Implementar medidas de aseguramiento y prevención para contener y erradicar los efectos de la ciberdelincuencia es un tema de alta prioridad, basta con echar un vistazo al costo que causaron los ataques cibernéticos en 2020, cuya afectación rondó según estimaciones de McAfee en 945 mil millones de dólares.
Con base en el estudio Ciberseguros: fortalecimiento resiliencia para la transformación digital, elaborado por Swiss Re Institute, la vida en el mundo presenta una clara y creciente inestabilidad geopolítica y económica multifactorial causada, entre otros agravantes, por la guerra en Ucrania y las tensiones latentes entre los Estados Unidos y China.
La fuente señala que paralelamente a esto, muchas facetas de la vida se han vuelto aceleradamente más digitales y todas ellas con una fuerte exposición al espectro de los ataques cibernéticos.
Swiss Re subraya que la posibilidad de que haya un ataque privado o patrocinado por el estado en otro país o región que conlleve consecuencias catastróficas es muy real. Incluso podría tomar la forma de un ataque a instalaciones de infraestructura como redes eléctricas o sistemas de comunicación clave, entre otros.
De manera que las pérdidas resultantes de un evento cibernético sistémico podrían ser enormes, impactando a las empresas, la economía en general y la sociedad. Por fortuna, agrega, hasta el momento no ha habido un incidente tan sistémico. Sin embargo, en el tema del riesgo cibernético el panorama está evolucionando rápidamente, con incidentes de ransomware y preocupaciones de ciberseguridad de empresas y gobiernos en su punto más alto.
Los ataques se han vuelto más sofisticados. Los piratas informáticos ahora usan técnicas de «triple extorsión», y para contrarrestar esta situación el ransomware ha servido para reducir las barreras de entrada para los ciberdelincuentes.
Las pequeñas y medianas empresas (Pymes) que poseen en su mayoría poca capacidad de defensa, se han convertido en blancos fáciles para el hampa cibernética, mientras que la digitalización de las industrias, incluidos los sectores de la salud y las infraestructuras críticas, acusan mayores vulnerabilidades en toda la cadena de suministro.
Antes del ataque NotPetya de 2017, los riesgos cibernéticos se centraban en las filtraciones de datos y la responsabilidad de terceros. Para las reaseguradoras, la proliferación de regulaciones de privacidad de datos abre la puerta a los procedimientos de litigio y aumenta la exposición al riesgo de cola larga”, destaca el estudio.
En los últimos dos años, los reclamos se han vuelto dominantes, con incidentes de ransomware del crimen organizado. Empresas, aseguradoras y administraciones públicas han redoblado los esfuerzos de gestión de riesgos, y las asociaciones de la industria y las aseguradoras han trabajado juntos para abordar la cuestión relacionada del “cibernético silencioso” aclarando el alcance de las políticas tradicionales.
En torno a este panorama, añade el documento, los seguros juegan un papel clave, proporcionando no solo la transferencia del riesgo, sino también el incentivo del riesgo mitigación, apoyando el monitoreo y ayudando a las respuestas a los ataques cibernéticos.
Pero la brecha de protección cibernética sigue siendo grande, con primas que ascienden a solo una fracción de pérdidas totales por ciberataques. La mayoría de las empresas no están aseguradas o tienen un seguro insuficiente por riesgos cibernéticos.
En una encuesta reciente, solo 55 por ciento de las empresas informaron tener cobertura cibernética y menos de uno de cada cinco tiene límites de cobertura por encima de la demanda mediana de ransomware.
Swiss Re estima que las reclamaciones totales derivadas de un ciberataque dirigido a una Pyme son tres veces mayores que las de las grandes corporaciones y los oscila entre 20,000 a 100,000 dólares para una empresa que tiene una facturación inferior a 50 millones.
El incremento de los ataques de ransomware aumentó los índices de siniestralidad en 2020. Las aseguradoras respondieron subiendo los precios, mejorando la disciplina de suscripción, introduciendo sublímites en coaseguro, aclaración de términos y condiciones, y exclusión (o precio explícito) exposiciones cibernéticas en otras pólizas de propiedad y responsabilidad civil. Estas acciones tuvieron un grado de éxito: los índices de siniestralidad se estancaron en 2021″, añade el reporte.
Algunos de los riesgos cibernéticos actuales no cumplen del todo con las características típicas de asegurabilidad. En particular, la agregación de pérdidas podría afectar rápida y significativamente la diversificación o desafiar la capacidad del mercado, advierte Swiss Re Institute.
Por otra parte, el riesgo es difícil de cuantificar debido a datos inmaduros y falta de consenso del modelo. La asegurabilidad limitada restringe la capacidad a pesar de la creciente demanda, creando desafíos para el crecimiento del mercado a largo plazo.
Para abordar estas limitaciones es necesario más talento cibernético, datos estandarizados, mejor modelado. Se necesita consistencia en los contratos y nuevas fuentes de capital. Asimismo, hay margen para considerar oportunidades para nuevos tipos de mecanismos de distribución de riesgos público-privados.
Finalmente, Swiss reconsidera que estas medidas pueden ayudar a mitigar las exposiciones generales, mejorar la comprensión del riesgo y ayudar hacer que la sociedad sea más resistente a los ataques con efectos devastadores y potencialmente sistémicos consecuencias. La naturaleza humana y en red de la cibernética significa que el riesgo continuará evolucionando, por lo que se requiere una respuesta coordinada. Mejorar la resiliencia requerirá, en suma, colaboración entre corporaciones, aseguradoras y gobiernos.