El rápido crecimiento de las amenazas cibernéticas

El mercado de los servicios cibernéticos está creciendo. En el último año, las violaciones de datos y los ataques cibernéticos han aumentado considerablemente, por lo que se espera que la participación de los seguros cibernéticos siga aumentando en los próximos años.

Los seguros de este tipo han ido creciendo a medida que las empresas han visto la necesidad de protección contra ataques que suponen pérdidas financieras, violaciones de seguridad o ataques cibernéticos. Se espera que el mercado alcance los 20.400 millones de dólares en 2025, con una tasa de crecimiento anual del 21,2%.

Aunque los seguros cibernéticos se encuentran en una etapa temprana, es uno de los segmentos de más rápido crecimiento en la industria, ya que los ataques representan un riesgo amplio a medida que surgen nuevas tecnologías. Las filtraciones de datos tienen lugar a diario, y estos seguros disponen de herramientas avanzadas para ayudar a los titulares de las pólizas para proteger sus negocios de las consecuencias de las amenazas cibernéticas.

Actualmente, no existe una definición exacta de lo que incluye un seguro cibernético y esta cobertura variará según la industria, el tipo de negocio y las necesidades de cada uno de ellos. La carencia de reclamos en este segmento provoca que existan estas coberturas dispares y dificulta la evaluación de riesgos y la creación de modelos predictivos en torno a las amenazas.

Los seguros cibernéticos

Estos seguros están diseñados para suavizar las pérdidas de diferentes incidentes cibernéticos, incluidas las filtraciones de datos y los daños que le suponen a los negocios. La existencia de un mercado de seguros consistente ayudará a reducir el numero de ataques. La existencia de este servicio promueve la adopción de medidas preventivas a cambio de una mayor cobertura y fomenta la implementación de mejores prácticas al basar las primas en el nivel de autoprotección del asegurado.

Debido a que los seguros de propiedad general no incluyen los riesgos cibernéticos en sus condiciones, han surgido este tipo de seguros cibernéticos como una línea de cobertura independiente. La cobertura que abarcan es amplia y abarca una gama de pérdidas por incidentes cibernéticos, incluidos los costes derivados de la destrucción y robo de datos, piratería, ataques de denegación de servicios, actividades de gestión de crisis relacionadas con violaciones de datos, difamación, fraude y violaciones de privacidad. No obstante, son pocas las pólizas de ciberseguridad que dan cobertura a los daños físicos que podrían resultar de un ciberataque exitoso contra la infraestructura crítica.

Los asegurados deben evaluar sus posturas cibernéticas de una forma realista porque los aseguradores requieren una mayor transparencia y detalle en relación con las posibles pérdidas y las crecientes amenazas. Esto recae en un beneficio mutuo donde las aseguradoras disponen de un entorno más receptivo para consultar con los asegurados ayudándoles a identificas posibles fallos de protección y, en consecuencia, los asegurados pueden mejorar sus riesgos si protegen dichos fallos.

Aseguradoras y clientes buscan mitigar cualquier posible ciberataque mediante una gobernanza de ciberseguridad y la inversión en controles. Si esta situación no se da las aseguradoras sufrirían grandes pérdidas, reduciendo su capacidad de respuesta y su disponibilidad. Así pues, el seguro se considera una necesidad como método de transferencia de riesgo para la seguridad cibernética. La estabilidad para las aseguradoras es fundamental para que los asegurados puedan ofrecer transferencias de riesgo en el futuro.

Ataques más comunes en la actualidad

Los ataques de ransomware, las filtraciones de datos y las actividades fraudulentas como el compromiso del correo electrónico han representado los primeros puestos en la lista de ataques cibernéticos. Se estima que los costes económicos mundiales de este tipo de delitos crecerán un 15% al año durante los próximos años, alcanzando los 10.500 millones de dólares anuales para 2025 [2]. Estos valores no sorprenden teniendo en cuenta que el mundo de los ataques avanza a un ritmo muy rápido, por ejemplo, los ciberdelincuentes aprovechan la automatización y la IA para una mejor explotación de los puntos débiles de la forma más rápida posible.

La pandemia ha supuesto un fuerte crecimiento de este segmento ya que, en este sentido, las empresas, institutos de investigación y agencias gubernamentales relacionadas con la vacuna estuvieron en el punto de mira para ser atacadas por parte de delincuentes. A continuación, se describen los ataques más comunes que sufren las empresas:

  • Violaciones de datos

Las violaciones de datos suponen una de las más grandes amenazas, cientos de millones de datos se vieron afectados en 2020. Existe un número creciente de información de identificación personal en lo sitios del propietario de riesgo y una importancia cada vez mayor de los datos.

Por ejemplo, IBM dijo que en 2020 el tiempo promedio para detectar una violación fue de 280 días, a pesar de que el ahorro promedio de contener una violación en menos de 200 días fue de 1 millón de dólares [2]. El mundo cada vez almacenará cada vez mayor volumen de datos así que no se espera que este tipo de ataques desaparezcan o disminuyan.

