¿Conviene contratar un seguro contra los ciberataques?

Nadie está obligado a comunicar los ciberataques que ha sufrido, así que solo nos enteramos de los más alarmantes. La semana pasada irrumpió como un tsunami el ransmoware bautizado como WannaCry. Más de 200.000 empresas de todo el mundo se han visto afectadas, entre ellas varias del Ibex 35, como Telefónica, Iberdrola, Gas Natural, Ferrovial o Indra. Rob Wzinwright, director de Europol, ha afirmado en la cadena británica ITV que nunca habían visto un ciberataque de tal magnitud, lo que pone de manifiesto que la gravedad de los virus puede ir en aumento a partir de ahora.

Pero, ¿cómo proteger a nuestra empresa frente a estas agresiones si, incluso, un 64% de los expertos en ciberseguridad dudan de que su compañía pueda defenderse contra un ataque, según una encuesta de Check Point? En el estudio The Growing Threat of Mobile Device Security Breaches participaron 410 directivos de seguridad de todo el mundo, procedentes de empresas de todos los tamaños y sectores. Se señala la falta de medios como la principal razón para no implementar una solución de seguridad para sus smartphones y tabletas.

• Primer paso: protección

Las aseguradoras no suelen aceptar cubrir a nadie que no esté debidamente protegido. El equipo dedicado a la ciberseguridad de Prosegur dispone de varios servicios orientados a las pymes con el fin de proteger sus negocios de posibles ciberataques. “Lo primero que realizamos es un análisis de la vulnerabilidad de la compañía. Para ello nuestros hackers éticos atacan a sus infraestructuras, con el fin de saber cómo están. El paso siguiente es tomar soluciones de prevención”, afirma Isaac Gutiérrez, director de estrategia de Prosegur Ciberseguridad, quien señala como el principal problema de las pymes el no sentirse amenazadas y que, por ello, o no cuentan con los sistemas adecuados de protección o no los tienen bien configurados.

Por esta razón la compañía de seguridad cuenta entre sus servicios con un programa de concienciación, además de sofisticadas soluciones de protección como la monitorización continua de los equipos del cliente. “Con esta acción somos capaces de ver en tiempo real lo que está ocurriendo en su red. Que una IP se conecte a un domino de un país que no es usual puede ser una voz de alarma”, explica Gutiérrez.

Pese a estas medidas, a veces es imposible evitar que se produzcan ataques, por ello Prosegur incluye en sus contratos el peritaje del posible daño, la recuperación de los datos y la vuelta al estado original de los equipos, además de un completo análisis forense.

• Segundo paso: contratar un seguro

Una vez que la empresa está bien protegida entra en juego la incipiente línea de negocio de las aseguradoras. El seguro de ciberriesgo es una medida de transferencia del riesgo desde las empresas a las aseguradoras, aunque como indica Iratxe San Pedro Gallego, subdirectora de responsabilidad civil del área de seguros no vida de Mapfre España, para poderlo contratar es imprescindible estar bien protegido.

El producto de Mapfre está dividido en dos bloques. El primero corresponde a todos los gastos de responsabilidad civil que puede llegar a costarnos un ciberdelito. En este entorno se incluyen los costes de notificación, el asesoramiento legal, la investigación forense e incluso una campaña de publicidad para mitigar el impacto de la vulnerabilidad en los medios. El segundo bloque cubre los daños propios: la restauración de los equipos, la recuperación de los datos y del software, el coste que haya podido ocasionar la interrupción del negocio y las multas y sanciones que puedan tener lugar por parte de la Agencia de Protección de Datos, entre otras coberturas.

Los precios varían muchísimo. Al tratarse de productos a medida, a las aseguradoras consultadas les resulta imposible poder ofrecer siquiera una banda en la que colocar las primas.

Aunque, como indica la experta, en España todavía no se contrata masivamente, la situación podría cambiar el año que viene. En 2018 entrará en vigor el nuevo reglamento europeo 2016/679 sobre tratamiento de datos personales y su libre circulación en el curso de una actividad comercial. “La cosa cambiará, ya que introducirá la obligación de informar de la brecha de seguridad a los perjudicados e incrementará las multas. Si ahora la más gravosa está en 600.000 euros, a partir de la reforma podrá llegar hasta los 20 millones”, concluye San Pedro.

• Las pymes, el objetivo preferido

Las pequeñas y medianas empresas, independientemente de su sector, son las más vulnerables. “Las pymes piensan que no son atractivas para los ciberdelincuentes, pero todo lo contrario. Los hackers saben de su vulnerabilidad por la falta de medidas de seguridad y lo aprovechan”, afirma San Pedro. La experta hace hincapié en que los casos de cibercrímenes se están disparando en los últimos años. “El crecimiento es imparable. En 2009 nos preocupábamos por 900 casos y en 2015 conocíamos 39.987 ataques en España, lo que no quiere decir que no ocurrieran mucho más, ya que no existe la obligación de informar de las brechas de seguridad, como sí ocurre en Estados Unidos”.

Distintos informes apuntan que un 70% de las ofensivas van dirigidas a pymes. Entre los ataques más comunes se encuentran el ya nombrado ransomwere, y el DDOS, técnica que consiste en colapsar una web hasta que deja de funcionar. También es frecuente el virus del CEO, que trabaja a partir de la suplantación de la identidad de la cuenta de correo del directivo de la compañía para solicitar el pago de una determinada cantidad de dinero a una persona dentro de la empresa con potestad para autorizar o realizar transferencias, que evidentemente no se corresponden con ninguna operación de la empresa.