Seguro de Ciberriesgo

Los hackers han optimizado sus ataques para maximizar su éxito. En concreto, suelen atacar la ciberseguridad de las empresas a través de:

• Robo de información. Suele estar asociado a casos de espionaje industrial o a una extorsión posterior. A veces se da de forma casual (la pérdida de un móvil, un portátil o una memoria externa USB con información confidencial). Sin embargo, la mayoría de las veces se trata de ataques programados a bases de datos a través de rootkits.

• Ransomware. Se trata de programas informáticos que acceden a los discos duros de los equipos informáticos. Una vez en ellos, cifran los archivos y exigen el pago de un rescate para devolverlos. El ejemplo más grave fue el de Wanacry. Este virus consiguió superar las barreras de seguridad informática de gigantes como Telefónica, MSD o FedEx.

• Phishing. Es un intento de suplantación de la identidad de una empresa. Los hackers copian la imagen de marca, las direcciones de correo electrónico o los perfiles en redes sociales de su víctima. ¿El objetivo? Llevar a confusión a sus clientes para que, por ejemplo, den la numeración y clave de seguridad de su tarjeta de crédito.

• Ataques DDoS. Es una variante muy trabajada del ransomware. En concreto, se basa en el lanzamiento de un ataque en cadena destinado a saturar los servicios online de una empresa. Cuando lo consiguen, piden una compensación económica o de cualquier otro tipo por dejar de hacerlo.

Los ataques a infraestructuras críticas o a los servidores de las empresas son ciberriesgos a tener en cuenta también. Sin embargo, suelen afectar solo a grandes corporaciones, debido a la complejidad que entrañan. Aún así, también suelen estar cubiertos en la mayoría de los ciberseguros.

A mediados de abril de 2016 fue aprobado el Reglamento General de Protección de Datos por parte del Parlamento Europeo. Entró en vigor en mayo de 2018 y provocó la modificación de la Ley Orgánica de Protección de Datos (LOPD) vigente en España. Desde entonces, las empresas tienen muchas más obligaciones a la hora de cuidar la información que manejan de sus clientes.

Cualquier mal uso o pérdida de esa información tiene responsabilidades civiles. Es decir, en caso de que un consumidor presente una reclamación contra tu empresa por haber tratado de forma inadecuada sus datos, tendrás que indemnizarle por los daños y perjuicios que le ocasiones. Las sanciones contempladas por esta legislación son bastante altas y pueden llegar a implicar consecuencias penales.

Ese es el motivo fundamental por el que cualquier seguro de ciberriesgo para empresas contempla la responsabilidad civil. Incluso es recomendable negociar la inclusión de la defensa jurídica y de posibles fianzas. En los últimos años, muchas grandes, medianas y hasta pequeñas empresas han tenido que pagar indemnizaciones millonarias por esto.

Las coberturas de una póliza de ciberriesgo para empresas deben cubrir los siguientes aspectos:

• Responsabilidad civil por ciberriesgos y pérdidas de información. Una póliza de ciberriesgo para empresas debe hacer frente a las reclamaciones realizadas por terceros en caso de que se produzca un fallo en tu red de seguridad informática. Ten en cuenta que, si un ciberataque contra ti prospera, será considerado como un error por tu parte.

• Gestión de incidentes. El seguro de ciberriesgos también ha de responsabilizarse de los cargos relacionados con la informática forense y la asesoría legal y de comunicaciones para mitigar un potencial daño reputacional, así como los gastos de notificación a los afectados y a los organismos supervisores. El objetivo es mitigar, administrar y gestionar incidentes de seguridad.

• Ciberextorsión. Un seguro de ciberriesgo para empresas puede llegar a cubrir el pago de los rescates que soliciten a cambio, por ejemplo, de liberar la información encriptada por un ransomware. No sería directamente al extorsionador, pero si podría reembolsarlo al asegurado. Aparte existe la opción de poner a tu disposición un profesional que se encargue de eliminar la amenaza.

• Indemnizaciones por interrupción de la actividad. En caso de que el ciberataque se traduzca en que tengas que detener tu labor, el seguro de ciberriesgos te podrá cubrir por la pérdida de beneficios cuando el ataque ocurre en el sistema informático propio o también si el ataque se da en el sistema informático del proveedor de servicios.

• Atención 24 horas. Otro aspecto básico: los ciberriesgos siempre están ahí, incluso fuera de tu horario laboral. Así que los servicios para la gestión de los incidentes deben estar disponibles 24/7.

Además, el seguro de ciberriesgos debe cubrir los daños de hardware, cobertura que se debe contratar como extensión a la póliza, y software provocados por los ciberataques.

La ciberseguridad en empresas ha cobrado una importancia capital durante los últimos años. La razón es simple. El uso de equipos informáticos conectados a Internet y la realización de operaciones online están a la orden del día. Esto ha hecho que, en la actualidad, las empresas estén en el punto de mira de los hackers informáticos.

Por su lado, los costes económicos derivados de los ciberataques son más altos de lo que imaginas. De hecho, probablemente no te hagas una idea si nunca has sufrido uno. De media, las pérdidas que ocasionan oscilan entre los 35 000 € y los 75 000 €. Y no hablamos de grandes corporaciones, sino de pequeñas y medianas empresas.

Esas cifras son tan altas porque, en muchos casos, el ciberataque conlleva la detención de la actividad, la sustitución de equipos informáticos y la instalación de nuevos sistemas de seguridad. A esto hay que sumar las pérdidas en términos de reputación, que pueden llegar a ser incalculables.

Además, de un ataque informático nunca saldrás igual, aunque lo resuelvas rápido. Lo normal es que, durante su transcurso, pierdas información sensible y de importancia para tu negocio. Si pertenece a terceros, como dijimos antes, puedes tener que hacer frente al pago de indemnizaciones en concepto de responsabilidad civil.

Si en tu empresa utilizas teletrabajo, considera que esto eleva los ciberriesgos. Para los hackers es más fácil realizar un ataque cuando los objetivos no están concentrados en un solo lugar y bajo un paraguas de protección fuerte.

También queremos hacer hincapié en que los seguros para empresas convencionales no cubren los ciberriesgos. Sin duda, son muchos los motivos por los que deberías tener uno.

Es posible que, en un futuro cercano, la legislación obligue a todas las empresas a tener una póliza de ciberriesgo. Sin embargo, actualmente, no es así. Con esto queremos decir que la decisión de contratarlo o no depende de ti.

De cualquier manera, ya te adelantamos que su contratación es muy recomendable en la mayoría de los casos. De hecho, aunque solo utilices un ordenador y algunos dispositivos móviles para recopilar información sobre tus clientes y proveedores, la inversión está más que justificada. La razón es que, aunque no lo creas, puedes ser víctima de un ciberataque.

Así que, a nuestro juicio, cualquier negocio que haya digitalizado la información con la que trabaja a diario necesita un seguro de ciberriesgo. Si es tu caso, te damos un consejo: sé previsor y contrata un seguro que te proteja y que cubra tu responsabilidad llegado el caso.