El Informe Global de Riesgos 2019 del Foro Económico Mundial, realizado junto a Marsh & McLennan Companies, señala que el robo de datos, el fraude digital y los ciberataques son los principales riesgos por probabilidad para este año. Y los empresarios lo saben. Según el Allianz Risk Barometer 2019, elaborado por Allianz Global Corporate & Specialty, los ciberriesgos están primeros (junto a la interrupción del negocio) en el ranking de los riesgos más temidos por las empresas a nivel mundial, índice del que participaron 2.415 expertos de 86 países.

Teniendo en cuenta que el 94% de la documentación comercial del mundo es digital, es bien obvia la preocupación. Todo abona a la imagen de la propagación de los virus informáticos al mejor estilo apocalipsis zombie.

EMERGENTE. Sin embargo, desde la óptica del risk management y de la industria aseguradora, el ciberriesgo califica de emergente. No que es que los hackers sean algo nuevo, sino que el terreno sobre el que trabajan es cada vez más fértil y el daño que pueden hacer va tomando dimensiones cinematográficas.

Martín Elizalde, abogado especialista en seguridad informática y partner de Foresenics, entiende que, de los riesgos a cubrir por la industria de seguros, el cibernético es el más importante. “Nada es comparable al riesgo informático, por la magnitud, la amplitud y la dispersión de los daños y las víctimas. Es muy difícil predecir, su escala puede ser catastrófica y tiene una falta total de direccionalidad y de lógica”, indica el especialista que asesora a las aseguradoras para la confección de este tipo de coberturas.

Alcides Ricardes, CEO de ReSolutions, una empresa de RiskGroup Argentina, sostiene que el mercado internacional tiene a disposición un producto sólido para los hechos de violación de la seguridad y/o de la privacidad: “Cubre dos grandes frentes: por un lado, la responsabilidad civil hacia terceros y, por otro, el daño material propio, aspecto que tiende a cubrir los gastos de remediación para volver a la situación anterior de seguridad y privacidad”. Este directivo remarca que la cobertura disponible es compleja y amplia y que puede cubrir hasta el lucro cesante.

Para los especialistas hoy hay un buen producto con una prima adecuada, pero estiman que, a medida que se vaya desarrollando la siniestralidad, es esperable que las coberturas se empiecen a restringir y que las primas aumenten. “El momento para entrar es hoy”, remarca Ricardes. ReSolutions hoy trabaja un producto de reaseguro con enfoques diferentes para pymes y grandes empresas.

Matías Ferrari, Facultative Senior Broker del bróker de reaseguros Special Division, observa el mismo escenario: “A nivel internacional, hace diez años que se habla de Cyber y las coberturas disponibles son sólidas. Hoy, por el desarrollo que alcanzaron, los reaseguradores están armando Departamentos específicos de Cyber”. Ferrari recuerda la primera vez que cotizó este seguro: fue en 2011, en forma facultativa y con el Lloyds. “En aquel momento, por una cuestión de costos, resultó invendible en Latinoamérica. Ahora los límites y las primas se acomodaron a la realidad de esta región y a la de las distintas empresas. Incluso hoy los reaseguradores nos proponen ofrecer Cyber como adicional de otras coberturas, para penetrar con este seguro en el mercado”, agrega.

MOTOR. El desarrollo de esta cobertura está directamente relacionado con la legislación. “En los países en los que estos seguros fueron ganando terreno, el factor que motorizó las ventas fue la normativa que obliga a las empresas, por un lado, a preservar la información y tener controles adecuados y, por otro, a reportar las violaciones de seguridad que puedan afectar datos de terceros”, señala Ricardes.

El pionero fue en los Estados Unidos, país que comenzó a imponer a las empresas cargas preventivas, pero también reactivas muy onerosas. Cada Estado le da un tratamiento diferente, pero en general ante un evento de esta naturaleza las empresas tienen que notificar a cada damnificado que su información se vio comprometida por una fuga de datos. Además, deben hacer un monitoreo del crédito y, por ejemplo, garantizar que a esas personas no les suplanten la identidad. El costo de estas acciones post ataque son altísimo multiplicados por la cantidad de terceros afectado en cada caso.

