virus WannaCry
Si existiese una escala de Richter para medir el impacto de los ataques inform¨¢ticos del mismo modo que se miden los terremotos, el ransomware WannaCry que sacudi¨® el ciberespacio mundial hace una semana habr¨ªa sido devastador en cuanto a extensi¨®n, pero tendr¨ªa una puntuaci¨®n modesta a juzgar por los efectos provocados. ¡°El impacto no ha sido terrible. Ha habido otros casos donde los delincuentes consiguieron retornos y da?os f¨ªsicos mayores. La diferencia es que este nos ha demostrado lo vulnerables que somos¡±, analiza Pablo Montoliu, CIIO del br¨®ker de seguros Aon en Espa?a.
Lo que s¨ª ha conseguido el gusano digital es extender el miedo, o al menos ha hecho reflexionar a muchas empresas sobre este tipo de amenazas, y las aseguradoras ya esperan un retorno inmediato en forma de aumento de la demanda de p¨®lizas de seguros. Aunque, como dec¨ªa el microrrelato m¨¢s famoso en lengua espa?ola, ¡°cuando despert¨®, el dinosaurio todav¨ªa estaba ah¨ª¡±. Los delitos asociados al uso de las tecnolog¨ªas de la informaci¨®n acechan a particulares y empresas hace mucho tiempo. Seg¨²n la memoria de 2016 de la unidad de Criminalidad Inform¨¢tica de la Fiscal¨ªa General del Estado, en Espa?a se incoaron 18.344 procedimientos por estafas a trav¨¦s de la Red (hubo 405 condenas), 272 procedimientos por descubrimiento de secretos empresariales, 295 por da?os inform¨¢ticos, 68 por delitos contra la propiedad intelectual y 144 por falsificaci¨®n a trav¨¦s de las TIC. Mapfre calcula que el a?o pasado se produjeron m¨¢s de 100.000 ciberataques, ¡°y el 70% de ellos los han sufrido peque?as y medianas empresas. Un delito de este tipo genera un gasto a las pymes entre los 20.000 y 50.000 euros¡±.
Las consecuencias no se hacen esperar. El Financial Times auguraba esta semana que 2017 va a ser ¡°el a?o de transformaci¨®n para el seguro cibern¨¦tico¡±, un producto que tiene poco que ver con las p¨®lizas de hogar o autom¨®vil, porque la gama de riesgos que debe de cubrir y el tama?o de los clientes es enormemente dispar. ¡°Por eso es tan importante asesorarse bien¡±, insiste Montoliu. Adem¨¢s, como recordaba esta semana en un art¨ªcu?lo F¨¦lix Arteaga, investigador principal de seguridad y defensa del Instituto Elcano, ¡°iniciativas como la directiva NIS europea sobre seguridad en las redes y sistemas de informaci¨®n obligar¨¢n a informar sobre los incidentes y facilitar¨¢n que los responsables y usuarios conozcan los riesgos que corren¡±. Esa directiva cambiar¨¢ muchas cosas. El Reglamento General de Protecci¨®n de Datos que comenzar¨¢ a aplicarse el 25 de mayo de 2018 puede conllevar multas de hasta 20 millones de euros o del 4% de la facturaci¨®n de una compa?¨ªa que no observe ciertas normas. Por ejemplo, las pr¨¢cticas para recopilar datos que ahora se encuadran en el llamado consentimiento t¨¢cito ¡°y que son aceptadas bajo la actual normativa, dejar¨¢n de serlo cuando el reglamento sea de aplicaci¨®n¡±, recuerdan en la Agencia Espa?ola de Protecci¨®n de Datos.
Xavier Ferr¨¦, socio responsable de ciberseguridad de EY en Barcelona, recuerda que en EE UU la cobertura de este tipo de siniestros est¨¢ mucho m¨¢s avanzada porque las compa?¨ªas ¡°tienen hist¨®ricos de datos para confeccionar las p¨®lizas¡±. Estas cubren una ampl¨ªsima gama de riesgos que se pueden englobar en dos grandes grupos.
Da?os propios. Los derivados de la p¨¦rdida de ingresos como resultado de una vulneraci¨®n de seguridad o de un ataque de denegaci¨®n de servicio. La cobertura para los datos alojados en la nube. Gastos de gesti¨®n y comunicaci¨®n de la crisis (a trav¨¦s de consultoras tecnol¨®gicas). Asistencia t¨¦cnica y gastos de investigaci¨®n del siniestro (informes forenses). Gastos de reparaci¨®n y restauraci¨®n de los datos borrados y de los equipos da?ados. Pago de rescates. Defensa jur¨ªdica y protecci¨®n contra multas o sanciones de organismos reguladores.
