El mercado de los ciberseguros está creciendo

Pedro Luis Martín Olivares
Pedro Luis Martín Olivares - El mercado de los ciberseguros está creciendo

Pedro Luis Martín Olivares – Suena como si fuera diseñado por un niño de siete años y parece un set de filmación. Alojado en un elegante camión negro, el «Centro de Operaciones Tácticas Cibernéticas del Comando X-Force” de IBM viaja de ciudad en ciudad, simulando la experiencia de ser víctima de un ciberataque. Filas de escritorios, monitores deportivos y teclados en una sala dominada por tres pantallas de video gigantes. Una sala de control aloja equipos de servidores que permiten al personal de IBM simular una red corporativa, y luego lanzarle todo tipo de travesuras digitales. Los adolescentes «entienden lo que está pasando de inmediato», dice Caleb Barlow, quien dirige el programa. Los miembros de la junta directiva de las grandes empresas también disfrutan de una visita: «Es muy diferente de lo que suelen hacer».

Pero su interés no es meramente recreativo. Las empresas están cada vez más preocupadas por las amenazas que acechan sus sistemas informáticos. Una encuesta realizada en 2018 por KPMG y Harvey Nash, una firma de cazadores de talentos, encontró que solo una quinta parte de sus jefes pensaban que su firma estaba bien preparada para un ataque.

Esa evaluación sombría es confirmada por hackers de alto perfil. En noviembre, Starwood, una cadena hotelera propiedad de Marriott International, informó que se habían robado 500 millones de registros de clientes. Magecart, un grupo de hackers, es el principal sospechoso del robo de la información de las tarjetas de crédito de los clientes de Ticketmaster. En 2017, WannaCry y NotPetya, dos programas de malware, codificaron archivos en organizaciones de todo el mundo. Maersk, una empresa naviera danesa, dijo que había sufrido costos de 300 millones de dólares. Snafus puede ser tan dañino como los propios ataques. En abril, un banco británico fracasó una actualización de la computadora y bloqueó a millones de clientes de sus cuentas.

Tales contratiempos están alimentando un mercado de rápido crecimiento para el ciberseguro especializado. Los números sólidos son escasos, pero Munich Re, una reaseguradora, reconoce que un mercado que ganó $4 mil millones en primas en 2018 podría estar logrando de $8 mil millones a 9mil millones para 2020. Rob Smart de Mactavish, una empresa que trabaja con grandes aseguradoras británicas, dice que «casi todos» los clientes de las empresas han consultado sobre el ciberseguro en los últimos años. Las aseguradoras se apresuran a contratar a especialistas escasos. Dos ex directores de GCHQ, la organización británica de espionaje electrónico, han encontrado puestos de trabajo asesorando a la industria.

El mercado está más desarrollado en Estados Unidos, dice Robert Hannigan, uno de esos ex jefes de GCHQ, gracias en parte a las leyes californianas aprobadas en 2003 que obligan a las empresas a confesar las grandes violaciones de datos. Estos han sido copiados por otros estados. Pero Europa se está poniendo al día, dice Joseph Ahern, de la Asociación de Aseguradores Británicos, en parte debido a las leyes de privacidad e información que ahora son más estrictas que las de Estados Unidos. La necesidad de un seguro sólido solo crecerá a medida que las empresas se vuelvan más dependientes de las computadoras, los hackers se vuelvan más astutos y los reguladores tienen una visión cada vez más tenue de la seguridad. Pero la naturaleza única de los riesgos cibernéticos son difíciles de manejar en la industria de seguros. En el peor de los casos, podrían explotar por completo el mercado naciente.

Las políticas en oferta hasta ahora tienden a ser imprecisas, dice Smart, y varían ampliamente con respecto a qué riesgos están cubiertos. Eso hace que las empresas se vuelvan nerviosas, dice, y algunos grandes clientes han decidido no comprar seguros como resultado. A medida que la industria madura, sin duda las políticas serán más claras y más estándar. Pero otros problemas son potencialmente más duraderos.

El de saber quién estaba detrás de un hacker en particular ya fue noticia. Mondelez, una compañía de alimentos estadounidense afectada por el malware NotPetya, está demandando a Zurich, una gran compañía de seguros, por negarse a pagar bajo una póliza de seguro general. Zurich cita una cláusula de exclusión para pérdidas relacionadas con la guerra, sobre la base de que se cree que el ataque NotPetya fue llevado a cabo por Rusia. Incluso un gobierno tecnológicamente sofisticado podría tener problemas para demostrar tal reclamo al estándar exigido por un tribunal, dice Andrew Coburn, de Risk Management Solutions, una consultora. Pero si Zurich gana, podría provocar un escalofrío en todo el mercado, a menos que las aseguradoras acepten que el ciberseguro puede implicar asumir el tipo de riesgos que antes intentaban evitar.

Al mismo tiempo, los riesgos de seguridad cibernética son intrínsecamente difíciles de establecer. Todo el software contiene errores, algunos de los cuales causarán problemas de seguridad. Pero muchos se esconden hasta que un hacker comienza a explotarlos. Los riesgos cibernéticos son tan nuevos que las aseguradoras solo tienen datos limitados, y el ritmo del cambio tecnológico significa que lo que tienen rápidamente queda obsoleto. «En una inundación, conocemos las formas en que el agua puede dañar las cosas», dice Shannan Fort of Aon, un corredor de seguros. «Y eso no es probable que cambie en los próximos cinco a diez años. Pero la forma en que usamos la tecnología ha cambiado fundamentalmente en la última década”.

Quizás la mayor dificultad para las aseguradoras es que los riesgos planteados por los ataques cibernéticos no son independientes entre sí. Si una refinería de petróleo en Texas se inunda, eso no significa que una en París sea más probable que lo haga. Las aseguradoras construyen esa independencia en sus modelos de riesgo y dependen de ella en sus cálculos del máximo que pueden tener que pagar en un solo año. Pero una falla recientemente encontrada en el software puede hacer que todos los usuarios sean vulnerables simultáneamente. Las aseguradoras temen que un solo gran ataque pueda afectar a muchos de sus clientes a la vez. En el peor de los casos, el valor de las reclamaciones puede ser más de lo que podrían cumplir.

El malware WannaCry de 2017 ilustra el punto. Armado con una vulnerabilidad de software robada de la Agencia de Seguridad Nacional, la contraparte estadounidense de GCHQ, infectó un cuarto de millón de computadoras en 150 países en solo unos pocos días. Su propagación se vio frenada solo por la suerte. Marcus Hutchins, un investigador de seguridad que luego fue arrestado por un asunto no relacionado, obtuvo acceso al sistema de control de malware que le permitió apagarlo. Si la industria puede encontrar una manera de lidiar con esa «agregación de riesgos» es una pregunta abierta. Como dice uno de ellos, «rompe un poco todo el concepto de seguro».

Sabías que puedes leer este artículo y otros en Telegram

Pedro Luis Martín Olivares
Economía y Finanzas

Sé el primero en comentar en «El mercado de los ciberseguros está creciendo»

Deja un comentario

Tu dirección de correo electrónico no será publicada.


*


*