Monitor del Seguro

Los ciberseguros crecerán un 200% entre 2016 y 2020

El seguro contra los hackers en alza en las empresas

El cibercrimen mueve ya más dinero que el narcotráfico...y crece

Servicios bancarios
Servicios bancarios contra el fraude.

La filial bancaria de la cadena británica de supermercados Tesco, Tesco Bank, tuvo que suspender el 7 de noviembre todas las transacciones online tras descubrir cómo el dinero de 20.000 cuentas corrientes se esfumó en el mayor ciberataque ocurrido en Reino Unido. Varios bancos rusos fueron víctimas, a principios de noviembre, de un ciberataque lanzado desde miles de ordenadores pirateados en más de 30 países....

Más re­cien­te­mente, el 22 de no­viem­bre, se co­noció que un grupo de ci­ber­de­lin­cuentes atacó de forma re­mota va­rios ca­jeros au­to­má­ticos en más de una do­cena de países eu­ro­peos, entre ellos España; las má­quinas em­pe­zaron a lanzar bi­lletes sin con­trol.

Ese mismo día, Sivasa, la fi­lial de ta­sa­ciones hi­po­te­ca­rias de Santander, de­nunció a la po­licía y a la Agencia de Protección de Datos el ac­ceso ilí­cito a sus sis­temas in­for­má­ti­cos. El 24 de no­viem­bre, el Instituto Nacional de Ciberseguridad (Incibe) alertó de la su­plan­ta­ción de iden­tidad (phishing) pro­pa­gada a través de co­rreos elec­tró­nicos si­mu­lando pro­ceder de Abanca con el ob­je­tivo de ob­tener los datos de ac­ceso a la banca on­line y las tar­jetas de cré­dito.

Esta re­tahíla de datos se han re­co­pi­lado en menos de un mes de in­for­ma­ciones de la prensa es­pañola, y solo de las pá­ginas fi­nan­cie­ras, lo que da una idea de lo ex­ten­dido del ci­ber­crimen que, según al­gunas es­ti­ma­cio­nes, mueve ya más di­nero que el nar­co­trá­fico.

En este nuevo mundo de ci­ber­de­lin­cuen­tes, ci­ber­ván­da­los, hac­kers, crac­kers, spy­wa­res, malwa­res, gu­sa­nos, tro­ya­nos, ex­ploits… el sector ase­gu­rador tiene mucho que de­cir. Su re­la­ción con el mundo ciber es muy in­tensa. Como cual­quier em­presa, y más una del sector fi­nan­ciero, las ase­gu­ra­doras están ex­puestas a estos ata­ques. Además, tam­bién como otras com­pañías, uti­lizan las he­rra­mientas ciber para aco­rralar a los de­frau­da­do­res. Y, por úl­timo, algo que solo hacen ellas: venden pó­lizas que pro­tegen frente a estos nuevos ries­gos; que son mu­chos, y cos­to­sos. Según un in­forme de Net Diligence, el coste medio por si­niestro ciber fue en 2015 de 673.767 eu­ros. Esta cifra se ha ido re­du­ciendo desde el pico má­ximo que se al­canzó en 2012, con nada menos que 3,6 mi­llones de eu­ros.

“El único sis­tema se­guro es aquel que está apa­gado y des­co­nec­tado, en­te­rrado en un re­fugio de ce­mento, ro­deado por gas ve­noso y cus­to­diado por guar­dianes bien pa­gados y muy bien ar­ma­dos. Aún así, yo no apos­taría mi vida por él”. La cita es de Eugene Spafford, pro­fesor de cien­cias in­for­má­ticas en la Universidad Purdue (Indiana, EEUU) y ex­perto en se­gu­ridad de da­tos; y la uti­lizó re­cien­te­mente Ángel Vallejo, res­pon­sable de Relaciones Institucionales de Thiber, en una jor­nada or­ga­ni­zada por ICEA, para ejem­pli­ficar los pe­li­gros a los que está ex­puesto ac­tual­mente la eco­nomía global por el uso (mal uso) de las Tecnologías de las Información y la Comunicación (TIC).

El desa­rrollo de las TIC viene de le­jos, pero el año 2000 marcó un antes y un des­pués en la toma de con­ciencia de los nuevos ries­gos. El mundo se iba a apa­gar; una ame­naza que sirvió para poner sobre la mesa de aná­lisis la si­tua­ción de de­pen­dencia de la in­dus­tria y la eco­nomía de la tec­no­logía de la co­mu­ni­ca­ción e in­for­ma­ción. Ese in­cre­mento de la toma de con­ciencia ha pro­vo­cado que las com­pañías que uti­lizan las TIC como he­rra­mienta prin­cipal para desa­rro­llar su ne­go­cio, ante la ame­naza de pér­didas de da­tos, acudan cada vez más a la ex­ter­na­li­za­ción de ries­gos, so­li­ci­tando al mer­cado co­ber­turas li­mi­tadas y sobre todo cen­tradas en la res­pon­sa­bi­lidad civil aso­ciada a los gastos de re­cla­ma­ción y a la res­pon­sa­bi­lidad ante ter­ceros de­ri­vada de un fallo de se­gu­ridad de los sis­temas in­for­má­ti­cos. Son las ci­ber­pó­li­zas.

