Tres de cada cuatro compañías españolas ha sufrido un ciberincidente en los últimos seis meses, según la consultora Deloitte. Según el Instituto Nacional de Ciberseguridad (Incibe), España es el tercer país del mundo que más ataques informáticos registran las empresas, y estos crecen a un ritmo del 200% anual. La señal de alerta ha despertado a las compañías de seguros que están diseñando cada vez más productos ante la que se prevé una creciente demanda. Pero las pequeñas y medianas empresas, las más desprotegidas, son todavía reacias a tomar precauciones ante la creencia de que no están en el objetivo. Pero se equivocan. El Centro Nacional de Inteligencia gestionó más de 38.000 incidentes graves de ciberseguridad en el 2018 en España. Los 'hackers' se están fijando en las firmas más desprotegidas.

La consultora Deloitte alerta de que el 76% de las empresas españolas ha tenido un ciberincidente con consecuencias significativas en los últimos seis meses. El estudio, basado en una encuesta realizada a más de medio centenar de grandes empresas, afirma que las compañías que destinan mayor inversión tecnológica en ciberseguridad reciben menos ataques. Las que invierten más del 10% de su presupuesto tecnológico en ciberseguridad reportan 0,6 incidentes al año, mientras que las que dedican menos del 10%, experimentan al menos tres. La media es un 8,5%. Las empresas que facturan entre 2.000 y 5.000 millones de euros son las que tienen un mayor número de incidentes al año, casi cuatro.

En el caso de las pymes, la mayoría se sienten poco o nada preparadas para hacer frente a un incidente de seguridad, por lo que opta por la opción de un ciberseguro, opinan los expertos de Deloitte. En opinión de José Luis Molero, director de desarrollo de Empresas de Mapfre, las grandes aseguradoras ya disponen en España de productos ante la creciente ciberamenaza: Al principio, solo estaban interesadas por este seguro las grandes empresas y ahora mismo cada vez son más las pymes que solicitan un presupuesto y contratan una póliza. Sobre las pymes, Molero considera que todavía el grado de concienciación es insuficiente y la partida presupuestaria sigue sin estar en su gerencia de riesgos o ser una prioridad.

Juan Carlos Díaz, corredor de seguros de Ferrer & Ojeda, que vende productos de los líderes del mercado como las aseguradoras AIG o Chubb, las empresas pequeñas consideran en general que no son objetivo para la ciberdelincuencia y al contrario, se están convirtiendo en un objetivo por su menor preparación para afrontar el problema. En su opinión, poco a poco empiezan a ser más conscientes de sus riesgos. Una de las claves de la utilidad del seguro es que la compañía ofrezca servicios sin franquicia en los momentos iniciales tras la presentación del parte de siniestro, opina Díaz. Suelen entrar en estos servicios las consultas a servicios jurídicos o los primeros remedios técnicos para evitar males mayores. Sin embargo, este experto admite que desde que un sistema se infecta por un malware por ejemplo y hasta que se pone en marcha el incidente transcurre un promedio de 256 días. Cuántos sistemas estarán infectados sin saberlo?.

Uno de los puntos que supuso un cierto cambio de actitud por parte de las empresas y se abrió el mercado de seguros fue el ataque Wanacry en el 2017, que afectó a más de 360.000 dispositivos electrónicos de más de 180 países, y el del malware Petya, que costó 250 millones solo a la naviera Maersk, tambien en el 2017. El alcance de ambos incidentes supuso un antes y después en el mundo de la ciberseguridad. En España también representó un cambio fundamental la entrada en vigor de la ley de protección de datos en el 2018. Según la ley, las sanciones por pérdida de datos relevantes de los clientes pueden llegar hasta a un 4% de la facturación consolidada o 20 millones de euros.

Según Rubén Frieiro, especialista de ciberseguridad de Deloitte, las estimaciones apuntan a que las primas emitidas en el 2025 llegarán a más de 25.000. Xavier Gracia, experto también de Deloitte opina que el gran reto es ahora que las pymes tengan capacidades suficientes para poder afrontar ataques poco sofisticados que a día de hoy no llegan a cubrir.

Las empresas reclaman que el seguro cubra la posible pérdida de datos personales de sus clientes. Ante el coste elevado de esa posibilidad, las grandes compañías aseguradoras están implementando este año servicios de auditoría previos a la contratación para analizar en profundidad las vulnerabilidades y ajustar la prima. Pero los riesgos son tan elevados en algunos sectores que algunas empresas no conseguirán contratar ningún ciberseguro. Es el caso del sector financiero, o los proveedores de servicios de internet, el sector salud, los call centers, las firmas de medios de pago, las de juegos de azar, de pornografía, las redes sociales de contactos o las compañías de suministros públicos.... El riesgo de pérdida de información o suspensión de los servicios es demasiado serio para que pueda asumir los costes un tercero.

CUESTIÓN DE PRECIO

El precio de los seguros varía mucho según facturación de la empresa, las medidas de protección y los límites de responsabilidad contratados. Al final, las compañías valoran los riesgos asumidos y el coste de sus servicios para definir esa prima como en cualquier otro seguro, pero los afrontan sin demasiada experiencia anterior, lo que no los hace especialmente baratos. En el caso de Mapfre, por ejemplo, es posible contratar un ciberseguro para una pyme de hasta 500.000 euros de facturación, por entre 600 y 800 euros anuales. El capital o pérdida asegurada será del orden de 300.000 euros.

Organizaciones de mayor tamaño pueden pagar por ejemplo 25.000 euros de prima anual para asegurar incidentes de hasta tres millones de euros en pérdidas, aunque con franquicias de miles de euros que desincentivan la ejecución completa de la póliza en caso de pequeños incidentes. Así, el seguro contempla habitualmente un periodo de asesoría y consultas y asistencia técnica durante un plazo de varios días tras la notificación del incidente, para después requerirse el pago de una franquicia. La razón es que las pérdidas pasado ese periodo de tiempo inicial pueden dispararse. Son estos ejemplos de un producto complejo en el que las compañías aseguradoras todavía tienen dificultades para calcular los riesgos. Además, el 30% de las empresas consideran que están poco o nada preparadas para hacer frente a un incidente de seguridad en su red, por lo que las consecuencias de un ataque serio pueden ser especialmente gravosas. Pero en la práctica se dan pocos casos de pago de siniestros todavía. Deloitte reconoce que "el 89% de las empresas que tienen un ciberseguro no lo han tenido que utilizar nunca".