En los últimos años, estamos asistiendo a un incremento notable de la ciberdelincuencia. Antes, especialmente centrada en las grandes corporaciones, pero cada vez afecta más a las pymes. Un aumento de la siniestralidad que ha mejorado la concienciación en esta protección, a la vez que ha provocado el endurecimiento de las condiciones de suscripción.
La pandemia marcó un antes y un después en el ramo Ciber. No obstante, como constata Francisco Antonio Alcaide, responsable de Beazley Digital España (unidad centrada en negocio pyme), previamente a la crisis sanitaria se ponían más facilidades a la hora de suscribir y los cuestionarios eran más sencillos, “pero teníamos el inconveniente de que no estaba el producto tan maduro como ahora”. “Y después de la Covid, el cliente, cada vez, va siendo más consciente del riesgo, pero con el aumento de la siniestralidad la suscripción se ha puesto un poco más dura”, atestigua. De ahí que las compañías, ahora, exijan al cliente que tenga más medidas implementadas de ciberseguridad, lo cual redunda en su beneficio, ante la proliferación de los ataques.
“Desde el punto de vista de corredor, hemos observado también una tendencia cambiante”, corrobora Diego Silva, director técnico de José Silva Correduría de Seguros, toda vez que antes de la Covid eran muchas las aseguradoras, incluso generalistas, que estaban iniciándose en este ramo y que ahora o se empiezan a salir o dificultan la suscripción, a la vez que las especializadas trabajan con formularios más complicados: “En cuanto a la contratación ha pasado de ser un producto sencillo a ser uno que requiere de unos conocimientos mínimos y cierta preparación, que antes no eran necesarios”, reseña. Esta misma evolución la aprecia en la prima, ya que antes era una póliza realmente barata para los riesgos y la cobertura que se prestaba, y ahora se ha puesto en precio de mercado y con una tendencia al alza.
En este sentido, como insurtech, Pilar Andrade, CEO y cofundadora de Lisa Seguros, comenta que en su momento se dieron cuenta de que había que utilizar la tecnología para simplificar el proceso de contratación, que podía ser una barrera en algunos tramos, sobre todo en lo que se refiere a los complejos cuestionarios que incluyen los seguros de Ciber, porque los usuarios del seguro se ven obligados a responder a determinadas cuestiones que, a veces, no saben porque no tienen información ya que su actividad no está relacionada con la tecnología: “En muchos casos necesitan asesoramiento para responder a preguntas indispensables para poder acceder a la propuesta”, asegura.
“Nosotros lo que intentamos, en un principio, fue facilitar la recopilación de datos de los asegurados de cara a poder cotizar”, señala Manuel Cañamares, responsable de Expansión y Desarrollo de Coseba 1986, para quien es muy complicado abarcar a todas las compañías, ya que cada una tiene unos requisitos y cuestionario únicos, con coberturas y límites cambiantes. Además, las compañías exigen cada vez medidas más estrictas para poder contratar este seguro, con cuestionarios cada vez más extensos y preguntas complicadas. “El seguro ha madurado, pero todavía le queda mucho recorrido y hacer ver al cliente que el producto se adapta a él, es difícil debido a su complejidad”, destaca. En esta línea, cree que, a raíz de la pandemia, el riesgo de ciberataques ha aumentado “y esto puede hacer que el seguro de ciberseguridad pierda sentido en el futuro”.
“Evidentemente, los cuestionarios se han endurecido porque la intensidad de los ataques es mucho más alta”, destaca Pilar Andrade, lo cual es un problema ya que “los seguros tienen la función y la capacidad de asegurar riesgos aleatorios, pero cuando los riesgos dejen de ser aleatorios dejamos de tener sentido y eso es terrible”. Con todo, cree que ese endurecimiento en los requisitos elimina el sesgo de compañías que no tienen intención de mejorar su calidad de riesgo.
La evolución del ramo también ha propiciado la colaboración entre tecnológicas y aseguradoras, ya que se ha constatado que por muchos sistemas informáticos que se tengan, los ciberataques se producen y necesitan protegerse. “Ahora vemos que ya las empresas de ciberseguridad se están convirtiendo en aliados y que son ellas mismas las que muchas veces prescriben el seguros”, ratifica, ya que se han dado cuenta de que aunque se implementen todas las medidas preventivas, se sufren ciberataques: “Muchas empresas de tecnología tienen acuerdos ya con aseguradoras con el fin de llegar a sus clientes y transmitirles la necesidad de que contraten un seguro: porque a pesar de que se hayan instalado y tomado todas la medidas de seguridad, los ‘malos’ siempre van por delante”, afirma.
