Hace unos 5000 años (3000 A.C), unos mercaderes babilónicos se unireron para asumir entre todos la pérdida de mercancías al atravesar el país. Esto se conocía como ‘préstamos a la gruesa’ y fue el origen efectivo del seguro. Ciertamente, ninguno de ellos podía imaginar que cinco milenios después, otros mercaderes, en este caso de tecnologías de la información, estaríamos hablando sobre cómo asegurar las mercancías ante los ataques de los piratas de nuestra época, erróneamente denominados hackers.
Esta nueva modalidad de seguro está todavía en una etapa incipiente sin la madurez que ya tienen otros ramos como el auto o el hogar, en los que es mucho más sencillo estimar y prevenir los riesgos. Por el contrario, debido a la propia naturaleza de estos riesgos, con cientos de nuevas modalidades de ataque cada día (lo que se llama ataques zero day), es muy difícil prever cuáles son los riesgos que más nos van a afectar y que, por lo tanto, debemos asegurar.
Según INCIBE, algunas de las tipologías de ataques más frecuentes son los ataques a contraseñas por fuerza bruta o diccionario; los ataques de ingeniería social como el phishing, el spam o los fraudes online; los ataques a las conexiones, como las wifis falsas, el spoofing o suplantación, los DDoS, SQL, escaneo de puertos, Man in the Middle, sniffing o vulneración de las coockies; y los ataques por malware, como los virus, adware, spyware, troyanos, gusanos, redes zombies, cryptojacking y aplicaciones maliciosas.
El phising se ha disparado un 500% en los últimos años
Los ataques se han sofisticado y suelen ser una combinación de los anteriores. Por ello, las tecnologías de defensa deben ser capaces de aislar, detectar y remediar ciberataques en al menos siete capas: anti spam, desempaquetadores, threat intelligence, análisis estático, BEC – cuentas comprometidas, anti-phishing y análisis dinámico.
En los últimos años, y especialmente a raíz de la pandemia, el número de ciberataques se ha multiplicado. En algunas modalidades como el phising lo ha hecho hasta en un 500%, por lo que la siniestralidad asociada a estos seguros se ha disparado. Deloitte estima que el coste total de los delitos informáticos en el año 2025 será de unos 10 billones de dólares. Para ponerlo en perspectiva, el coste agregado de los delitos asociados a drogas, tráfico de personas y armas es de unos 2 billones de dólares, es decir, la quinta parte. El coste medio de las brechas de seguridad es de 3,6 millones de euros, según IBM. En algunos sectores, que manejan información más valiosa para los ciberdelincuentes, como el sanitario, este coste medio se eleva hasta los 9 millones de euros. Por otro lado, el tiempo medio de detección y contención de una brecha de seguridad es superior a los 300 días, por lo que muchas veces las víctimas de estos ataques ni siquiera son conscientes de haberlos sufrido.
En estas circunstancias, con un panorama muy complejo y cambiante en el día a día, los intereses y expectativas de cada uno de los actores no están alineados:
- El cliente final (particulares) quiere un producto que cubra cualquier riesgo, lo cual es materialmente imposible. Por otro lado, le falta información y madurez para saber qué coberturas necesita para su situación personal.
El coste total de los delitos informáticos en el año 2025 será de unos 10 billones de dólares
- Las pequeñas empresas (pymes) están en una situación similar. Normalmente tienden a contratar productos estándar, con unas coberturas muy limitadas, que suelen desembocar en frustración cuando sufren un ataque porque la posibilidad de que no esté cubierto en su póliza es muy grande.
- Las grandes empresas están habitualmente cubriendo riesgos asociados a sus directivos, con productos poco adaptados a su sector y a sus ciberriesgos reales. Sin embargo, el mayor riesgo en este caso es el reputacional, muy difícil de cuantificar y que ya se ha llevado por delante a compañías que han sufrido ataques graves, con la consiguiente desconfianza de sus clientes e inversores.
- Las aseguradoras no pueden comercializar un producto que lo cubra casi todo, al estilo del seguro multirriesgo del hogar, dado que con tantas incertidumbres podría poner en serios apuros su cuenta de resultados si se dispara la siniestralidad.
El uso de tecnologías avanzadas, tanto para el análisis (big data, algoritmos machine learning y deep learning), como para la simulación de escenarios y toma de decisiones (inteligencia artificial), debería ser una ayuda fundamental para las aseguradoras y empresas a la hora de detectar riesgos y saber qué productos ofrecer y contratar, respectivamente.
Sin embargo, desde mi punto de vista, la clave es la prevención. En la situación actual, todavía el 99% de los ataques involucran dos de los canales más utilizados por empresas y particulares: el correo electrónico y los navegadores web. Las compañías deben poner el foco en la ciberdefensa de estos dos canales. De esta forma, si los clientes finales justifican una situación de menor riesgo potencial, las compañías aseguradoras podrán adecuar las coberturas y las primas a una situación con mucha menos incertidumbre.
Y todo esto, gracias a unos mercaderes Babilónicos que se juntaron hace 5000 años.
