La pandemia hizo que el teletrabajo se implementase en la mayoría de las empresas españolas. También hizo que se abriesen brechas de seguridad y quedasen al descubierto muchos datos y servidores de esas empresas. Los hackers vieron la oportunidad y aumentaron los ciberataques. Las aseguradoras vieron el problema y empezaron a crear productos que protegiesen de estos ciberataques. Según datos de Sophos, cada vez más empresas contratan póllizas de ciberseguros. El 83% de las compañías españolas ya cuentan ellos como ayuda para recuperarse de un ataque de ransomware. De hecho, siete de cada diez firmas en España fueron víctimas de un incidente de este tipo en 2021.

Uno de los segmentos más vulnerables es el de las pymes, ya que los efectos de un ciberataque son devastadores para ellas, no por lo que atacan, sino porque no tienen el músculo financiero suficiente para afrontar el coste. Mapfre se ha percatado de este problema y lanzó en junio CIBER On, un seguro de ciberriesgos para pymes y autónomos. Carolina González Martín del Río es la directora Técnica de Responsabilidad Civil de Mapfre España y explica que con las pymes y autónomos importa el seguro, pero importa más la prevención. 

Pregunta.- La pandemia, la guerra… son dos acontecimientos que han aumentado los ciberataques ¿en Mapfre habéis visto aumentar el interés por los ciberseguros?

Respuesta.- Hay mucho interés porque es un seguro que está de moda y va a estar en aumento en los próximos años. Los hábitos de consumo y la forma de comunicarse han cambiado. La digitalización ha traído cosas buenas, pero a la vez entraña riesgos. Es una oportunidad porque podemos desarrollar nuevos productos que permitan todos estos peligros a los que estamos expuestos. Es cierto que la pandemia ha hecho que se hayan incrementado el número de ciberataques. El ransomware (secuestro de datos), según Google, se ha incrementado un 60%. 

Con la transformación digital las empresas han evolucionado, pero también lo han hecho los métodos de ataque. El riesgo cero no existe. Desde el sector asegurador se ha comentado acompañar a las empresas para que puedan desarrollar su actividad con normalidad. En los tiempos de crisis y de incertidumbre, es cuando el seguro tiene que estar ahí y servir como soporte para que la sociedad esté tranquila. 

Es importante el papel, no solo en la mitigación de riesgos, sino también en la prevención. 

P.- Mapfre vio la necesidad de que las pymes y autónomos estuvieran protegidos y creasteis CIBER On ¿en qué consiste?

R.- Es un seguro sencillo, pero novedoso. Va destinado a empresas con una facturación de hasta 10 millones de euros. El objetivo es que el cliente esté protegido con la mejor cobertura frente a ciberataques, pero también que tenga unos equipos especializados a su disposición para prevenirlos.

Cuando creamos este seguro nos quisimos poner en la piel de una pyme y de un autónomo para pensar que es lo que más les puede preocupar en el momento de un ciberataque. Lo primero es proteger su patrimonio frente a las reclamaciones que le puedan venir de terceros por perjuicios por una brecha de seguridad. Proteger su patrimonio por un daño propio, daño en su propio sistema informático y si hay algún daño solucionarlo de la manera más rápida. Y la tercera preocupación que vimos es las pérdidas que se producen por la interrupción del negocio, por lo que buscan una solución rápida.

Lo que queríamos con este seguro era que el cliente tenga a su disposición unos servicios especializados y tener la mejor cobertura frente a cualquier ciberataque. Para cubrir la responsabilidad civil por la pérdida de datos de terceros, cubrir los daños de los sistemas informáticos del asegurado, cubrir la interrupción de su negocio y cubrir una serie de servicios adicionales que nos parecían muy relevantes. Así, Ciber On ofrece un soporte tecnológico 24 horas, 7 días a la semana y ofrece unos servicios tecnológicos que son imprescindibles para recuperar la normalidad en la actividad. 

Creo que es importante no solo que la compañía te indemnice cuando sufre un ciberataque sino contar con una serie de servicios para prevenir ese ciberataque.

En resumen, este ciberseguro cuenta con una cobertura de protección de datos que cubre los gastos de restitución de imagen, la multa o sanción de la Agencia de Protección de Datos. Además, dotamos al seguro de una serie de servicios adicionales, que las pymes valoran, porque entre su equipo no cuentan con expertos en esta materia.

