¿Conviene contratar un seguro contra los ciberataques?
Las pymes son un blanco fácil para los hackers. Algunas firmas ofertan pólizas a medida para cubrir daños causados por ciberdelincuentes
Nadie está obligado a comunicar los ciberataques que ha sufrido, así que solo nos enteramos de los más alarmantes. La semana pasada irrumpió como un tsunami el ransmoware bautizado como WannaCry. Más de 200.000 empresas de todo el mundo se han visto afectadas, entre ellas varias del Ibex 35, como Telefónica, Iberdrola, Gas Natural, Ferrovial o Indra. Rob Wzinwright, director de Europol, ha afirmado en la cadena británica ITV que nunca habían visto un ciberataque de tal magnitud, lo que pone de manifiesto que la gravedad de los virus puede ir en aumento a partir de ahora.
Pero, ¿cómo proteger a nuestra empresa frente a estas agresiones si, incluso, un 64% de los expertos en ciberseguridad dudan de que su compañía pueda defenderse contra un ataque, según una encuesta de Check Point? En el estudio The Growing Threat of Mobile Device Security Breaches participaron 410 directivos de seguridad de todo el mundo, procedentes de empresas de todos los tamaños y sectores. Se señala la falta de medios como la principal razón para no implementar una solución de seguridad para sus smartphones y tabletas.
- Primer paso: protección
España es un coladero
España, tras Estados Unidos y Reino Unido, es el tercer país con más ciberataques del mundo. Su propagación es indiscutible. El Instituto Nacional de Ciberseguridad contabilizó 115.000 casos en 2016, un 130% más que los 50.000 registrados durante el año anterior. Si estos datos por sí solos son alarmantes, desde el Instituto han manifestado que la realidad puede serlo más, ya que no existe, de momento, la obligación de anunciarlos y algunas empresas deciden no hacerlo, entre otras razones por entender que un ataque de estas circunstancias puede suponer un desprestigio para su entidad.
Las aseguradoras no suelen aceptar cubrir a nadie que no esté debidamente protegido. El equipo dedicado a la ciberseguridad de Prosegur dispone de varios servicios orientados a las pymes con el fin de proteger sus negocios de posibles ciberataques. “Lo primero que realizamos es un análisis de la vulnerabilidad de la compañía. Para ello nuestros hackers éticos atacan a sus infraestructuras, con el fin de saber cómo están. El paso siguiente es tomar soluciones de prevención”, afirma Isaac Gutiérrez, director de estrategia de Prosegur Ciberseguridad, quien señala como el principal problema de las pymes el no sentirse amenazadas y que, por ello, o no cuentan con los sistemas adecuados de protección o no los tienen bien configurados.
Por esta razón la compañía de seguridad cuenta entre sus servicios con un programa de concienciación, además de sofisticadas soluciones de protección como la monitorización continua de los equipos del cliente. “Con esta acción somos capaces de ver en tiempo real lo que está ocurriendo en su red. Que una IP se conecte a un domino de un país que no es usual puede ser una voz de alarma”, explica Gutiérrez.
Pese a estas medidas, a veces es imposible evitar que se produzcan ataques, por ello Prosegur incluye en sus contratos el peritaje del posible daño, la recuperación de los datos y la vuelta al estado original de los equipos, además de un completo análisis forense.
- Segundo paso: contratar un seguro
Una vez que la empresa está bien protegida entra en juego la incipiente línea de negocio de las aseguradoras. El seguro de ciberriesgo es una medida de transferencia del riesgo desde las empresas a las aseguradoras, aunque como indica Iratxe San Pedro Gallego, subdirectora de responsabilidad civil del área de seguros no vida de Mapfre España, para poderlo contratar es imprescindible estar bien protegido.
Los ataques recientes más sonados
En 2014 conocíamos que varios hackers robaron a Yahoo más de 500 millones de claves de usuarios y estuvieron varias semanas extrayendo datos. Ese mismo año, Sony sufrió un robo de varias películas sin estrenar y correos. En esta ocasión los hackers intentaban evitar el estreno de la película The Interview, una cinta que narra un complot para asesinar al líder norcoreano Kim Jong-Un. Otro complot de gran magnitud ocurrió en Estados Unidos, esta vez el ataque fue a la pequeña empresa proveedora de servidores de internet, Dyn. Twitter, Amazon, The Wall Street Journal, Airbnb, Spotify y Paypal fueron algunos de los sitios a los que se les interrumpió el acceso.
El producto de Mapfre está dividido en dos bloques. El primero corresponde a todos los gastos de responsabilidad civil que puede llegar a costarnos un ciberdelito. En este entorno se incluyen los costes de notificación, el asesoramiento legal, la investigación forense e incluso una campaña de publicidad para mitigar el impacto de la vulnerabilidad en los medios. El segundo bloque cubre los daños propios: la restauración de los equipos, la recuperación de los datos y del software, el coste que haya podido ocasionar la interrupción del negocio y las multas y sanciones que puedan tener lugar por parte de la Agencia de Protección de Datos, entre otras coberturas.
Los precios varían muchísimo. Al tratarse de productos a medida, a las aseguradoras consultadas les resulta imposible poder ofrecer siquiera una banda en la que colocar las primas.
Aunque, como indica la experta, en España todavía no se contrata masivamente, la situación podría cambiar el año que viene. En 2018 entrará en vigor el nuevo reglamento europeo 2016/679 sobre tratamiento de datos personales y su libre circulación en el curso de una actividad comercial. “La cosa cambiará, ya que introducirá la obligación de informar de la brecha de seguridad a los perjudicados e incrementará las multas. Si ahora la más gravosa está en 600.000 euros, a partir de la reforma podrá llegar hasta los 20 millones”, concluye San Pedro.
- Las pymes, el objetivo preferido
Las pequeñas y medianas empresas, independientemente de su sector, son las más vulnerables. “Las pymes piensan que no son atractivas para los ciberdelincuentes, pero todo lo contrario. Los hackers saben de su vulnerabilidad por la falta de medidas de seguridad y lo aprovechan”, afirma San Pedro. La experta hace hincapié en que los casos de cibercrímenes se están disparando en los últimos años. “El crecimiento es imparable. En 2009 nos preocupábamos por 900 casos y en 2015 conocíamos 39.987 ataques en España, lo que no quiere decir que no ocurrieran mucho más, ya que no existe la obligación de informar de las brechas de seguridad, como sí ocurre en Estados Unidos”.
Distintos informes apuntan que un 70% de las ofensivas van dirigidas a pymes. Entre los ataques más comunes se encuentran el ya nombrado ransomwere, y el DDOS, técnica que consiste en colapsar una web hasta que deja de funcionar. También es frecuente el virus del CEO, que trabaja a partir de la suplantación de la identidad de la cuenta de correo del directivo de la compañía para solicitar el pago de una determinada cantidad de dinero a una persona dentro de la empresa con potestad para autorizar o realizar transferencias, que evidentemente no se corresponden con ninguna operación de la empresa.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.