Las fugas de datos pueden ser costosas, solo tenemos que preguntarle a Marriott. El grupo hotelero dijo en noviembre pasado que los hackers tuvieron acceso a su base de datos desde 2014, con lo que se comprometió el registro de 339 millones de huéspedes.
Desde entonces ya incurrió en 100 millones de dólares en costos relacionados con el hackeo y eso es antes de una posible multa de 99 millones de libras impuesta bajo las normas de la Unión Europea.
Sin embargo, el efecto se amortiguó por las pólizas de seguros, que han pagado 102 mdd a la compañía.
La cobertura cibernética es una de las áreas de mayor crecimiento de la industria de seguros. Las fugas de datos de alto perfil y los ataques de ransomware —como los de WannaCry y NotPetya en 2017— convencieron a las compañías de que necesitan protección.
“NotPetya fue un enorme desencadenante para comprar fuera de EU, ya que las compañías vieron cómo se ve realmente la interrupción de negocios”, dice Sarah Stephens, líder de la práctica de coberturas cibernéticas, de medios y tecnología de la aseguradora Marsh JLT Speciality.
Los seguros cibernéticos se remontan a la década de 1990, cuando un número cada vez mayor de firmas de e-commerce buscaban protegerse del riesgo de que hackers tiraran sus sitios web.
El crecimiento más reciente lo encabeza Estados Unidos, donde las regulaciones de protección de datos y las multas por las fugas de datos convencieron a las empresas de comprar seguros.
- Te recomendamos ¿Qué le pasó al caballo que cayó durante el desfile de la Revolución Mexicana? Policía
Esa tendencia se extiende a Europa, donde se espera que las reglas de datos del RGPD (Reglamento General de Protección de Datos de la Unión Europea) que entró en vigor el año pasado conduzca a una oleada de multas, por ejemplo, British Airways recibió una multa provisional de 183 millones de libras por una fuga de datos en 2018.
No queda claro si las multas las puede cubrir una aseguradora bajo la ley de la Unión Europea, pero los corredores dicen que las sanciones potenciales que enfrentan BA y Marriott crearon conciencia sobre los riesgos que implican las fugas de datos.
El otro mercado en crecimiento es el de las pequeñas y medianas empresas. Los intermediarios dicen que la penetración aún es baja pero que dado que sus recursos son menores estas compañías son particularmente vulnerables a un ataque cibernético.
“Cada vez vemos más y más adopción, particularmente en industrias donde vemos un riesgo de violación de datos, como minoristas, atención de salud, cualquier persona que trabaje con análisis de datos y compañías que trabajan con grandes empresas globales”, dice Stephens.
La proyección de valor de mercado global de seguros cibernéticos para 2022 es de 15 mil mdd.
Las pólizas de seguros cibernéticos le pagan a los clientes que sufren un ataque, como lo hace una póliza de seguro normal. Pero a menudo también hay un elemento de servicio en el producto que proporciona ayuda práctica a los clientes cuyos sistemas fueron atacados.
Estos servicios pueden incluir investigadores forenses para investigar las causas y ofrecer soluciones, expertos en relaciones públicas para lidiar con el daño a la reputación e incluso negociadores expertos para hacer frente a las demandas de rescate y organizar su pago, a menudo a través de bitcoin.
Las compañías de seguros ven el seguro cibernético como una rara oportunidad de crecimiento y se apresuran a entrar al mercado. Casi 200 aseguradoras ofrecen cobertura cibernética en Estados Unidos, mientras que se espera que el mercado mundial de seguros cibernéticos crezca de aproximadamente 6 mil mdd de primas al año a 15 mil millones de dólares para 2022, de acuerdo con RBC Capital Markets.
Pero ese crecimiento podría tener un alto costo para las compañías de seguros.
Si bien existen modelos sofisticados para riesgos conocidos como inundaciones y tormentas, los riesgos cibernéticos son diferentes.
“La creación de los modelos cibernéticos aún está en su infancia”, dice Rebecca Bole, jefa de participación de la industria en CyberCube, especialista en creación de modelos cibernéticos. “Es un peligro muy diferente a los riesgos relacionados con el clima, donde la ciencia está documentada y se comprende muy bien. Lo cibernético es un peligro hecho por el hombre, lo que crea mucha complejidad”.
Las aseguradoras y los modeladores tienen que luchar con la naturaleza siempre cambiante de los ciberataques, junto con la incertidumbre sobre quiénes son los perpetradores, qué quieren, cuánto daño podrían causar y qué tan rápido el efecto de un ataque podría propagarse por todo el mundo.
“Sabemos más sobre el riesgo de la catástrofe que lo que sabemos sobre lo cibernético”, comentó Brian Duperreault, director ejecutivo de la aseguradora AIG, en una reciente cumbre de seguros Financial Times / PwC. “Los malos tienen un mejor departamento de investigación y desarrollo que nosotros”.
Agregó que había una fuerte demanda de cobertura por parte de los clientes de AIG. “Todos los clientes se enfrentan a amenazas cibernéticas, es el mayor riesgo global que enfrentamos”.
El posible costo de los ataques a gran escala es enorme. CyberCube y Guy Carpenter, un corredor de seguros, hicieron modelos de escenarios que podrían causar grandes pérdidas para la industria. Una interrupción prolongada en un gran proveedor de servicios en la nube podría llevar a pagos de 14 mil 300 mdd, por ejemplo, mientras que un robo generalizado de un proveedor de servicio de correo electrónico podría tener como resultado pérdidas de 19 mil 100 millones de dólares.
Lloyd’s of London, el mercado de seguros, también evaluó el costo de un ataque cibernético a gran escala. Recientemente estimó que un solo ataque a los puertos asiáticos en el que un virus informático revuelva los registros de carga podría generar un daño económico de 110 mil mdd, equivalente a la mitad de la pérdida global de 2018 por catástrofes naturales, y solamente 8 por ciento está cubierto por pólizas de seguros.
“Se reconoce que esta es un área de gran crecimiento para la industria de seguros”, destacó Bole. "Cada vez más empresas van a buscar la transferencia de riesgos”.