¿Son los ciberseguros todavía viables en 2023?

Si bien 2020 fue muy deficitario para el micromercado de seguros cibernéticos, la Association for the Management of Risks and Insurance in Companies (AMRAE) señala que la situación se estabilizó en 2021, año en que este tipo de seguros alcanzó los 219 millones de euros y sigue creciendo. Si tenemos en cuenta el aumento de los ciberataques en los últimos años, no es de extrañar que este tipo de herramientas, lejos de ir a la baja, sigan captando mercado. Eso sí, la tasa de prima se ha duplicado y las condiciones de pago se han vuelto más exigentes en consonancia con el aumento de riesgo que sufren las empresas. De hecho, como según el Informe de Ciberpreparación 2022 de Hiscox, el 51% de las empresas españolas experimentaron un ciberataque en 2022, y el coste medio de cada uno se situó en 11.000€.

Según el mismo informe, el 64% de las empresas (un 6% más que el año anterior) tienen ya contratadas coberturas de este tipo, ya sea con un producto específico o como parte de otra póliza. Y es que estamos asistiendo a un aumento de la demanda, debido a dos factores principales según Benjamín Losada, suscriptor especializado en riesgos ciber de Hiscox España. “En primer lugar, de nuevo, en un contexto cada vez más digital, la ciberseguridad está cada vez más presente en las mentes de los empresarios. Por otro lado, también aumenta el riesgo precisamente porque los ciberataques son cada vez más sofisticados, con la incertidumbre que ello genera. En este contexto, la colocación del riesgo resulta mucho más complicada y el mercado está respondiendo con un aumento de las primas y un endurecimiento de las condiciones de contratación”.

Teniendo en cuenta todo esto, es comprensible que el debate en torno a la relevancia de los seguros cibernéticos, que en particular plantea dudas sobre su efectividad, su despliegue y el alcance real de la cobertura ofrecida, esté en pleno auge. De hecho, los expertos legales de Cohesity descubrieron, después de analizar los principales seguros de ransomware en el mercado a finales de 2022, que las garantías actuales son poco más que limitaciones de responsabilidad que benefician a los proveedores, y no a los clientes.

El consejero delegado de Zurich Insurance también declaró en una entrevista con el Financial Times que los ciberataques pronto se convertirán en " no asegurables ", ya que el seguro y la prevención se han mostrado comúnmente ineficaces tanto frente a los ciberataques como para la recuperación efectiva de datos. De momento, “las aseguradoras nos estamos viendo obligadas a ser más rigurosas con la gestión del riesgo y el análisis de las empresas a asegurar, teniendo en cuenta tanto su condición particular como por la situación general” asegura Losada.    

Riesgo cibernético en auge

Sin embargo, este tipo de seguros siguen siendo la solución elegida por muchas empresas pues los incidentes cibernéticos se han convertido en el riesgo más importante para las empresas a nivel global, superando incluso al de pérdida de beneficios, según apunta el Barómetro de Riesgos de Allianz 2023. De hecho, según los datos de una de las principales reaseguradoras, Swiss Re, todo apunta a un crecimiento anual de las primas mundiales de ciberseguro del 20% hasta 2025.

Como destaca este informe, los incidentes cibernéticos e interrupción del negocio siguen apareciendo, por segundo año consecutivo, como los mayores riesgos para las compañías (ambos con el 34% de las respuestas). Y no es de extrañar pues se ha comprobado que las consecuencias de los ciberataques van mucho más allá del equipo informático: puede provocar desde daños materiales a pérdidas intangibles o perjuicios a terceros, muchas veces relacionados con la exposición de información confidencial, preservada por el Reglamento General de Protección de Datos (RGPD).

En lo que afecta al robo de datos, las cifras hablan por sí solas: en España, el 48 % de los ciberataques supone el robo de datos. De hecho, el último estudio de Veeam, revela que el 93% de los ciberataques se dirigen al almacenamiento de las copias de seguridad para debilitar la capacidad de recuperación de las organizaciones frente a un ataque y forzar así el pago de un rescate. Además, aunque las grandes empresas sufren los ataques con mayor valor económico unitario, las pymes son las más afectadas, en la medida en que reciben el 70% de los ataques en España, según datos del Instituto Nacional de Ciberseguridad (Incibe), ya que son más vulnerables al no contar con buenas infraestructuras digitales.

La mayoría de las aseguradoras ya cuenta con este tipo de pólizas, con una serie de coberturas comunes como indemnizaciones por responsabilidad civil, daños a los sistemas informáticos, asistencia legal o el soporte tecnológico, pero algunas, incluso, incorporan ya la pérdida de beneficios tras la interrupción del negocio o una extorsión y recomendaciones de ciberseguridad preventivas.

Según apunta Juan Manuel Criado, CEO de Xeoris, el de los ciberseguros “es un mercado que dispone de oferta desde hace pocos años y la penetración no llega al 0,5% de las empresas españolas. Es lo que los americanos llaman un “Océano Azul”, un producto necesario y valorado y en el que está todo por hacer”.

La demanda de ciberprotección como parte de la mitigación de riesgos ha aumentado mucho a pesar de los fuertes incrementos en el precio de la cobertura. Sin embargo, el aumento de las primas de renovación cibernética se está desacelerando, con aumentos de las tarifas en el cuatro trimestre de 2022 del 15%, considerablemente por debajo del aumento récord del 34% en el cuatro trimestre de 2021, según la encuesta del Consejo de Agentes y Corredores de Seguros (CIAB).

“Una empresa que cuenta con un ciberseguro tiene, principalmente, la capacidad para mitigar el impacto económico de un ciberataque de cualquier tipo, consecuentemente asegurando la continuidad del negocio pese a un incidente. Este punto es fundamental, ya que, en 2022, el porcentaje de las empresas que se vieron obligadas a despedir personal tras un ciberataque se duplicó, pasando de un 5% en 2021 a un 11% el pasado año” explica Losada.

Además de estas ventajas, tal y como apunta el directivo de Xeoris: “directivas europeas como NIS2 (que serán obligatorias en 2025 en España) van a trasladar obligaciones a las empresas que harán que el ciberseguro se convierta en un producto prácticamente obligatorio para cualquier negocio interconectado, por los servicios que ofrece, y por los riesgos tanto económicos como jurídicos que elimina al mundo empresarial”.

Para Jean-Baptiste Grandvallet, ingeniero de sistemas de Cohesity, "las organizaciones tienen todo el interés en centrar sus esfuerzos en la recuperación de datos en caso de ataques. Un reto superable si se aplican medidas reales de prevención”. Por ello, la evolución de los ciberseguros en particular, y de la ciberseguridad en general, va hacia a la prevención. Además de incluir protección frente a incidentes o fallos del sistema, los ciberseguros ofrecen ya también servicios adicionales y preventivos. Es el caso de Hiscox CyberClear 360º al que desde la empresa llaman “un seguro de nueva generación”, ya que, incluye acceso a una red de expertos líderes en ciberseguridad.