El virus WannaCry infectó este año los sistemas en 150 países. En la Argentina se reportaron 2.400 terminales afectadas. El desafío del mercado local es avanzar en el desarrollo de pólizas. Los expertos sostienen que la demanda se podría generar a partir de una legislación que obligue a reportar ciberataques.
Ya lo dijo Robert Mueller, director del FBI de los Estados Unidos, hace cinco años: “Existen sólo dos tipos de empresas: las que han sufrido un ataque informático y las que lo sufrirán en algún momento”. El cibercrimen llegó para quedarse y de nosotros depende tomar conciencia y desarrollar los mecanismos de defensa ante esta amenaza que, sin duda alguna, seguirá creciendo. Y es que son muchas las puertas que proteger: en el mundo hay unos 20 mil millones de dispositivos conectados a internet. Según el informe sobre ciberataques “Closing the gap”, elaborado por el mercado asegurador inglés Lloyd’s, “la naturaleza de esta amenaza está evolucionando tan rápido que cada vez es más difícil para las organizaciones combatirla”.
El pasado 12 de mayo se encendían todas las alertas mundiales de seguridad: un virus de tipo ransomware -al que se bautizó como WannaCry- sacudía el ciberespacio mundial infectando sistemas e infraestructuras informáticas de más de 150 países en todo el mundo. Más de 200 mil dispositivos se vieron afectados.
Este tipo de virus se extiende a través del correo electrónico aprovechando una falla en el sistema operativo Windows, es decir, que podría haberse evitado con algo tan simple como un parche de seguridad. Pero nadie lo tenía previsto y el principal papel del virus terminó siendo el de poner de manifiesto la vulnerabilidad de la mayoría de las empresas ante este tipo de ataques. WannaCry no robaba los datos de los sistemas, pero los encriptaba y exigía un rescate para desencriptarlos que, en este caso, era de 300 biticoins, una moneda digital que impide rastrear el movimiento. Si el afectado no paga en un tiempo límite, los datos desaparecen. Empresas como la española Telefónica, la norteamericana FedEx, el servicio público de salud del Reino Unido y hasta la red ferroviaria alemana y varias universidades chinas se vieron afectadas, entre muchas otras. En la Argentina, se reportaron 2.400 terminales afectadas. No importa en que latitud nos encontremos: la amenaza es global.
Poco más de un mes después, el 18 de junio, otro potente ciberataque volvió a poner en jaque a empresas, bancos e instituciones alrededor del globo: era el virus Petya, aún más sofisticado y peligroso que el anterior. Aunque fueron los más sonados -y recientes- estos ataques distan mucho de ser los primeros: en 2000, el gusano ILOVIU golpeó a millones de ordenadores en todo el mundo; en 2014 fue la multinacional Sony quien perdió el control de sus equipos en manos de ciberdelincuentes. Según el informe del Lloyd’s, los delitos cibernéticos le cuestan al mundo alrededor de 400 billones de dólares al año.
Ante esta perspectiva de inseguridad surge una inevitable pregunta: ¿Estarán las empresas preparadas cuando llegue el siguiente ataque? ¿O seguirán brillando por su vulnerabilidad y pensando que estas cosas sólo les pasan a otros? Según Christian Rada, gerente de Instituciones Financieras del broker Marsh S.A. en la Argentina, “las empresas de nuestro país están muy preocupadas por los ataques cibernéticos ocurridos en el mundo y buscan invertir en sus Departamentos de IT”.
Esto puede ser un primer paso, pero desde el Lloyd’s advierten que “las empresas deberían tratar el cyber como un riesgo organizacional, no sólo como uno de IT”. A este respecto, Martín Elizalde, experto en ciberseguridad y socio fundador de Foresenics -laboratorio forense de prueba digital- explica a Estrategas que son tres las claves para la protección de las empresas, “la capacitación de los miembros para prevenir el siniestro, una buena estrategia para mitigar los daños si el siniestro se produce y tener un buen seguro”, y añade con preocupación: “A veces faltan una, dos o las tres condiciones. Pero a veces no hay ni documento de seguridad”. Para Marcelo Rodríguez, senior partner de RiskGroup Argentina, “lo más importante es un sistema de gestión de riesgos y, después, un seguro”.