Pero Ángel Vallejo ha de­tec­tado cierta con­tra­dic­ción: si a estas al­turas está más que claro que el mal uso de las TIC está pre­sente en cual­quier ne­gocio y con un po­ten­cial de hacer daño muy im­por­tante, ¿cómo es que en 2016 no tienen todos los ac­tores de la eco­nomía ci­ber­pó­li­zas?

Según ex­plica, hay ele­mentos di­sua­so­rios que están im­pi­diendo la ge­ne­ra­li­za­ción de estos se­gu­ros. Entre ellos, la falta de un his­tó­rico del im­pacto de los in­ci­dentes y del valor del ataque cu­bierto por las ase­gu­ra­do­ras. Esta in­for­ma­ción es vital para el ac­tua­rio, para po­nerle precio al se­guro, lo que da idea del pro­blema.

Miguel Ángel Vázquez, coor­di­nador de pre­ven­ción y lucha contra el fraude de Unespa, re­cuerda cómo la in­dus­tria ase­gu­ra­dora es­pañola re­solvió un pro­blema si­milar ge­ne­rado por el riesgo me­dioam­bien­tal: con la crea­ción de un ‘pool’: “Pero cada vez que el sector ase­gu­rador uti­liza este me­ca­nismo nos en­con­tramos con la ba­rrera de los temas de com­pe­tencia y se la acusa de ‘carterización’”.

El pro­blema viene porque si ante un riesgo de este tipo las ase­gu­ra­doras de­ciden mu­tua­lizar los datos en una pri­mera fase del desa­rrollo de estos pro­duc­tos, el re­sul­tado será que las primas entre las di­fe­rentes com­pañías es­tarán en un rango si­mi­lar, por lo que está es­tra­tegia po­dría ser ca­li­fi­cada por el re­gu­lador como cár­tel. Según Ángel Vallejo, la única ma­nera de que se su­pere este obs­táculo es que los re­gu­la­dores afronten “la si­tua­ción del ci­be­res­pacio como una cues­tión sis­té­mica que tiene que ver con la se­gu­ridad del mer­cado, el riesgo es pal­pa­ble”.

Hay otra di­fi­cultad para el desa­rrollo ma­sivo de estos se­gu­ros: la re­ti­cencia de las pro­pias em­pre­sas. Muchas temen que el aná­lisis de la si­tua­ción de los sis­temas TIC de la com­pañía por parte de la ase­gu­ra­dora como paso previo a la con­tra­ta­ción de la pó­liza sea de­ma­siado in­tru­sivo. En este punto en­tran en juego el cues­tio­nario del se­guro y el co­no­cido como SAR (Situacional Awareness Report), que es un aná­lisis de la si­tua­ción en la que está la com­pañía antes de ase­gu­rarse.

Aunque según re­co­noce Ángel Vallejo, la fron­tera entre ambos do­cu­mentos está di­fusa, hay di­fe­ren­cias im­por­tan­tes. El SAR es un tra­bajo que de­bería hacer la em­presa antes de con­tratar un se­guro para saber el es­tado de sus sis­te­mas, su ex­po­si­ción, los daños que puede causar un ci­be­rriesgo… Pero esta in­for­ma­ción, que efec­ti­va­mente po­dría ser sen­si­ble, no se tiene que en­tregar a la ase­gu­ra­dora, sino que es la que debe servir a la em­presa para ela­borar el cues­tio­nario del se­guro, el cual sí ha de con­testar y en­tregar a la com­pañía. Y hay que es­me­rarse. Si la em­presa no res­ponde a al­guna pre­gunta o lo hace de forma in­com­pleta, a la hora de en­fren­tarse a un si­niestro puede haber pro­ble­mas; e in­cluso, si se ocultan de­ter­mi­nadas cir­cuns­tan­cias la ase­gu­ra­dora po­dría res­cindir el con­trato.

Pese a estos obs­tácu­los, y algún otro, como la propia na­tu­ra­leza etérea del riesgo que a mu­chos les hace pensar que nunca serán víc­timas de un ci­be­ra­taque (es algo que solo le ocurre a los otros), el desa­rrollo de los ci­ber­se­guros no tiene vuelta atrás. De he­cho, es uno de los pro­ductos de más rá­pido cre­ci­miento en el mer­cado ase­gu­rador mun­dial. Según un re­ciente in­forme de PwC, al­can­zarán los 7.500 mi­llones de dó­lares en ventas anuales en 2020 frente a los 2.500 mi­llones de 2016. El avance en cuatro años será de un 200%.

Artículos relacionados