Del miedo al ransomware al auge del ciberseguro: un mercado en madurez

Aunque el coste sigue siendo un obstáculo para muchas pymes, la oferta se ha diversificado, los precios se han moderado y estas pólizas se perfilan como una herramienta esencial para garantizar la continuidad del negocio.

En los últimos años las pólizas cibernéticas se han hecho cada vez más comunes y ya hay organizaciones de todo tipo de sectores y tamaños que las contratan. 

Los ciberdelincuentes han dejado de apuntar exclusivamente a las grandes corporaciones e instituciones, convirtiendo en objetivos recurrentes a pequeñas y medianas empresas. Los ataques de ransomware ya no ‘perdonan’ y los intentos de extorsión ocurren también en compañías más modestas. Mientras las grandes disponen de recursos para hacerles frente, las consecuencias que estos incidentes tienen para las pymes pueden ser fatales, llevándolas a concursos de acreedores o incluso a su cierre definitivo. 

Por eso, recursos como los ciberseguros están adquiriendo vital importancia. No obstante, como ocurre con otro tipo de productos aseguradores estos también tienen su particular ‘letra pequeña’. 

“Las pólizas cibernéticas se han consolidado como una herramienta cada vez más valorada dentro de las estrategias corporativas. Y este crecimiento tan acelerado responde a un cambio de mentalidad de las empresas, al comprender que el seguro no solo proporciona un respaldo financiero, sino que también se trata de un aliado operativo que les permite retomar la actividad con mayor rapidez tras un ataque”, subrayan desde Hiscox. 

El Informe de Ciberpreparación 2024, elaborado por la marca y publicado a finales del año pasado, ponía de manifiesto que el 57% de las empresas españolas consideraba que los conflictos geopolíticos habían incrementado el riesgo de ser ciberatacadas. Esto evidencia una mayor concienciación de las compañías sobre el hecho de que se han convertido en objetivos precisamente por pertenecer a un “bloque enemigo”.

Sin embargo, más allá de las guerras recientes el verdadero ‘trampolín’ para estos productos aseguradores habría sido la pandemia. 

“Entre 2020 y 2022, los años más críticos tras la explosión del ransomware y las políticas de teletrabajo (para las que muchas organizaciones no estaban preparadas), vimos como las primas y las franquicias se llegaban a multiplicar hasta por cinco con respecto a la anualidad anterior. Y no solo esto, sino que, además, endurecieron los criterios técnicos de suscripción y empezaron a aplicar restricciones de cobertura, sobre todo en aquellas relacionadas con siniestros en los que el origen era un ransomware”, comenta un portavoz de Hiscox para Escudo Digital. 

La realidad ahora sería muy distinta, según la aseguradora especializada. “Llevamos dos años con un mercado muy blando en el ramo de ciber derivado, principalmente, con la entrada de nuevos players en el mercado español con unas políticas muy agresivas de suscripción que ha obligado a los mercados tradicionales a seguir estas guidelines para tener alguna oportunidad de mantener sus carteras y de cerrar nuevo negocio”, reflexiona. 

Rafael Carrasco, CEO de la firma de correduría CenterBrok, también confirma esta tendencia. Así, asegura que no ha existido un aumento generalizado de primas por la explosión del ransomware, pero sí han surgido muchos más productos, más compañías que han sacado un ciberseguro. “Ahora nos encontramos con un mercado mucho más amplio, que al aumentar la competencia ha permitido que las primas se mantengan estables en los últimos años, y con soluciones cada vez más efectivas y sencillas en la contratación”, sentencia. 

Para Patricia Fernández, directora de Ciber en Howden Iberia, la llegada de las insurtech habría generado un “cambio significativo” en los modelos de seguros tradicionales, con soluciones ágiles, personalizadas y basadas en tecnologías como inteligencia artificial, big data y blockchain. 

“En la práctica, esa posible competencia que a priori existiría se está convirtiendo en alianzas estratégicas entre unas y otras para complementar la oferta. Ese es el caso del ámbito ciber: las insurtech están aportando valor en la monitorización continua del riesgo y la integración de servicios de ciberinteligencia, por ejemplo”, concluye. 

Qué incluye un ciberseguro

La evolución de estas pólizas en el último lustro también vendría marcada por su mejora como producto. Desde 2020 los ciberseguros han ido ampliando sus garantías para ofrecer cada vez coberturas más completas. 

“De forma general una buena póliza debe cubrir la respuesta a incidentes, RC por daños a terceros, indemnización por pérdidas en el negocio o paralización, gestión del fraude o extorsión, asesoramiento legal y digital. A partir de estas condiciones que consideramos básicas, se pueden añadir más, como pago de multas, gastos de rescate, daño reputacional, etc, que permiten hacer la póliza algo propio de cada negocio”, desgrana Carrasco.

