Monitor del Seguro

Los ci­ber­se­guros cre­cerán un 200% entre 2016 y 2020

El seguro contra los hackers en alza en las empresas

El ci­ber­crimen mueve ya más di­nero que el nar­co­trá­fi­co...y crece

Servicios bancarios
Servicios bancarios contra el fraude.

La fi­lial ban­caria de la ca­dena bri­tá­nica de su­per­mer­cados Tesco, Tesco Bank, tuvo que sus­pender el 7 de no­viembre todas las tran­sac­ciones on­line tras des­cu­brir cómo el di­nero de 20.000 cuentas co­rrientes se es­fumó en el mayor ci­be­ra­taque ocu­rrido en Reino Unido. Varios bancos rusos fueron víc­ti­mas, a prin­ci­pios de no­viem­bre, de un ci­be­ra­taque lan­zado desde miles de or­de­na­dores pi­ra­teados en más de 30 paí­ses....

Más recientemente, el 22 de noviembre, se conoció que un grupo de ciberdelincuentes atacó de forma remota varios cajeros automáticos en más de una docena de países europeos, entre ellos España; las máquinas empezaron a lanzar billetes sin control.

Ese mismo día, Sivasa, la filial de tasaciones hipotecarias de Santander, denunció a la policía y a la Agencia de Protección de Datos el acceso ilícito a sus sistemas informáticos. El 24 de noviembre, el Instituto Nacional de Ciberseguridad (Incibe) alertó de la suplantación de identidad (phishing) propagada a través de correos electrónicos simulando proceder de Abanca con el objetivo de obtener los datos de acceso a la banca online y las tarjetas de crédito.

Esta retahíla de datos se han recopilado en menos de un mes de informaciones de la prensa española, y solo de las páginas financieras, lo que da una idea de lo extendido del cibercrimen que, según algunas estimaciones, mueve ya más dinero que el narcotráfico.

En este nuevo mundo de ciberdelincuentes, cibervándalos, hackers, crackers, spywares, malwares, gusanos, troyanos, exploits… el sector asegurador tiene mucho que decir. Su relación con el mundo ciber es muy intensa. Como cualquier empresa, y más una del sector financiero, las aseguradoras están expuestas a estos ataques. Además, también como otras compañías, utilizan las herramientas ciber para acorralar a los defraudadores. Y, por último, algo que solo hacen ellas: venden pólizas que protegen frente a estos nuevos riesgos; que son muchos, y costosos. Según un informe de Net Diligence, el coste medio por siniestro ciber fue en 2015 de 673.767 euros. Esta cifra se ha ido reduciendo desde el pico máximo que se alcanzó en 2012, con nada menos que 3,6 millones de euros.

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”. La cita es de Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos; y la utilizó recientemente Ángel Vallejo, responsable de Relaciones Institucionales de Thiber, en una jornada organizada por ICEA, para ejemplificar los peligros a los que está expuesto actualmente la economía global por el uso (mal uso) de las Tecnologías de las Información y la Comunicación (TIC).

El desarrollo de las TIC viene de lejos, pero el año 2000 marcó un antes y un después en la toma de conciencia de los nuevos riesgos. El mundo se iba a apagar; una amenaza que sirvió para poner sobre la mesa de análisis la situación de dependencia de la industria y la economía de la tecnología de la comunicación e información. Ese incremento de la toma de conciencia ha provocado que las compañías que utilizan las TIC como herramienta principal para desarrollar su negocio, ante la amenaza de pérdidas de datos, acudan cada vez más a la externalización de riesgos, solicitando al mercado coberturas limitadas y sobre todo centradas en la responsabilidad civil asociada a los gastos de reclamación y a la responsabilidad ante terceros derivada de un fallo de seguridad de los sistemas informáticos. Son las ciberpólizas.

Pero Ángel Vallejo ha detectado cierta contradicción: si a estas alturas está más que claro que el mal uso de las TIC está presente en cualquier negocio y con un potencial de hacer daño muy importante, ¿cómo es que en 2016 no tienen todos los actores de la economía ciberpólizas?

Según explica, hay elementos disuasorios que están impidiendo la generalización de estos seguros. Entre ellos, la falta de un histórico del impacto de los incidentes y del valor del ataque cubierto por las aseguradoras. Esta información es vital para el actuario, para ponerle precio al seguro, lo que da idea del problema.

Miguel Ángel Vázquez, coordinador de prevención y lucha contra el fraude de Unespa, recuerda cómo la industria aseguradora española resolvió un problema similar generado por el riesgo medioambiental: con la creación de un ‘pool’: “Pero cada vez que el sector asegurador utiliza este mecanismo nos encontramos con la barrera de los temas de competencia y se la acusa de ‘carterización’”.

El problema viene porque si ante un riesgo de este tipo las aseguradoras deciden mutualizar los datos en una primera fase del desarrollo de estos productos, el resultado será que las primas entre las diferentes compañías estarán en un rango similar, por lo que está estrategia podría ser calificada por el regulador como cártel. Según Ángel Vallejo, la única manera de que se supere este obstáculo es que los reguladores afronten “la situación del ciberespacio como una cuestión sistémica que tiene que ver con la seguridad del mercado, el riesgo es palpable”.

Hay otra dificultad para el desarrollo masivo de estos seguros: la reticencia de las propias empresas. Muchas temen que el análisis de la situación de los sistemas TIC de la compañía por parte de la aseguradora como paso previo a la contratación de la póliza sea demasiado intrusivo. En este punto entran en juego el cuestionario del seguro y el conocido como SAR (Situacional Awareness Report), que es un análisis de la situación en la que está la compañía antes de asegurarse.

Aunque según reconoce Ángel Vallejo, la frontera entre ambos documentos está difusa, hay diferencias importantes. El SAR es un trabajo que debería hacer la empresa antes de contratar un seguro para saber el estado de sus sistemas, su exposición, los daños que puede causar un ciberriesgo… Pero esta información, que efectivamente podría ser sensible, no se tiene que entregar a la aseguradora, sino que es la que debe servir a la empresa para elaborar el cuestionario del seguro, el cual sí ha de contestar y entregar a la compañía. Y hay que esmerarse. Si la empresa no responde a alguna pregunta o lo hace de forma incompleta, a la hora de enfrentarse a un siniestro puede haber problemas; e incluso, si se ocultan determinadas circunstancias la aseguradora podría rescindir el contrato.

Pese a estos obstáculos, y algún otro, como la propia naturaleza etérea del riesgo que a muchos les hace pensar que nunca serán víctimas de un ciberataque (es algo que solo le ocurre a los otros), el desarrollo de los ciberseguros no tiene vuelta atrás. De hecho, es uno de los productos de más rápido crecimiento en el mercado asegurador mundial. Según un reciente informe de PwC, alcanzarán los 7.500 millones de dólares en ventas anuales en 2020 frente a los 2.500 millones de 2016. El avance en cuatro años será de un 200%.

Artículos relacionados