Además, como explica Manuel Cañamares, los ciberataques suelen ser muy estudiados y con mucha preparación, lo que hace que sean difíciles de detectar. “Se trata de virus alojados en tu sistema que no sabes ni cómo han entrado hasta que se produce el ataque”, atestigua. “Aunque tomemos medidas para prevenirlos, pueden ocurrir de forma imprevisible y aleatoria”, recalca.
“Por eso las empresas tecnológicas son un aliado ideal en la lucha contra esas agresiones, aunque antes no apoyaban tanto debido a que los ataques eran menos profesionales”, confiesa Andrade, para quien las tecnológicas también han cambiado su enfoque y se han dado cuenta de que pueden obtener ingresos adicionales a través de la venta de seguros contra ciberataques.
“Las pymes están contratando más seguros contra ciberataques, pero hay que tener en cuenta que, antes, las tecnológicas no apoyaban, porque ellos tenían una fuente de ingresos por parte de esos pequeños ataques y ahora ha pasado a ser un problema y quieren externalizarlo”, añade Diego Silva. Pero para él, la gran diferencia para las pymes es que cada vez ofertan este seguro más compañías, lo que ha llamado la atención a la banca, que ha entrado en el negocio y cuando un cliente va a hacer una gestión bancaria le ofrecen la póliza Ciber: “Esto ha hecho que las pymes sean más conscientes de la importancia de protegerse”, ya que hasta las más pequeñas pueden sufrir ataques que paralicen su actividad, “por lo que es importante tomar medidas preventivas. Pero es importante que la suscripción de una póliza ciber se realice con un mediador de seguros profesional por la complejidad y disparidad de oferta en el mercado. Una póliza insuficiente o suscrita sin un correcto asesoramiento probablemente será únicamente ‘un gasto’”.
De hecho, Cañamares recalca que ya incluso los clientes particulares reciben ofensivas, y las compañías están sacando productos Ciber para ellos. “Cuanto mayor sea el desconocimiento, más riesgo hay. Por eso, una de las medidas más importantes es la formación de los empleados de la empresa y también de los particulares para saber cómo proceder en caso de recibir un ciberataque”, sugiere.
No obstante, Silva destaca que, con la Covid, ha habido mucha incidencia porque trabajadores de las compañías han utilizado equipos portátiles: “Es común encontrar oficinas que tienen una seguridad magnífica con una empresa tecnológica que se encarga de ello, pero muchos empleados se llevan el portátil a casa sin antivirus y se conectan a la red”. Por eso, insta a cambiar este tipo de prácticas.
De hecho, Francisco Antonio Alcaide asegura que han visto un aumento en la contratación debido a una mayor concienciación sobre la importancia de la ciberseguridad desde el inicio de la pandemia. Aunque reconoce que, a veces, incluso los corredores tienen dificultades para sentirse cómodos con el riesgo lógico y normal: “Es un trabajo de todos: para que el cliente final tenga una póliza de ciberseguridad, el corredor debe educar y formar a sus clientes, y nosotros debemos formar y crear ciberresiliencia en los corredores para que puedan transmitirla”.
Además, en la mejora de la concienciación el director técnico de José Silva Correduría de Seguros aboga por un nuevo programa Kit Digital, “más sencillo y enfocado a la ciberseguridad para preparar a las pymes para que sean menos vulnerables y estén más aseguradas”.
“La ciberdelincuencia está avanzando, y aunque el cliente puede tener dudas respecto al producto final, es cierto que vemos a corredores que se acercan porque clientes que antes ni se lo planteaban ahora preguntan por él”, insiste Alcaide, para quien esto es el resultado del entorno de cibercriminalidad, además “del trabajo arduo de los corredores y distintas sociedades para formar y crear esa ciberresiliencia, así como de las compañías y los medios de comunicación que promueven la visibilidad de los ciberataques”. “El cliente final es consciente de lo que necesita, y los corredores se lo ofrecen”, concluye.
De hecho, la CEO y cofundadora de Lisa Seguros llama la atención en que muchas empresas optan por contratar este producto por reputación: “Es un aspecto muy importante y el hecho de tener una compañía que les dé soporte o les apoye en todo el proceso mejora mucho la imagen”, comenta. Además que, como señala, el hecho de no sentirse desprotegidos y no acompañados en un proceso como el robo de datos, el ataque o la paralización de un negocio es muy importante.
“La cobertura de reputación la ofrecen casi todas las compañías. El inconveniente es que es opcional y ya el hecho de incluirla, al fin y al cabo, implica un incremento de prima”, reseña el responsable de Expansión y Desarrollo de Coseba 1986.
