A pesar de que la mayor parte de los ataques se dirigen a las pymes, el escaso conocimiento de la materia, junto con la complejidad de su terminología, dificultan en gran medida la contratación del seguro Cíber por parte de estas empresas. Con todo, las aseguradoras ya están adaptando estos productos a las pequeñas y medianas empresas, cuya penetración se prevé que se incrementará en los próximos años por la creciente siniestralidad, propiciada por la IA, y las exigencias de las nuevas normativas comunitarias en materia de ciberseguridad.
El seguro de Cíber ha pasado desde su origen por distintas etapas, con primas bajas al principio, que hubo que ir aumentando a medida que la siniestralidad evolucionaba. En la actualidad, la situación “varía según el tamaño de la empresa”, como aprecia Francisco Antonio Alcaide, suscriptor de negocio SME-Beazley Digital España. En el caso de las mediana-gran compañía a raíz de la pandemia se endureció mucho el mercado, aunque en los últimos seis meses, aproximadamente, esta tendencia se está revertiendo y se está volviendo a un mercado blando. “No pasó, sin embargo, con el segmento de la pequeña y mediana empresa, en el que yo he visto una tendencia de estabilización, incluso ha llegado a ser blando, a pesar del tema del covid”, asevera. Ahora bien, matiza que, si bien no se ha producido un endurecimiento de las primas, sí en los criterios de suscripción.
Javier Alfonsel, director comercial de Afersa Asesores Correduría de Seguros y miembro de la ejecutiva y vocal de tecnología de Apromes, compara la evolución de Cíber con la de RC, ya que al principio solo buscaban cobertura de RC empresas que tenían muy consciente su riesgo y que, normalmente, tenían alta siniestralidad, lo que condujo a que el mercado tuviera riesgos y siniestralidad altos, que derivaron en primas elevadas. Luego empezó a haber consciencia del riesgo, también entre las pymes que comenzaron a contratar y a subir la siniestralidad también en ese tipo de empresas. “Actualmente creo que pasa lo mismo en los dos productos; que las compañías están afinando más sus criterios de suscripción porque tienen mucha siniestralidad, más que por el tamaño de la empresa, por la actividad y la composición”, explica. En Cíber, en concreto, se está viendo dónde está el riesgo, y las compañías están adaptando sus productos a ese tipo de actividad y a esa estructura de empresa.
“La evolución del seguro Cíber para las pymes se ha visto reflejada en una mejora de la redacción de las pólizas”, confiesa Carmen Gutiérrez, gerente de Suscripción de Telefónica Seguros, toda vez que al principio solo había seguros para grandes compañías y si una pyme lo solicitaba se le daba el mismo, sin adaptación alguna. Con el tiempo, esa situación ha cambiado, ya que la pyme es el tipo de empresa que más ciberataques recibe, “por lo que la suscripción sí que se ha ido afinando”. Actualmente, cree que se está en un mercado blando para las pymes, con muchas nuevas aseguradoras y agencias de suscripción apostando por ellas. Aunque la siniestralidad ha ido variando en los últimos años, con ciertos momentos de picos, considera que el “ciclo blando que estamos viviendo no se va a poder mantener por mucho tiempo y cuando vuelva la alta siniestralidad, las primas y coberturas que se están dando no van a ser sostenibles por mucho tiempo”.
Serafín Trápaga, gerente de la correduría Aseguras y consejero de Productos Empresas, Particulares e Inversiones de Espabrok, cree que hay que distinguir entre grandes empresas y lo que es una pyme de hasta 25-30 millones, ya que los riesgos son diferentes y las actividades a las que se dedican muy variadas. En estos casos aboga por que los mediadores hagan un esfuerzo extra por explicar bien lo que es una póliza de Cíber, para mejorar la popularización del producto. Aun así, cree que las perspectivas de crecimiento de esta solución son buenas y “poco a poco irá mejorando la penetración en el mercado y eso incrementará la competencia de las compañías y se crearán nuevas coberturas que a veces echamos de menos”, ya que muchas aseguradoras tienen sus límites en una serie de coberturas, como los riesgos macros, de tal forma que cuando se produce un siniestro a nivel global, el sector aún no es capaz de poder dar una cobertura en condiciones a las empresas en muchos casos. De hecho, en estos casos, aboga por la implicación de la administración pública, toda vez que la magnitud del siniestro es prácticamente inasumible por las entidades.