Por su parte, Fernández habla de tres grandes grupos de coberturas: respuesta ante incidentes (servicio 24/7 con apoyo forense, legal y de comunicación), daños propios (restauración, pérdida de beneficios, extorsión, etc.) y responsabilidad civil (frente a terceros, sanciones y privacidad). Además, cuenta que incluyen garantías adicionales como sustitución de hardware, gastos de mejora o fraudes diversos (como el telefónico, el de suplantación de identidad o el dado en las transferencias de fondos). 

En cuanto a las exclusiones, la directora de Ciber en Howden Iberia cree que prácticamente todos los aseguradores contemplan las mismas: “daños personales, daños materiales (más allá del propio hardware que haya podido verse afectado por el incidente), fallos de infraestructura, hechos conocidos con anterioridad a la entrada en vigor de la póliza y actos deliberados, entre otros”. 

Requisitos

El estudio Data Health Check de Databarracks, una encuesta anual que la firma realiza a medio millón de tomadores de decisiones de TI de Reino Unido, revelaba el año pasado que solo el 36% de las empresas con ciberseguros habían presentado reclamaciones el anterior ejercicio, frente al 58% que lo había hecho en 2022.

Databarracks aseguraba que esto tendría que ver con que está habiendo un número cada vez mayor de recuperaciones de ransomware. Es decir, muchas empresas se estarían recuperando por sí mismas desde los backups que habrían efectuado.

James Watts, CEO de la compañía, comentaba que a medida que las aseguradoras se estaban volviendo más estrictas con sus requisitos, se reforzaba "la importancia de los planes de continuidad empresarial probados exhaustivamente, así como de las copias de seguridad inmutables y aisladas".

Pero, ¿qué le piden las empresas de seguros a las organizaciones para poder cubrirlas? Hay una serie de medidas mínimas que estas últimas tienen que cumplir y que comprenderían la autenticación multifactor (MFA) en los accesos críticos, sistemas de monitorización (SOC/SIEM/EDR/XDR), una política de copias de seguridad robusta, una política proactiva de parcheo de vulnerabilidades, seguridad en los accesos y gestión de privilegios y un período de formación en materia de ciberseguridad y fraude, según detallan desde Howden Iberia.  

A estos aspectos se sumarían un plan de respuesta detallado que permite minimizar el impacto de un incidente y servicios de detección y respuesta gestionada (MDR), añaden desde Sophos. 

“Las aseguradoras reconocen y recompensan cada vez más a las organizaciones que utilizan servicios de MDR, ya que se encuentran entre las mejores estrategias para reducir los riesgos de ciberseguridad. Según un estudio que realizamos, las reclamaciones de seguros promedio de las organizaciones que utilizan servicios de detección y respuesta gestionada son un 97,5% inferiores a las de aquellas que sólo usan protección de endpoints”, comenta para Escudo Digital Sally Adam, vicepresidenta de Marketing de Soluciones en Sophos.

Las evaluaciones son muy importantes. Estas suelen hacerse mediante cuestionarios detallados sobre las defensas de seguridad que usa cada organización, aunque las aseguradoras también se apoyan en proveedores con los que trabajan para su realización, según detallan desde Sophos. 

No es común que estas firmas exijan auditorías externas o certificaciones oficiales (como ISO 27001 y NIST) a las empresas como condición sine qua non para incluirlas en sus pólizas, aunque sí desempeñarían un papel importante en la evaluación del riesgo. “Las aseguradoras valoran positivamente estas certificaciones porque demuestran que una organización cuenta con un sistema de gestión de seguridad de la información (ISMS) maduro y auditado externamente”, destaca Adam. Disponer de ellas puede facilitar un acceso a primas más favorables, según la experta. 

En este marco, aunque la reciente Directiva NIS-2 no establecería directamente requisitos de seguros, sí que habría “elevado el listón” de lo que se considera una “postura de ciberseguridad adecuada en Europa”, en opinión de la responsable de Sophos. 

Pero, ¿qué pasa cuándo una empresa ya ha sido atacada y comprometida y quiere pedir al seguro que pague? Para Fernando Cocho, CEO de la compañía de inteligencia y diplomacia corporativa h4dm, a muchas organizaciones las aseguradoras les deniegan estas compensaciones por “no haber hecho el test previo de detección, por no haber monitorizado tus fallos que tengan tus plugins de la web, características de tus enlaces, por no haber protegido tus bases de datos y cumplido la normativa GDPR, por no haber hecho un borrado o un backup periódico pertinente programado. Por todas esas cosas de previsión o prevención es por las que las aseguradoras pueden decirles que no hicieron los deberes”. 