En cualquier caso, Pilar Andrade, CEO y cofundadora de Lisa Seguros, considera que no se pueden cometer errores pasados, como querer vender a cualquier cliente un seguro de Ciber, “porque hay algunos para los que tiene más sentido que otros”. Y ello porque, como justifica, “los clientes ya tienen fatiga aseguradora”, ya que a lo largo del tiempo se les ha ido aconsejando que tuvieran una póliza de RC para protegerse, con la nueva ley penal tenían que tener el seguro de directivos, después se les ha recomendado cubrir otras tipologías de riesgos, como Medioambiental, Caución, Crédito…, “todo lo que está alrededor del negocio para poder garantizarles continuidad en caso de un imprevisto”. “Tenemos que saber muy bien cómo, a quién y cuándo debe de contratarlo”, asegura, ya que no todas las empresas necesitan todo tipo de coberturas Ciber. “Hay que analizar muy bien cada una e intentar ser muy flexible y personalizar mucho el seguro de Ciber para que tenga sentido”, concluye.
Para Manuel Cañamares, responsable de Expansión y Desarrollo de Coseba 1986, los clientes se han concienciado mucho de este riesgo a raíz de la pandemia, pero son reticentes a él por el aumento de las primas, fruto de la mayor siniestralidad, que algunas pequeñas pymes rechazan, ya que cuentan con una partida presupuestaria destinada a seguros y es complicado convencerles de añadir uno más “en una coyuntura económica difícil”.
Diego Silva, director técnico de José Silva Correduría de Seguros, cree que el propio sector asegurador ha ido generando ese apetito de compra en el cliente, pero el problema que aprecia es que en el mercado existen pólizas Ciber totalmente insuficientes, y las que están perfectamente estudiadas y adaptadas al riesgo suelen tener primas altas, “y en este país, por norma general, quitando excepciones, la prima es el factor determinante”. Con todo, confía en que el sector se adapte mejor a ese interés a medida en que los productos se especialicen cada vez más, ya que muchas organizaciones, aunque vean ciberataques a su alrededor, todavía no son conscientes de hasta qué punto les pueden afectar, “sobre todo cuando hablamos de pymes tradicionales que, como máximo, en tecnología solo tienen una base de datos, sin cuenta bancaria ni DNI de cliente”.
En cualquier caso, Pilar Andrade critica que hay compañías que comercializan de manera errónea el seguro de Ciber, “que es un seguro de servicios, pero lo venden como un seguro de cobertura”, lo que lleva a que, en ocasiones, los clientes cuenten con una serie de coberturas que no es lo que demandan ni necesitan cuando tienen una incidencia: “Está ocurriendo que hay muy pocas compañías que de verdad indemnizan y resuelven los problemas”, critica, a la vez que aboga que las aseguradoras cuenten con especialistas en el tema para evitar la subjetividad a la hora de una incidencia.
Por eso, el responsable de Beazley Digital España considera muy importante acudir a compañías especialistas: “Resulta muy atractivo ver que hay coberturas cibernéticas a precios muy económicos, pero al final debes contar con el soporte de una compañía que lleva años haciendo esto y con un buen servicio en cuanto a incidentes”, propone.
En este sentido, Diego Silva denuncia que ya se ha encontrado “alguna póliza en la que se incluye dentro del condicionado que en el supuesto de que la compañía no tenga disponibilidad para responder al ataque por falta de personal de las compañías que a veces subcontratan, el cliente podría utilizar su propia empresa para solventarlo”, se queja, lo cual responde al aumento de la siniestralidad. “Eso en una póliza de Ciber es como decir ‘búscate la vida", protesta y pone el símil de que en un seguro de Autos instaran al cliente a arreglar él mismo el golpe porque la compañía no cuenta con talleres suficientes.
“Es muy completo y complejo cuando está bien suscrito, porque es un seguro muy personalizado, muy adaptado a las necesidades individuales de cada cliente”, sostiene Andrade, para quien “Ciber es el seguro más 360º que existe”, ya que cubre la responsabilidad frente a terceros, los daños propios, los problemas con el hardware derivados de los virus, el ataque a los datos de la empresa que tienen como consecuencia una paralización del negocio, los perjuicios patrimoniales... “Es importante recordar que este es un producto muy profesional e interesante para los próximos años, ya que algunas empresas ya pagan más por el seguro de Ciberseguridad que por el seguro de RC”.
“Ahí estáis vosotros, que sois especialistas”, insta Francisco Antonio Alcaide, responsable de Beazley Digital España, a los corredores de la mesa redonda. “Sabéis cuáles son los seguros más completos y cuáles no; ahí está vuestro valor añadido principal”, tercia.