Colaboración público-privada
“No hay nada que preocupe más a una aseguradora que el riesgo sistémico”, subraya Carmen Gutiérrez. “La exposición es enorme. Lo hemos comprobado recientemente con el apagón: no fue un ataque cibernético, pero sí puso de manifiesto nuestra dependencia digital global”. En este contexto, destaca la necesidad de una colaboración público-privada para afrontar este tipo de eventos, del mismo modo que el Consorcio de Compensación de Seguros actúa ante los daños materiales: “son riesgos de tal magnitud que no pueden ser asumidos en solitario por el mercado asegurador”. Añade que el sector ha defendido, en distintos informes a nivel europeo, la urgencia de crear una infraestructura específica para afrontar estos escenarios: “Un riesgo sistémico de estas características puede comprometer gravemente la solvencia de una aseguradora y, con ello, la capacidad de responder con las indemnizaciones y la protección que necesitan los asegurados”.
“Y no solo para proteger a las compañías, sino que las consecuencias son de toda la sociedad”, reitera Javier Alfonsel. “El Estado se supone que la principal función que tiene es proteger a la sociedad y como las consecuencias son para todos y cada vez son más evidentes, tiene que intervenir sí o sí”, sostiene, toda vez que ahora desde las compañías se está actualizando el riesgo social y contemplando por dónde puede producirse.
Serafín Trápaga coincide en que se tratarían de daños para toda la sociedad en los que debe intervenir el Estado. Todo ello sin restar importancia a la búsqueda de culpables, “que son los que tienen que responsabilizarse”. A su entender, debe existir un estamento que coordine todo este tipo de riesgos, ya que las afectaciones se producen en diversos ámbitos (políticos, económicos, sociales…).
Francisco Antonio Alcaide coincide en que sería interesante crear una entidad específica para los eventos altamente sistémicos, que pudiesen impactar sobre todo en la industria, llegando incluso a bloquearla. De hecho, cita que a día de hoy existen otros pools a nivel europeo para este tipo de situaciones. “Además, esto supondría que existiría más capacidad en el mercado, lo cual es bueno para todos”, zanja.
“Tiene que ser un consorcio de empresas, bajo mi punto de vista, tanto públicas como privadas y especialistas”, recalca Trápaga, hasta el punto de exigir dentro de las pólizas, igual que hace el Consorcio, un porcentaje obligado de cumplimiento para problemas de nivel social: “Debería ser casi una póliza, a contratar de forma obligada en el futuro”, aprueba.
Además, Gutiérrez considera que una solución compartida ante riesgos sistémicos impulsaría la contratación de seguros de Cíber, “que terminará siendo, de una forma u otra, tan esencial y generalizado como lo es hoy la responsabilidad civil”. Esta cobertura compartida permitiría a las aseguradoras flexibilizar algunos criterios de suscripción, reducir ciertas exclusiones y ajustar las primas, al contar con el respaldo de una infraestructura que ayudaría a gestionar eventos de gran impacto.
A su vez, puntualiza Alfonsel, que como habría que cumplir unos requisitos mínimos como usuario de ese tipo de póliza, el nivel de seguridad medio, sería mayor. “Ocurriría como otros seguros obligatorios; si la normativa te exige un tipo de cobertura inamovible tendríamos todos más seguridad y las compañías tendrían un fondo más potente y, en caso de un siniestro a gran escala, también habría ese soporte”, afirma.
Fraude financiero
Otro asunto que preocupa mucho al sector es el aumento del fraude financiero online. En esta línea, recientemente el Tribunal Supremo obligó a un banco a hacerse cargo del robo a un cliente porque se suplantó su tarjeta SIM. A Alcaide le sorprendió esa sentencia condenatoria de la entidad financiera, porque fue un fenómeno de una suplantación de identidad robando el número de teléfono. Considera que la póliza de Cíber de los bancos se activaría cuando el ataque se dirigiese contra el sistema del banco o a través del mismo, como un phishing a un empleado que permitiera al delincuente meterse en las cuentas de los particulares. Pero entiende que es complicado para el banco controlar las acciones de cada cliente, como que les llegue un correo electrónico, accedan a él y resulte ser un fraude.