MINIMIZAR. Evitar ataques es imposible, pero se pueden minimizar sus destructivas consecuencias y, a la vista de la opinión de los expertos, son dos las principales armas para ganar la batalla: las estrategias integrales de gestión de riesgos que las propias empresas pongan en marcha y lo que algunos ya definen como el negocio de la próxima década: los ciberseguros, algo que, en nuestro país, parece ser, por ahora, poco más que una idea (o una pequeña cláusula incluida en coberturas de Responsabilidad Civil o Grandes Riesgos). “Si bien en la Argentina existen grandes expectativas para el riesgo de cyber y está creciendo el interés, aún no existe un texto aprobado por la Superintendencia de Seguros”, sostiene Franco Di Lucca, el director Ejecutivo de Comunicaciones de Aon Risk Services.
Y es que, aunque se prevé que en 2025 los ciberseguros superarán los 20 mil millones de dólares en todo el mundo, en la Argentina aún falta que las empresas dimensionen el riesgo real de estos ataques. Según sostiene Elizalde, “la demanda la formará la cantidad de siniestros que ocurran”. Desde Aon, Di Lucca es optimista: “Dado que este riesgo está estrechamente ligado a la tecnología, debería crecer la demanda de estas pólizas en un futuro cercano”. En opinión del gerente de Instituciones Financieras de Marsh, “las empresas locales están muy interesadas en la póliza de cyber risk ya que les permite transferir parte del riesgo y la exposición”.
“Entendemos que ese un nicho clave y con gran potencial de crecimiento -expresa Horacio Bach, Head of Surety, Casualty & Financial Lines de Zurich Argentina-. Todas las industrias del país están expuestas al riesgo cibernético. En la medida que podamos desarrollar coberturas más sofisticadas y asesorar a nuestros clientes en la identificación de sus riesgos, podremos capturar una parte relevante del mercado”.
No se puede ignorar el hecho de que las empresas prefieren, en general, no denunciar los ciberataques, ya que juegan en contra de su propia reputación. Según un informe de la revista estadounidense Forbes, menos de la mitad de las empresas -a nivel mundial- denuncian estos ataques. En Estados Unidos las compañías sí tienen obligación de hacer la denuncia y es por eso que el país es, con mucho, el mejor mercado para el ciberseguro, que obtuvo un total de primas directas de 1.300 millones de dólares en 2016.
En Europa, la situación cambiará a partir del 25 de mayo de 2018, cuando entre en vigor el nuevo Reglamento General de Protección de Datos, que multará con hasta 20 millones de euros a las empresas que no reporten estos delitos.
Según el informe del Lloyd’s, ya se nota el crecimiento de la demanda, sobre todo en España y el Reino Unido, después de WannaCry. En lo que respecta a nuestro país, señala Rodríguez, “mientras no haya obligatoriedad de informar las violaciones cibernéticas, las empresas no denunciarán nada; en nuestro país es un tema que ni siquiera se está tratando a nivel legislativo”.
COBERTURAS. Son varios los ejemplos de coberturas que podemos encontrar en el mundo, donde prácticamente todas las grandes firmas ofrecen este tipo de productos. En los Estados Unidos -donde se introducirán nuevas regulaciones este año para ayudar a la expansión de los seguros cibernéticos-, la compañía AIG, por ejemplo, ofrece el producto Ciber Insurance for Business. En España, donde sólo el año pasado se detectaron 115 mil ataques, Allianz lanzó al mercado -ya en 2013- Cyber Protect, una cobertura global contra riesgos cibernéticos, mientras AIG ofrece CyberEdge, que cubre las reclamaciones de terceros contra el asegurado por uso ilegítimo de información. Mapfre España ofrece también un seguro diseñado para proteger a pymes y monotributistas de ataques cibernéticos.
En el Reino Unido el broker de seguros y reaseguros JLT ofrece pólizas de cyber riesgos dentro del rubro Cyber and Intangible Risks, y en Chile, la aseguradora Chubb lanzó en el mes de mayo el producto Chubb Cyber, para la gestión de riesgos cibernéticos en empresas de todos los tamaños.
Zurich, uno de los líderes globales en cyber risk, comercializa este tipo de productos tanto en Europa como en los Estados Unidos y, según Bach “se encuentra en proceso de adaptarlos a las necesidades y regulaciones de nuestro país”.