Respecto al tema del pago de los rescates por ataques ransonware, Francisco Antonio Alcaide comenta que, aunque la póliza de Beazley los cubre, es decisión del cliente hacerlo o no. Nosotros ayudamos y asistimos al cliente para entender qué es lo mejor en todo momento para solucionar el incidente y recuperar la operativa normal lo antes posible, que es el objetivo final del seguro. Además, el aumento de ransomware está provocando un incremento en la prima en las renovaciones. En cualquier caso, “se intenta negociar con todas las partes para ser ecuánime con el cliente y el corredor”, subraya.
“En general, las primas en el último año han descendido, se han ajustado y mantenido en facturaciones muy bajitas en profesionales donde no hay alta siniestralidad, pero a partir de determinados clientes, se han elevado muchísimo”, añade la CEO y cofundadora de Lisa Seguros.
Silva pone sobre la mesa, eso sí, un problema con el que se encuentra con este seguro y es la dificultad del cambio, ya que “normalmente supone un incremento de prima y de complejidad en la contratación”, por lo que esas subidas que se pueden producir en la renovación normalmente se absorben.
Alcaide está de acuerdo en esa apreciación para empresas que facturen por encima de 20 millones, en los que se establecen cuestionarios específicos de ransomware y se endurecen las condiciones. “Pero en el segmento de empresas que facturan hasta 20 millones, en Beazley no hemos tocado las primas desde 2019. Lo que sí que hemos hecho es incluir más preguntas de suscripción, por el aumento generalizado del ransomware”, matiza.
No obstante, el ransomware supone el ataque más importante en cuanto a nivel de incidentes, tanto en frecuencia como en cantidad: “Desde el año 2020 ha habido un aumento del doble de los ataques, y no solo hablamos de encriptación de datos, sino también de filtración posterior, que es una doble extorsión”, precisa el responsable de Beazley Digital España. Pero no es el único tipo de agresión a tener en cuenta. Así, destaca la vulneración de cuentas de correo electrónico empresariales, que se produce mucho en los servicios profesionales, como abogados y consultores. Ahora bien, de cara al futuro lo que más teme es el riesgo sistémico, que puede llevar a que colapsen grandes infraestructuras cibernéticas: “Una cosa es que se te caiga WhatsApp y otra cosa es que se te caiga iCloud a nivel mundial durante no sé cuántos meses”, indica.
El director técnico de José Silva Correduría de Seguros coincide en que hay que estar atento a ese tipo de ataques, tanto por su número como por su intensidad. Eso sí, añade otro que está siendo especialmente preocupante entre las pequeñas empresas: la suplantación de identidad. “En pymes es lo que más nos estamos encontrando”, confirma.
Francisco Antonio Alcaide, responsable de Beazley Digital España, recuerda que un gran avance para gestionar los ciberriesgos será la colaboración público-privada. En este sentido, se congratula de que, desde finales de 2022, hay una directiva europea que establece obligaciones de ciberseguridad para los Estados miembros y medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, aunque todavía no se conozca exactamente cómo se va a transponer: “Es cuestión de tiempo que lo sepamos”.
En caso de que este esquema público-privado se asemejase al papel del Consorcio de Compensación de Seguros, bastaría con que en el Ciber se pagase la tasa correspondiente y dotarla de micro coberturas muy excepcionales, para no saturar el mercado, “ya que no hay una masa suficiente como para empezar a abordar indemnizaciones futuras tan elevadas”, aprecia Pilar Andrade, CEO y cofundadora de Lisa Seguros. De esta forma, se cubrirían ataques masivos o generalizados que tuvieran que ver con la no disponibilidad de las redes físicas, como en el caso de hechos catastróficos. “Entiendo que si hacemos nuestra labor de apóstoles del seguro y las empresas también se conciencian, la colaboración debería ir por ese camino”, afirma.
Con todo, Francisco Antonio Alcaide cree que, al final, todo recae sobre el sector y “la clave es educar al cliente”. Y en su caso, como compañía, también al corredor, ya que algunos se sienten inseguros con este producto y no lo venden, aunque tengan clientes con esa necesidad. En este sentido, insta a los corredores a hacer uso de Incibe, que cuenta con mucha información y formación a nivel tecnológico.
“Cualquier información nueva y todo lo que venga, siempre es bienvenida, al final facilitará que los clientes conozcan más al respecto, sean más conscientes, pregunten más y, por tanto, suscriban más”, ratifica Manuel Cañamares.
www.pymeseguros.com