Valga un ejemplo para dimensionar. La central de reservas de Marriott, la mayor cadena hotelera del mundo, fue hackeada el año pasado y los datos (número de pasaporte incluido) de 500 millones de huéspedes quedaron expuestos. Marriottdebió comunicar el ataque a la comunidad, notificar a cada damnificado y, además, ofrecer a sus clientes en los Estados Unidos una suscripción de un año a un servicio de detección de fraudes.

“En América Latina, en cambio, las legislaciones son más preventivas que reactivas. En la Argentina, por ejemplo, no es obligatorio reportar los ataques cibernéticos. Por eso, si bien hay muchos episodios, no los conocemos”, señala Paulina Vélez Gómez, Cyber Broker de Latin America & Caribbean de Marsh.

GDPR Y UN CAMBIO DE PARADIGMA. El 25 de mayo de 2018, la Comunidad Europea puso en vigencia un nuevo y estricto Reglamento General de Protección de Datos Personales (GDPR por sus siglas en inglés) que tiene la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE). También se ocupa de la exportación de datos personales fuera de esa región. Tiene un enfoque muy preventivo y también reactivo: prevé multas de hasta el 4% de la facturación anual de las empresas.

Eventos bomba como el robo de información crediticia más importante de la historia fueron impulsores de este endurecimiento de normas: recordemos que los datos de 147 millones de ciudadanos de los EE.UU., Canadá y Reino Unido fueron filtrados mediante un hackeo a Equifax, una de las mayores agencias que realiza análisis crediticios (y que está a cargo del Veraz en la Argentina).

“Estas exigencias se irán extendiendo cada vez más y con el tiempo las empresas de todo el mundo tenderán a manejarse con los mismos estándares de seguridad”, prevé el CEO de ReSolutions. En la misma línea opina Roberto Heker, Roberto Heker es socio de NextVision, empresa de ciberseguridad con ma?s de 28 an?os en el mercado tecnolo?gico. Es además cofundador y CEO de NextVision Iberia. “Esta normativa elevará los estándares de seguridad a nivel mundial”. Este experto señala: “En la Argentina, de hecho, se estudia una actualización de la vigente ley de Protección de Datos Personales 25.326”.

Con la cancha marcada por este factor motorizante, la estimación es que el volumen de mercado para el seguro cibernético aumente a US$ 8 ó 9 mil millones para 2020.

SECUESTRO ONLINE. Los especialistas consultados por Estrategas coinciden en que otro factor que motoriza la demanda de coberturas son los ataques masivos que se visibilizan, como el famoso WannaCry. El 12 de mayo de 2017, este ransomware afectó a más de 230 mil computadores de más 150 países. Durante un ataque de este tipo los datos de las víctimas son encriptados y se solicita un rescate económico -pagado con la criptomoneda Bitcoin- para permitir de nuevo el acceso a los mismos. El servicio nacional de salud de Gran Bretaña (NHS), Telefónica de España, FedEx, la empresa ferroviaria alemana Deutsche Bahn y las aerolíneas LATAM fueron algunas de las empresas más afectadas por WannaCry. Los perpetradores de estos ataques en general piden rescates de entre US$ 200 y 500 por usuario y en aquella oportunidad lograr recaudar un total US$ 140 mil, nada comprado con los millones en daños que ocasionaron.

¿Cuántas personas vieron vulnerada su intimidad con WannaCry? No se sabe. Y esa es una preocupación latente para las aseguradoras: es potencialmente infinita la cantidad de demandas que pueden surgir tras eventos como éste. Si hay damnificados, habrá juicios, y si hay juicios habrá abogados que tal vez se interesen en explotar este nuevo nicho. ¿Habría lugar para una industria del juicio en este negocio emergente? “Por ahora es un tema desconocido incluso para los damnificados que no se enteran que sus datos fueron vulnerados, o que no saben que pueden demandar a la empresa que los expuso. Hay que ver cómo evoluciona a medida que vaya creciendo la conciencia sobre esto en la población”, anticipa Ferrari.