P.- ¿Qué es lo que no cubre el seguro?

R.- La póliza cubre todo lo que deriva de un ciberataque, pero no todo está cubierto. Hay aspectos que quedan fuera. Por ejemplo, no cubre el pago que se haga a los hackers cuando secuestran el sistema. Lo que cubrimos es la intervención inmediata de los expertos para descodificar e instalar las copias de seguridad que tengas. 

También nos preguntan si cubriríamos estos ataque si están soportados por terroristas o por otro estado, pero es una exclusión, no se cubre la guerra ni el terrorismo, no sería posible que una compañía privada cubriera el coste que esto podría suponer. 

Se está estudiando que estas posibles pérdidas ocasionadas por el ciberterrorismo se pudieran cubrir mediante mecanismos público-privados. 

Para poder contratar CIBER On, las pymes tienen que tener instalado un anti ransomware, tener actualizado el sistema y que el software esté comprado al fabricante, es decir, no tener productos piratas. El riesgo cero no existe, así que hay que tener prevención. 

P.- Los ciberataques son cada vez más constantes y más sofisticados ¿Este seguro está en constante evolución?

R.- El mercado evoluciona, estos seguros son incipientes y hay cierta dificultad. Para hacer un seguro hacemos una proyección del comportamiento futuro basado en la experiencia pasada y en este caso es que no hay experiencia suficiente, cuando haya un mayor pasado podremos hacer mejor seguro.

Hay que tener claro que es imposible que una empresa esté protegida 100%. Es importante conocer las vulnerabilidades de la empresa para poder ponernos en la mente de los atacantes. El mercado evoluciona, estos seguros todavía no están maduros y se sigue avanzando en la modelización y en una mayor estandarización de las coberturas, para que los productos tengan más alcances. Se espera una mayor integración por parte europea, de los organismos reguladores. Para poder valorar el riesgo a nivel global tenemos que tener más datos y que estén todos estandarizados, así conoceríamos mejor a los atacantes. Necesitamos informes de mercado generalizados, para ver lo que pasa en todo el mundo y así hacer un seguro más adecuado. 

P.- ¿Se ha incrementado también el número de siniestros?

R.- Incibe ha gestionado más de 130.000 incidentes de ciberseguridad durante el año 2020, el 35% correspondían a malware, el 32% a otros tipos de fraude y un 17% a vulnerabilidades en el sistema. A nosotros sobre todo nos llegan siniestros de secuestros de información. Lo primordial es actuar cuanto antes para que la empresa reanude su actividad cuanto antes. Lo que más estamos viendo son consultas previas, es decir, las pymes sobre todo utilizan los productos de valor añadido que ofrece el seguro, es decir, instalar un antivirus, hacer un estudio de las vulnerabilidades….

Está claro que se nota el incremento, aunque estamos en unas cifras bastante buenas. También es cierto que el coste de los ataques a una pyme no es tan alto como a una gran empresa, pero los efectos en una pyme son devastadores porque no tienen músculo suficiente para afrontar con su cuenta de resultados el coste de un ciberataque.

P.- Uno de los requisitos para contratar este seguro es que no haya nada pirata ¿son las pymes muy piratas?

R.- Cada vez menos. No es igual que hace unos años, que siempre se cogía tal programa de un sitio o te lo pasaba algún conocido. Hay mucha más concienciación y somos más conscientes de que no depende únicamente de contratar un seguro, sino que el usuario tiene que ser cada vez más diligente. Todos estamos más que acostumbrados a no abrir un correo sospechoso que no conoces al remitente y lo del software pirata es una de las cosas que ya no nos lo encontramos. 

Sí que nos encontramos otras cosas de las que no son tan conscientes como que no dispongan de firewall. Hacemos una labor de concienciación, porque en el momento en el que contratan el ciberseguro ya pueden hacer uso de los servicios adicionales, que es lo que más valoran los clientes. Es que se puede usar en el momento en el que se contrata, porque desde ese momento la pyme puede llamar e instalarte un antivirus, hacerte un chequeo de todos tus sistemas, te puede asesorar en materia de protección de datos, hay que ir sembrando en la cultura de la prevención y como el riesgo no existe por eso es necesario contar con el seguro.