Da?os de terceros. Aqu¨ª entrar¨ªan las coberturas de responsabilidad civil por p¨¦rdida de datos de car¨¢cter personal. Tambi¨¦n los gastos de notificaci¨®n de vulneraciones de privacidad a los due?os de los registros o a terceros que est¨¦n interesados. Protecci¨®n frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamaci¨®n en medios corporativos o infecci¨®n por malware. Cobertura de delitos cibern¨¦ticos: estafas de phishing (suplantaci¨®n de identidad), hacking telef¨®nico, fraude electr¨®nico y extorsi¨®n cibern¨¦tica.
El Instituto Nacional de Ciberseguridad detalla adem¨¢s que existen otras muchas coberturas adicionales, como puede ser la asistencia t¨¦cnica cuando un ataque pone en riesgo los sistemas inform¨¢ticos, los gastos por errores tecnol¨®gicos, la adecuaci¨®n de los procesos de la empresa a la Ley de Protecci¨®n de Datos o la contrataci¨®n de servicios de atenci¨®n al cliente externos.
Claudia G¨®mez, directora de l¨ªneas financieras de Aon, habla de aspectos que los seguros no suelen medir, como ¡°los da?os que pueda sufrir la propiedad industrial o las violaciones de secretos comerciales¡±. En cuanto a los precios, el abanico es igual de variado. ¡°Depender¨¢ de la inversi¨®n en seguridad de la empresa, el tipo de negocio, su dependencia tecnol¨®gica, la complejidad de los riesgos¡±, valora G¨®mez. Tambi¨¦n de si se tiene o no franquicia. Grosso modo, para pymes podr¨ªan rondar los 1.000 euros por cada mill¨®n contratado como cobertura m¨¢xima que la aseguradora puede llegar a pagar, pero en funci¨®n de los riesgos podr¨ªan llegar a 25.000 o 35.000 euros por mill¨®n. Marco Cidoncha, socio director de da?os en Zurich, no se atreve a concretar un baremo de precios. ¡°Somos una de las pocas multinacionales con experiencia a nivel mundial en este tipo de productos, hemos aprendido mucho de los clientes. Nuestra forma de calcular los precios depende de muchas variables. Adem¨¢s, no es lo mismo asegurar a una compa?¨ªa con una actividad industrial que a una multinacional financiera, por ejemplo¡±.
Riesgo creciente
Un documento interno de Zurich augura que para 2020 el mundo pasar¨¢ a tener 50 billones de aparatos conectados (desde los 30 billones actuales), lo que multiplicar¨¢ las amenazas. ¡°Ahora se habla mucho de p¨¦rdida de datos, pero empiezan a preocupar tambi¨¦n ataques a las instalaciones industriales¡±, a?ade Cidoncha. Ya ha habido casos inquietantes, como el que sufri¨® en diciembre de 2014 una f¨¢brica de acero alemana que caus¨® da?os masivos e inutiliz¨® un horno. La conexi¨®n de las cosas, la econom¨ªa colaborativa y la dependencia tecnol¨®gica har¨¢n cada vez m¨¢s habitual la contrataci¨®n de estas coberturas. ¡°Se trata claramente de riesgos sin fronteras, es importante que estos riesgos sean tratados por compa?¨ªas globales¡±, cree Cidoncha.
Al final, tener una p¨®liza de este tipo es la ¨²ltima l¨ªnea de defensa para una empresa. Lo primero que debe hacer es considerar la seguridad inform¨¢tica como un ¨¢rea sensible dentro de la organizaci¨®n y dedicar los medios adecuados a su gesti¨®n. ¡°Las grandes empresas hace tiempo que se han concienciado, pero no tanto las pymes¡±, apostilla Ferr¨¦, de EY. Porque, como recordaba el economista Santiago Carb¨® al hilo del ataque, ¡°cuando los ciudadanos observan que grandes corporaciones son atacadas, es dif¨ªcil convencerlos de que ellos est¨¢n a salvo. Las crisis de confianza son el germen de grandes crisis econ¨®micas¡±. Evitar ataques es imposible, pero minimizar su poder destructivo no.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.