En principio se puede decir que la siniestralidad no está desarrollada aún, pero hay que tomar nota de los pronósticos: un reporte de ciberseguridad de Cisco indica que los ataques de ransomware están creciendo a una tasa anual del 350%. “En la Argentina durante 2017, nosotros llegamos a atender 11 casos de ransomware en un mes. Hay infinidad de ataques de este tipo”, subraya Elizalde. “La puerta de acceso más habitual es el phishing que en general aparece en forma de mail engañoso. Cuando la víctima lo abre, se instala un malware en el sistema y ahí empiezan los problemas”, describe Ricardes.

Pagar o no pagar, esa es la cuestión. “El pago del rescate está cubierto por el seguro disponible a nivel internacional, pero todos los esfuerzos apuntan a evitar pagarlo porque eso te hace vulnerable. El foco importante se pone los trabajos preventivos y los protocolos de acción previstos antes un siniestro”, señala Ricardes. “No tenés garantías de que luego del pago procedan a devolverte la información completa, sana y sin quedarse copias. No lo recomiendo”, advierte Heker.

Según Elizalde, en el mercado internacional “los contratos de ciberseguros tienen cláusulas de colaboración específicas y muy relevantes” que definen que el tomador de la cobertura debe cooperar para evitar el siniestro y, en caso de que ocurra, para reportarlo y abordarlo de manera proactiva. “No estoy viendo que estas cláusulas de colaboración se estén desarrollando con la amplitud que ameritan en el mercado local -advierte el experto de cara a las aseguradoras que en la Argentina empezaron a recorrer este camino-. Estos contratos deben ser manejados por gente que tenga conocimientos técnicos y legales. Deben saber mucho de tecnología pero también, por ejemplo, deben conocer la legislación que define los alcances de la responsabilidad del asegurado y la que limita el accionar de la aseguradora al momento de peritar un siniestro, porque no se puede hacer cualquier tipo de investigación forense cuando se trata de datos personales protegidos por ley”.

Elizalde, además, recomienda con énfasis protocolos de auditoria del nivel de seguridad informática del asegurado. De cara al consumidor, Heker enfatiza que “lo más importante es detectar las posibles vulnerabilidades que puedan generar brechas de seguridad o afectar la continuidad operativa y trabajar sobre ellas para minimizarlas”.

SEGUROS LOCALES.  La combinación de normativas más reactivas a nivel mundial y la sonoridad de los casos catastróficos que pudimos leer en todos los diarios, está abriendo paso al desarrollo de un mercado local de ciberseguros.

Para Ferrari, por ahora hay más gente hablando de estos seguros que comprándolos: “La demanda no explotó aún, los pedidos de cotización en los últimos años se cuentan con los dedos de una mano. Hoy debe haber solamente cuatro o cinco pólizas de Cyber emitidas en la Argentina”.

Lo cierto es que, de hecho, en nuestro país ya hay cuatro aseguradoras que tienen disponible esta cobertura: Chubb, Meridional, Sura y Zurich.

Sobre ellos, Vélez Gómez señala: “Se percibe una falta de estandarización, lo que dificulta mucho el entendimiento de estos seguros para los clientes y para los intermediarios”. Está claro que para analizar la oferta se requiere de una revisión pormenorizada de cada póliza; sin embargo esta experta ofrece un pantallazo general: “Son muy diferentes entre sí, pero todos tienen en común tres secciones básicas de coberturas: 1) Pérdidas propias, que son las afectaciones que sufre el asegurado como consecuencia de un ataque, un error humano o un error de programación, vinculados a los sistemas. Pueden ser pérdidas financieras, por ejemplo el lucro cesante por interrupción del negocio, y también gastos en los que deba incurrir en caso de siniestro, por ejemplo para la reconstrucción de la información. 2) Responsabilidad Civil, cuando se le causa un daño o perjuicio a un tercero a partir de la vulneración de su información personal o si se infectan sus sistemas a partir de un ataque al sistema del asegurado. En general, este seguro cubre las indemnizaciones que deba hacer el asegurado y los gastos de su defensa. También se puede incluir la RC por la publicación de contenidos en medios digitales, por ejemplo, si se genera un reclamo como consecuencia de la publicación en una página web o en redes sociales de una foto o diseño con derechos de autor que no fueron debidamente solicitados y pagados. 3) Costos para la gestión de crisis, cobertura que se activa al mismo tiempo que la primera o la segunda, y que apunta a cubrir los gastos en que se incurre para la contención y remediación del evento, por ejemplo, la contratación de expertos en relaciones públicas, forense de IT o liquidadores especialistas”.