La gerente de Suscripción de Telefónica Seguros advierte que se están incluyendo coberturas en los seguros de Cíber que, en realidad, no corresponden a esta categoría (Crime, E&O). En muchos casos no existe un incidente cibernético como tal, sino una transferencia de fondos no autorizada derivada de un cambio en la cuenta bancaria mediante un engaño”, explica. En este tipo de situaciones, se debería demostrar que la operación de pago fue autenticada, registrada con exactitud y correctamente contabilizada. “No deberían producirse fraudes en los que una empresa realiza una transferencia a una cuenta supuestamente local y, en realidad, el dinero termina en una empresa en Malasia, por ejemplo, solo porque se notificó un cambio de cuenta”, denuncia. Subraya que las pymes están empezando a exigir que este tipo de fraudes estén cubiertos por los seguros de Ciber, pero, al aumentar su frecuencia, esta cobertura podría encarecerse de forma desproporcionada. “Y lo cierto es que debería abordarse en otro marco.
El director comercial de Afersa Asesores Correduría de Seguros opina que hay que ver siempre quién sufre la pérdida y luego saber quién es el responsable, diferenciando siempre entre dolo y negligencia. Además, en estos temas, valora que es complicado ver cuál es el nivel de negligencia del cliente, porque se pueden tener unos sistemas de seguridad bastante razonables y pensar que se es negligente por haber pulsado donde no se debía: “Siempre hay que proteger al que sufre la pérdida y la póliza de Cíber debería contemplarlo”, expone. En su caso reprocha a los bancos que cada vez más obligan a tener una relación digital con ellos, de lo que tienen que responsabilizarse, como custodia del dinero de los clientes, a los que exige una relación no analógica.
“El cliente siempre tiene que estar lo más protegido posible”, confirma el gerente de la correduría Aseguras, quien a veces echa de menos que las compañías denieguen indemnizaciones y no den ese apoyo para poder defenderse y reclamar esas pérdidas.
Ransomware en aumento
Desde hace años, el ransomware es el riesgo más importante al que se enfrentan las empresas. Basándose en el informe ‘ThreatLabz 2024. Ransomware’ de la empresa de seguridad en la nube Zscaler, el suscriptor de negocio SME-Beazley Digital España advierte que creció un 72% el año pasado y solo el 12% de las empresas que pagaron lograron recuperar la información secuestrada. “Las compañías, siempre animamos a que no se pague, porque es ilegal”, señala.
En este sentido, Serafín Trápaga, gerente de la correduría Aseguras, insta a las aseguradoras a que les ayuden a afrontar estas situaciones, “porque al final son temas muy técnicos, que necesitan de mucha urgencia porque te están apretando y la capacidad de negociación que podemos tener desde el desconocimiento general es prácticamente nula”.
Explica Francisco Antonio Alcaide, suscriptor de negocio SME-Beazley Digital España, que uno de los servicios que ofrecen es el de intentar recuperar la información para evitar que el cliente se encuentre en la tesitura de querer pagar o no, “porque al final el cliente es soberano y decide lo que quiere hacer”.
Además, Carmen Gutiérrez, gerente de Suscripción de Telefónica Seguros, subraya que lo primero ante un incidente de extorsión cibernética es identificar quién está detrás: “Muchas veces se entra en negociación únicamente para ganar tiempo y evitar que el ataque sigan avanzando dentro de la compañía. Lo realmente importante -y es lo que aporta esta cobertura de extorsión cibernética- es restablecer cuanto antes la operativa del cliente”, señala. Coincide en que pagar el rescate no es recomendable. “No hay ninguna garantía de que vayas a recuperar la información. Hay que activar un plan B, tratar de localizar los datos y, si es necesario, restaurarlos incluso de forma manual”. Destaca que ese es precisamente uno de los grandes valores de las pólizas de Cíber: “No solo ofrecen el reembolso de ciertos costes, sino que lo que realmente necesitan las empresas es una respuesta inmediata, una especie de ‘caballería’ que les ayude a actuar en el momento crítico”. Especialmente en el caso de las pymes, advierte, muchas veces no saben cómo reaccionar ante un ataque de ransomware y retomar la actividad cuanto antes” concluye.
Javier Alfonsel, director comercial de Afersa Asesores Correduría de Seguros, menciona que la gran diferenciación de Cíber respecto de otros seguros es precisamente el tema de la prevención y los servicios posteriores, mientras que en otros ramos lo más importante es la indemnización.
“Y sobre todo a una pyme”, recalca Carmen Gutiérrez, “porque a lo mejor una empresa más grande, que facture un montón de millones no necesita esa parte de servicio porque tienen sus equipos internos de legal, de seguridad… y solo quieren la indemnización. Una pyme es al revés: ‘ayúdame y bríndame el mejor equipo para que yo pueda salir de esta brecha en este momento”.