¿Más pólizas, más ataques?

Como curiosidad, en 2023 Barracuda Networks y Vanson Bourne publicaban una encuesta que evidenciaba que las organizaciones con ciberseguro eran un objetivo mayor para los cibermalos enfocados en ransomware. El estudio arrojaba que el 77% de las empresas con póliza cibernética habían sido atacadas al menos una vez, frente al 65% de las compañías que carecían de seguro.

Además, un 39% de las empresas que tenían este tipo de pólizas se aflojaban el bolsillo frente a los extorsionadores. De manera preocupante, las aseguradas tenían un 70% más de probabilidades de experimentar múltiples ataques y menos de depender de sistemas de respaldo para la recuperación.

El informe no establecía un vínculo directo entre contratar un ciberseguro y recibir ataques de ransomware, pero sí dejaba caer que los actores de amenazas podían identificar compañías con póliza sirviéndose de técnicas de ingeniería social. Así, Fleming Shui, CEO de Barracuda Networks, aseguraba que los atacantes piensan que hay más probabilidad de que las empresas aseguradas pasen por caja, aumentando su confianza de recibir el pago a los rescates.

¿Son productos para pymes?

Las pymes carecen de muchas de las herramientas y recursos que sí atesoran las grandes corporaciones. Los ciberdelincuentes son conscientes de ello y las han convertido en objetivos recurrentes. Por eso, las que ya tienen cierto grado de concienciación respecto a la importancia de la ciberseguridad y la protección de sus activos digitales se han lanzado a contratar pólizas cibernéticas, aunque el alto coste percibido y los requisitos pueden frenar su obtención.

“Las pequeñas y medianas empresas se enfrentan a diversos retos para acceder a ciber-seguros con condiciones favorables, ya que carecen de personal especializado, están más expuestas y tardan más tiempo en recuperarse de un incidente”, explica la vicepresidenta de Marketing de Soluciones de Sophos. 

En esta línea también se expresa Fernando Corcho, de h4dm.  “Las pymes en muchos casos no pueden cumplir todos los requisitos que les piden porque están ocupadas teniendo que sacar el negocio adelante. Por eso es interesante la fórmula de una correduría que les busque la empresa de seguros que les respalde, la auditoría pertinente, el técnico que se va a responsabilizar de tu tipo de empresa, etc. Estas pólizas que ofrecen pueden llegar a ser muy económicas, con un coste equivalente al de un seguro de hogar”, asegura. 

Desde CenterBrok confirman también la existencia de pólizas con precios razonables para pequeñas y medianas empresas y autónomos que quieren cubrir los incidentes de ciberseguridad. “Por poner un ejemplo, para una empresa de 150.000 euros de facturación conseguir una póliza de hasta 250.000 euros de indemnización supondría un coste anual de unos 400 euros, lo que es asumible para casi cualquier pyme para estar protegida”, señala Carrasco. 

El problema es que, históricamente, y a diferencia de las grandes empresas, las pymes hasta no hace mucho habían percibido el seguro como “una carga adicional sobre sus recursos” y, por tanto, habían buscado “minimizar la inversión en este tipo de productos”, reflexionan desde Hiscox. Sin embargo, los empresarios están comenzando a comprender que “el ciberseguro no es un gasto opcional, sino un recurso estratégico fundamental para una prevención completa que garantice la estabilidad financiera y la continuidad operativa del negocio”. 

La aseguradora asegura que cada vez más empresas en España son conscientes de la magnitud de la amenaza que representan los ciberataques y esta creciente sensibilización se traduce en “un aumento sostenido de la contratación de pólizas de seguro cibernético, tanto de manera independiente como parte de otra cobertura”. Así, defiende que se ha dado un “cambio cultural en el tejido corporativo español” donde la ciberseguridad ya no es percibida como un asunto técnico, sino como “un pilar esencial de la gestión del riesgo”. 

Patricia Fernández, de Howden, no opina igual. Acredita que se ha experimentado un crecimiento exponencial, pero cree que aún nos queda mucho camino por recorrer. “Estamos muy por detrás de otros países como Reino Unido o Estados Unidos, por ejemplo, donde las tasas de penetración superan el 61% y 70% respectivamente”, detalla.

En su opinión para acelerar la adopción es fundamental “fomentar una mayor conciencia sobre el riesgo en sí mismo: hacerles comprender que el ciberriesgo no es solo una amenaza técnica, sino un factor crítico que puede comprometer la continuidad operativa, afectar a la reputación y dar lugar a un incumplimiento normativo. Solo desde esa visión estratégica 360 podrá verse el seguro como una herramienta integral de protección y resiliencia”, concluye.

Publicado por Alberto Payo Gijón en Escudo Digital.