En todos los casos se trata de pólizas que cubren aspectos como responsabilidad por seguridad y privacidad, defensa jurídica, fianzas, gastos de notificación a terceros y de gestión de crisis, sanciones administrativas, responsabilidad multimedia, pérdida de ingresos, restablecimiento, extorsión de datos. “Estas pólizas cubren todas las pérdidas económicas causadas por una extorsión cibernética, hasta las pérdidas económicas del negocio si se ve obligado a cerrar”, acota Elizalde, y añade: “Hasta he visto coberturas que cubren los honorarios de los especialistas que se encargan de las negociaciones del rescate”.
En nuestro país, según Rada, “la cobertura de riesgos cibernéticos es muy nueva y son pocas las aseguradoras que ofrecen algo de este tipo”. Señala que Marsh ofrece el producto Responsabilidad Civil por violación a la seguridad informática, que cubre “los daños y perjuicios ocasionados a terceros por divulgación de información confidencial, y situaciones como la extorsión cibernética y la interrupción del negocio, además de los gastos legales, los de contratar consultores informáticos y los necesarios para reconstruir la imagen de la empresa”.
Entre los principales riesgos de estos ataques, además del robo de datos o la pérdida de los equipos, con las consecuencias económicas que esto conlleva, se cuentan la manipulación de la información, la pérdida de datos que puede derivar en demandas de terceros, la pérdida de confianza en la empresa y hasta el cese de la actividad. En opinión de Rodríguez, “desde la industria del seguro se está tomando este tema de forma reactiva, no hay previsión; en la Argentina se está haciendo muy poco”. Coincide con Elizalde: “No hay una póliza que cubra todos los riesgos cibernéticos porque aún no están aprobadas por la Superintendencia. Además, lo que existe no se compra porque el problema es embarazoso”.
Otro de los problemas a que se enfrentan las aseguradoras argentinas es la dificultad de acotar y poner en cifras este tipo de riesgos. “Las pólizas no han evolucionado con la misma velocidad con que la que lo ha hecho la tecnología. El costo monetario parece ínfimo, pero el daño es terrible. Aún no sabemos cómo incluir todo esto en una póliza”, señala Rodríguez y Di Lucca coincide: “Esa es la diferencia entre este tipo de riesgo y uno tradicional: la forma de evaluar las sumas y de elegir los mecanismos a poner en marcha para frenar el siniestro”. Bach comenta: “El desafío que tenemos por delante las aseguradoras es la predicción de la siniestralidad y el desarrollo de soluciones y medidas de prevención que ayuden a nuestros clientes a mitigar sus riesgos”.
Según Elizalde, este riesgo “es masivo, resulta difícil mensurar la suma indemnizable, requiere cláusulas de cooperación bastante particulares y tiene un componente tecnológico en permanente evolución”.
En cuanto al futuro en la Argentina de este tipo de coberturas, Rodríguez cree que probablemente el ramo crecerá exponencialmente. “Pero, para ello -agrega-, hay que mirar al problema. Si no, nadie va a comprar la póliza. El efecto WannaCry es terrible, dejó expuesto a todo el mundo y no hubo una respuesta adecuada. Las empresas tienen que estar obligadas a informar los ataques y crear equipos de trabajo que decidan cómo cubrir esto con una póliza de seguros. Aún está en etapa de análisis, no hay productos concretos que incluyan prevención, tratamiento y resarcimiento, todos los gastos involucrados en solucionar el problema”. El Senior Partner de Risk Group sostiene que no sólo se necesita una póliza concreta, sino incluir una cláusula de cyber risk en prácticamente todos los productos. “Tratar de vender un producto enlatado sería sólo una curita -afirma-. Hay daños consecuenciales del ataque en cada uno de los sectores de la empresa asegurada. En muchas compañías se está trabajando en elaborar productos, pero no alcanza. Va a hacer falta remodelar todas las pólizas”, estima. En opinión de Elizalde, este tipo de producto requerirá “recursos humanos muy especializados, tanto para diseñarlo como para venderlo”.
Quedémonos pensando tras la reflexión del socio fundador de Foresenics: “En el mercado hay una suerte de certidumbre sobre la necesidad de cubrir este tipo de siniestros, pero mientras no haya más víctimas y el perjuicio quede limitado a directores y gerencias demandados civil y penalmente, no habrá una conciencia colectiva sobre su urgencia”.
Fuente: Estrategas