LAS COBERTURAS. Estrategas habló con dos de los protagonistas para conocer más detalles.

Meridional Seguros ofrece la cobertura desde hace unos diez años a través de Grandes Riesgos. “A fines de 2018 fuimos la primera compañía en tener el texto específico del producto aprobado por la SSN, lo cual nos permite asegurar a empresas sin importar su magnitud”, detalla Romina Tritten, responsable de Líneas Financieras de Meridional.

Dentro de las coberturas básicas de la póliza de Meridional se encuentran gastos de defensa (civiles, por investigación regulatoria), demandas de terceros cuando los datos fueron divulgados (ya sea por fraude de un empleado, por error, omisión, negligencia o hackeo) y gestión de incidentes (investigaciones, sanciones administrativas, restitución de la imagen personal y de la sociedad/compañía, gastos de notificación y monitoreo, datos electrónicos). “La suma asegurada máxima que estamos otorgando para este producto es de 10 millones de dólares”, puntualiza la ejecutiva. En sus palabras, se trata de un producto de suscripción muy ágil ya que, para contratar el seguro, la empresa sólo debe enviar su último balance anual y completar un cuestionario muy sencillo. “Apunta a todo tipo de empresas que manejen datos sensibles, como bancos, empresas manufactureras, de servicios, de tecnología, etc., siempre que cumplan con determinados requisitos de seguridad”, señala Tritten.

Seguros Sura, por su parte, está lanzando el producto de riesgos cibernéticos en los nueve países de Latinoamérica en los que opera. Juan Ramallo, líder de Líneas Comerciales y Segmento Corporativo de la compañía, cuenta que en la Argentina registró a fines de 2018 dos textos en la SSN, uno enfocado al segmento corporativo y otro al segmento pyme. “El primero tendrá una suscripción del riesgo más compleja, con análisis de cierta información. A las pymes, en cambio, las podremos asegurar sin más datos que su nombre”, diferencia. El seguro tiene tres coberturas principales y Ramallo las detalla: “Daños a terceros (RC por revelar información confidencial, RC por software malicioso o virus informático y RC por publicación en medios digitales), Daños propios (recuperación de la información digital, interrupción de la actividad empresarial, extorción cibernética y transacciones bancarias fraudulentas), y Manejo de crisis (protección a la reputación, gastos de defensa, gastos forenses y gastos sin previa autorización)”. Además, incluye un servicio de asistencia que el ejecutivo destaca: “Nuestra asistencia tiene dos focos, el soporte técnico y el apoyo en caso de siniestros, ambos 24×7, y con tres instancias: telefónica, conexión remota y presencial. Es una solución integral”.

Ante un ataque ransomware, la cobertura de Sura pone a disposición un experto mediador y, además, el reintegro del monto del pago del rescate. “Lo estudiamos bastante y habrá que seguirlo muy de cerca. Es un tema sensible”, anticipa Ramallo.

Ciertamente lo es. Los hackers están aplicando economía de escala. En vez de atacar a una sola empresa grande, atacan a miles y miles de empresas chicas cuyos sistemas son más fáciles de vulnerar y que, además, son más propensas a pagar para recuperar sus datos.

En la mira de estos ataques también estamos las personas de a pie. Y, obviamente, somos target para el desarrollo de nuevas coberturas. “Sura Colombia lanzó el año pasado un producto de Cyber para individuos. Ese es el camino, tarde o temprano”, cierra Ramallo.