El auge de los ciberataques aflora los agujeros de los seguros

¿Qué cubren los seguros contra ciberataques? El auge de las estafas electrónicas, que en los últimos meses han doblegado a grandes grupos como Damm, Uriach y MediaMarkt, ha aflorado los agujeros de la red de seguridad provista por las compañías del sector. Agujeros reconocidos por los especialistas y las corredurías de seguros y que, tras un incidente cibernético, suelen desembocar en arduas negociaciones entre asegurados y aseguradoras.

La clave está en que muchas privadas creen que los seguros cubren todos los daños económicos como consecuencia de una infiltración. Pero no es así. La mayoría de pólizas ciber, que se activan ante incursiones de tipo ransomware o phishing, cubren los gastos ocasionados por el soporte jurídico y tecnológico a las compañías afectadas, así como las posibles sanciones de la Agencia de Protección de Datos y el coste de los gabinetes de crisis creados tras una infiltración digital.

Expectativas vs. realidad

Es decir, no siempre incluyen el reintegro del menoscabo económico directos e indirecto provocado por una brecha informática, ni mucho menos la recompensa solicitada por las bandas. "En el sector es algo sabido que existe polémica entre el alcance de la cobertura de estos seguros y las expectativas de las compañías", comenta Francisco Pérez Bes, socio en el área de derecho digital de Ecix Group y exsecretario general del Incibe (Instituto Nacional de Ciberseguridad).

"Hay una parte oscura y abierta a debate sobre la cobertura de los daños derivados de un ciberataque. Normalmente solo se cubre la asistencia jurídica, las multas de Protección de Datos y las campañas de comunicación y reputación", explica el experto. "A veces las aseguradoras se pueden amparar en un incumplimiento de las barreras en materia de ciberseguridad o en que éstas son incompletas. Pero los estándares en ciberseguridad son los que son: ISO 27011, ENISA, NITSA... y las grandes empresas los suelen cumplir", apunta Carlos Pérez, abogado en el despacho Fieldfisher JAUSAS.

Antecedente NotPetya

Parte de estas dudas nacen de los elementos materiales que envuelven el ataque. En este punto, Pérez cita como ejemplo la reciente sentencia favorable a la farmacéutica Merck, que fue infectada por el virus NotPetya en 2017. Cinco años más tarde, el grupo alemán ha cobrado al fin más de un billón de dólares por el deterioro económico causado por aquel golpe informático.

En su momento, la aseguradora International Indemnity se negó a abonar esta cantidad al entender que se trataba de un daño derivado de un acto de guerra, una típica cláusula de los contratos de este tipo. "En un ambiente de ciberataques internacionales, este requisito no tiene mucho sentido", concluye el letrado.

La letra pequeña

Se trata solo de un caso célebre que refleja la importancia de la letra pequeña. De hecho, las propias aseguradoras contactadas por Crónica Global remarcan los límites de sus productos. En el caso de Mapfre, su póliza Ciber On destinada específicamente a autónomos y pymes ampara los daños a los sistemas informáticos del asegurado y la responsabilidad civil o paralización de la actividad deriva de un pirateo. Pero, en ningún caso, "queda cubierto el reintegro de las cantidades que hayan sido defraudadas al cliente o a alguno de sus empleados a través de phishing u otros métodos similares de estafa".

Por contra, Hiscox sí cubre esta coyuntura en su solución CyberClear 360º. "Una de las situaciones más comunes son los errores cometidos por los empleados o proveedores que desencadenan una brecha de datos o un fallo en la seguridad (...) en estos casos la póliza cubre la pérdida de beneficios, los costes operaciones incluyendo los salarios y los gastos para mitigar la pérdida de beneficios resultantes de la interrupción parcial o total del sistema informático", detalla un portavoz de la aseguradora. Aunque Hiscox no ofrece detalles sobre el límite pecuniario de esta garantía.

Recreación de ciberataques a los que tiene que hacer frente la Generalitat / EUROPA PRESS

Más problemas

Más allá de la casuística, hay otros dos problemas que inciden de forma especial sobre este tipo de productos. "Los incidentes cada vez son más sofisticados y cambian continuamente", expresa el exsecretario general de Incibe, por lo que "cuesta estar al día" de las amenazas electrónicas. Y, por ende, hallarle respuesta en un contrato que, además, está escasamente personalizado.

También es cierto que el nuevo reglamento de protección de datos plantea un acercamiento a las barreras mínimas en materia de ciberseguridad distinto del anterior. "Desaparece el check-list de la antigua normativa, que toda organización o institución debía cumplir sí o sí. Este se sutituye por una actitud proactiva que debe tomar cada actor, por lo que hay más margen de arbitrariedad por parte de las empresas y las aseguradoras pueden acogerse a ello", reconoce Fernando López de Coca, delegado de protección de datos en DPO y consultor jurídico en Audidat.

Falta claridad

Los brokers que se dedican a los seguros cibernéticos reconocen estas complicaciones. "El negocio asegurador cyber ha evolucionado positivamente, especialmente en el lado de las aseguradoras, tanto en la comprensión del riesgo para su contratación como en la tramitación de los siniestros. Sin embargo, queda mucho", comentan Alan Abreu y Borja Sánchez, especialistas en Marsh.

Gabriela López de Torres, financial institutions & special risks broker en Willis, se muestra más explícita: "Sí reconocemos que [estos seguros] se prestan a mala interpretación por parte de los clientes porque no deja de ser un fraude informático, pero está claro que el seguro cyber tiene dos patas: RC y daño propio.

Usuario de Facebook; las redes sociales son claves para digitalizar las pymes / EUROPA PRESS

'Boom' de ciberataques

"La primera cubre posibles reclamaciones de tercero por privacidad y protección de datos. La parte de daño propio cubriría la pérdida de beneficio neto sufrida a raíz de una caída del sistema y los gastos en los que incurres".

"Pero la póliza de ciber no cubre robo de fondos normalmente", sentencia López de Torres, quien añade que, en todo caso, esta cobertura es propia de las pólizas que cubren infidelidad de empleados y fraudes ocasionados por terceros. En cualquier caso, mientras los piratas se ceban en España --en 2021 se dieron una media de 40.000 al día, según Datos101--, los seguros contra incidentes ciber (y su letra pequeña) parece que seguirán en el ojo del huracán.