  • Secuestro de datos:

El ransomware seguirá creciendo rápidamente y se espera que continue en el futuro. Esto no solo sucede con el cifrado, sino con una exfiltración de datos cada vez mayor. Asimismo, las demandas de rescate también están creciendo exponencialmente, por ejemplo, IBM Security X-Force está recibiendo casos de extorsión por cantidades de más de 40 millones en algunos casos.

El ransomware aumentará ya que los sistemas de TI convergen cada vez mas con la infraestructura crítica y los sistemas de tecnología operativa. Existe una importante preocupación de que existan más datos, dispositivos y vidas en riesgo cuando se dirigen estos ataques a las redes eléctricas, sistemas médicos o la gestión del transporte, por ejemplo.

  • Compromiso de correo electrónico empresarial (BEC):

Las estafas BEC también son de las más comunes y siguen en aumento. La pérdida promedio para un BEC puede estar entre los 50.000 y los 80.000 dólares, aunque han existido casos de mayor coste como en 2020, cuando Puerto Rico perdió más de 4 millones de dólares en tres ataques BEC contra agencias gubernamentales. [2]

Detectar este tipo de estafas es complejo en los trabajos en remoto. Además, el suministro de tecnología también contribuye a esto como cuando se utilizan simultáneamente audio y video de una falsificación.

Principales proveedores de seguros cibernéticos

Actualmente, el 41% de las pequeñas empresas que sufrieron una violación de datos pagaron más de 50.000 dólares para recuperarse y casi el 30% de los clientes dijeron que nunca volverían a las pequeñas empresas afectadas por una violación de datos, lo que demuestra cómo este tipo de ataques puede afectar a los negocios de una compañía [3]. Son diversos los proveedores de estos servicios y varían según la industria:

  • AmTrust Financial es una de las mejores aseguradoras de responsabilidad cibernética, no cuenta con un proceso de solicitud extenso para límites de menos de 100.000 dólares. Su cobertura incluye contenido de sitios web y medios fuera de línea y multas de la industria de tarjetas de pago (PCI). Su cobertura incluye: servicios de notificación al cliente, servicios de centro de llamadas, servicios de relaciones públicas y gestión de crisis, investigación y consultoría de incumplimiento inicial para servicios legales y forenses, y cobertura de notificación discrecional.
  • The Doctors Company y su opción de CyberGuard Plus ofrece hasta 5 millones en seguro de responsabilidad cibernética con cobertura integral para los riesgos a los que se enfrentan los profesionales de la salud. Su cobertura incluye: responsabilidad de la privacidad y la seguridad de los datos, servicios de respuesta a violaciones de privacidad, defensa regulatoria y sanciones, responsabilidad del contenido de medios del sitio web, extorsión cibernética, protección de datos de primera parte, interrupción del negocio de la red propia y servicios de notificación al paciente.
  • The Hartford Steam Boiler Inspection and Insurance Company (HSB) es una de las mejores aseguradoras de responsabilidad cibernética. Tiene una reputación estelar como empresa y una variedad de límites entre los que elegir. El cliente tiene acceso al eRisk Hub de HSB, que contiene herramientas de gestión de riesgos, autoevaluaciones, módulos de formación, mejores prácticas, etcétera. Su cobertura incluye: respuesta de compromiso de datos, responsabilidad por incidentes de privacidad, recuperación de identidad, ataque informático, incluida la interrupción del negocio, fraude de pago mal dirigido, fraude informático, fraude de telecomunicaciones, extorsión cibernética, responsabilidad de la seguridad de la red y responsabilidad de los medios electrónicos.

Conclusiones

Obviamente, todas las compañías e individuos que usen internet están expuestos a los riesgos que conlleva, pero, no obstante, algunas industrias pueden presentar mayor riesgo como la sanitaria, los gobiernos, las empresas de servicios públicos, las escuelas o las instituciones financieras. Las compañías con sistemas heredados antiguos que no se actualizan, generalmente son las que mayores riesgos corren ya que, junto con la conservación de registros de clientes, las hacen muy atractivas para los ataques.

Por ello, este tipo de compañías o instituciones llevan ya años contando con seguros cibernéticos, pero es ahora cuando otro tipo de compañías están comprando estos servicios con mayor regularidad como en la fabricación, en servicios profesionales, las compras online, etcétera. Es necesario que el número actual de empresas que cuentan con seguros cibernéticos siga creciendo ante la gran amenaza de los ataques. Independientemente del tipo de empresa que se tenga, grande o pequeña, se corren grandes riesgos de sufrir una filtración de datos y sus consecuencias pueden ser muy graves para los negocios futuros.

En conclusión, cada vez son más los proveedores de estos servicios, aunque se enfrentan a diversos desafíos debido a la naturaleza cambiante de las amenazas cibernéticas. A medida que los proveedores vendan más pólizas, se recopilara más información gracias a los datos de reclamaciones que recogen para comprender los riesgos y elaborar mejores coberturas.