Crime, opcional
Gutiérrez también aclara que la cobertura de Crime está orientada a cubrir riesgos financieros directos, distintos del daño digital, que es donde se centra principalmente el Ciberseguro. Por eso, requiere una suscripción y una tarificación específica, y en muchos casos, las empresas ya la tienen contratada dentro de otras pólizas, con el seguros de E&O y Crime. “Las aseguradoras, además, ajustan mucho su apetito de riesgo en esta materia, ofreciéndola generalmente como una cobertura opcional”, explica. Añade que la demanda varía según el sector, por lo que esta garantía suele presentarse como una ampliación y se adapta al perfil y necesidades concretas de cada cliente.
Ante esto, Francisco Antonio Alcaide reconoce que es opcional, pero “cada vez nos la piden más los corredores”, incluidos los que tienen clientes pymes. “Nosotros tenemos ambas, la póliza independiente de Crime como tal o como suplemento en la póliza de Cíber, que es opcional”, reconoce, aunque cada vez está más estandarizado, porque al final la casuística de la suplantación de identidad se da en todo tipo de empresas.
Aunque Carmen Gutiérrez, gerente de Suscripción de Telefónica Seguros, sostiene que hay una parte integrada en la propia póliza y otra parte opcional que amplía todavía más esta cobertura, ella siempre recomienda a sus clientes que cuando reciban un email señalándoles un cambio de cuenta bancaria, “que es lo que más se da”, que hagan una simple llamada por teléfono para confirmar ese cambio: “Tenemos que ir más a lo analógico; hay veces que reforzar procesos internos pueden reducir este tipo de fraudes”, ratifica. Con todo, explica que hay una parte de Crime que sí supone una intrusión en los sistemas, que no es tan sencilla de solucionar, como la entrada en los sistemas o los robos de claves, por lo que tiene que estar cubierto con un seguro.
“Es una cobertura necesaria, indistintamente del tamaño de la empresa, porque es verdad que en empresas de cierto volumen puede haber más riesgo en el sentido de las necesidades, pero en una pequeña empresa se es más laxo con el uso de los equipos”, explica Javier Alfonsel, ya que es más habitual compartir contraseñas para ciertas actividades o utilizar el mismo equipo, por lo que “hay que tener especial cuidado”. “El siniestro puede ser más pequeño, pero la posibilidad de que ocurra, es mayor, porque en estructuras grandes, generalmente, hay más control en el uso de las herramientas que tienen”, ahonda.
“Aparte de que, aunque sean pequeñas empresas dependiendo de la actividad, muchas veces se maneja un nivel de datos y de clientes muy alto”, recalca Trápaga. Además, cada vez se producen más ataques, por lo que “cuanta más cobertura seamos capaces de tener contratada, muchísimo mejor, y esta es una de ellas”.
Proveedores externos
En cualquier caso, Alcaide alega que en empresas pequeñas que tienen todo externalizado el seguro de Cíber es una buena opción, y no bastaría con la cobertura de Proveedor Externo de Servicio, que cubre la pérdida de beneficio que sufre una empresa como consecuencia de un fallo de seguridad por parte de este proveedor y que provoca que no pueda prestar sus servicios. Y ello porque Cíber es un producto en el que existen muchas más coberturas, como la RC por la divulgación no autorizada de datos. “A veces, hay corredores que me piden quitar coberturas para abaratar, pero al final, lo barato sale caro”.
“Totalmente, porque la responsabilidad por reclamaciones de terceros es primordial”, cita Carmen Gutiérrez, ya que cubre multitud de reclamaciones por ataques directos, ransomware, phishing, robos identidad, brechas de seguridad… A su entender, sería bastante limitante centrarse solo en pérdida de beneficios, cuando la tendencia es dar un paquete cada vez más completo al cliente ante la proliferación de amenazas.
En este sentido, Alfonsel confirma que se está dando un paquete para acometer una cobertura con “un montón de riesgos y de consecuencias distintas”, porque en caso de que ocurra algo, te vas a lamentar por no haber incluido alguna garantía, pues poner en marcha una empresa tras un ciberataque cuesta mucho.
Lenguaje particular
“Todavía falta una madurez del sector, quedan muchas pymes por contratar, por concienciar sobre lo que es y para qué es un seguro Cíber”, asegura el gerente de la correduría Aseguras, a lo qu
