- Informe de Lloyd’s brinda una idea real de la escala de daños que generaría un ataque cibernético
- Considera urgente que las aseguradoras mejoren su oferta en este ramo
- Advierte que este tipo de siniestros aumentará de manera exponencial en la próxima década
Por: Alma G. Yáñez Villanueva
a.yanez@elasegurador.com.mx
El riesgo cibernético es una amenaza global en crecimiento. Y, aunque la digitalización está revolucionando los modelos comerciales y transformando la vida cotidiana, también ocasiona que la economía mundial sea más vulnerable a los ciberataques.
Así lo señala el Informe de Riesgos Emergentes 2017: contando el costo de la exposición cibernética decodificada, elaborado por Lloyd’s, el mercado mundial especializado en seguros y reaseguros, que cita que la amenaza cibernética está aumentando y se espera que continúe haciéndolo a medida que la economía mundial siga digitalizando operaciones, las cadenas de suministro y las transacciones comerciales, así como los servicios de los empleados y los clientes.
Como resultado de todo ello, las consecuencias económicas y de seguro derivadas del cibercrimen van en aumento.. Se estima que en 2016 los ciberataques costaron a las empresas hasta 450,000 millones de dólares en todo el mundo. Cada vez más, las aseguradoras están ayudando a los titulares de pólizas a administrar estos eventos: desde esde infracciones individuales, causadas por intrusos malintencionados y piratas informáticos, hasta pérdidas más amplias, como incumplimientos de dispositivos de puntos de venta minorista, ataques de ransomware como BitLocker, WannaCry y ataques distribuidos de denegación de servicio, como Mirai.
El estudio de Lloyd’s cita que las empresas deben ser exhaustivas a la hora de analizar los riesgos de las nuevas tecnologías, pues un ciberataque extremo a nivel mundial podría ocasionar pérdidas de 53,000 millones de dólares, lo que equivaldría a las pérdidas ocasionadas por un desastre natural catastrófico, como los que azotaron a las costas americanas (¿CUÁNDO?.
Retos para las aseguradoras
El informe de la entidad británica destaca que, a medida que la amenaza cibernética crece, aumenta la demanda de seguro cibernético. En la actualidad, el equipo de negocios de Lloyd’s estima que el mercado mundial de cibercámaras vale entre 3,000 millones y 3,500 millones de dólares, y algunos analistas estiman que en 2020 podría valer 7,500 millones de dólares (PwC, 2015). Las aseguradoras de Propiedad /Accidentes suscribieron 1,350 millones de dólares en primas directas para el seguro cibernético en 2016, un salto de 35 por ciento desde 2015, según los informes de Fitch Ratings y A.M. Best (A.M Best, 2016).
A pesar de este crecimiento, la comprensión de las aseguradoras por la responsabilidad cibernética y la suma de riesgos es un proceso en evolución a medida que crecen la experiencia y el conocimiento de los ciberataques.
El uso de internet por parte de los asegurados también está modificándose , causando acumulación de riesgos cibernéticos que cambian rápidamente de una manera en que otros peligros no lo hacen.
El modelo de riesgo de seguro tradicional se basa en fuentes de información tales como datos nacionales o industriales, pero no hay fuentes equivalentes para el ciberriesgo, y los datos para la acumulación de modelos se deben recopilar desde internet. Esto hace que su recopilación y actualización sean componentes clave de la construcción de una mejor comprensión de la evolución del riesgo.
Resultados clave
El informe detalla cinco hallazgos importantes:
- Los impactos económicos directos de los eventos cibernéticos conducen a grandes pérdidas económicas. En tanto, para la interrupción del servicio en la nube las pérdidas van desde 4,600 millones de dólares para un gran evento hasta 53,100 millones de dólares para un evento extremo; en el mismo escenario de vulnerabilidad del software, las pérdidas van desde 9,700 millones para un gran evento a 28,700 millones de dólares para un evento extremo.
- Las pérdidas económicas podrían ser más bajas o más altas que el promedio debido a la incertidumbre en torno a la cuestión cibernética. Por ejemplo, mientras que las pérdidas promedio por la interrupción del servicio en la nube son de 53,000 millones para un evento extremo, podrían ser tan altas como 121,400 millones, o tan bajas como 15,600 millones, dependiendo de distintos factores, como las organizaciones involucradas y cuánto tiempo durara la interrupción del servicio en la nube.
- Los ciberataques pueden desencadenar miles de millones de dólares en pérdidas aseguradas en los cloud services (servicios en la nube). En este escenario, las pérdidas aseguradas oscilan entre 620 millones y 8,100 millones de dólares. Para la vulnerabilidad del software, las pérdidas aseguradas van desde 762 millones (grandes pérdidas) a 2,100 millones (pérdida extrema).
- Los escenarios muestran que hay una brecha de seguro de entre 4,000 millones (pérdida grande) y 45,000 millones (pérdida extrema) en términos de servicios en la nube -lo que significa que entre 13 y 17 por ciento de las pérdidas está cubierto, respectivamente. La brecha de infraseguro está entre 8,900 millones (pérdida grande) y 26,600 millones (pérdida extrema) para el escenario de vulnerabilidad masiva -lo que significa que solo 7 por ciento de las pérdidas económicas es cubierto .
- Al evaluar las primas de mercado estimadas actuales frente a los estimados de pérdida de seguro del escenario cibernético pronosticados en el informe, es evidente que un único evento cibernético tiene el potencial de aumentar las tasas de pérdida de la industria en un 19 y 250 por ciento para eventos de pérdidas grandes y extremas, respectivamente . Esto ilustra el potencial de catástrofe de la clase de riesgo cibernético.
El documento de Lloyd’s concluye que, a medida que aumenta la amenaza cibernética, también lo hace la demanda del seguro de este tipo.
A pesar de este crecimiento, la comprensión de los aseguradores por la responsabilidad cibernética y la suma de riesgos constituye un proceso en evolución a medida que aumenta su experiencia de ciberataques. Por lo tanto, es importante que la comprensión del riesgo -incluidos los cálculos técnicos de las primas y los modelos de capital-, se mantengan al ritmo de la base de conocimientos sobre riesgos cibernéticos.
El análisis también indica que en otra clase de seguros la comprensión de las aseguradoras sobre la responsabilidad y los riesgos está más desarrollada. Es sabido, por ejemplo, que las catástrofes naturales pueden desencadenar múltiples reclamos de miles de asegurados, lo que aumenta drásticamente los costos de las reclamaciones de las aseguradoras. Las pólizas de seguro de catástrofe natural suelen tomar esto en cuenta, y el reaseguro se usa comúnmente para reducir el impacto de la suma de riesgo.
Los hallazgos del informe sugieren que las pérdidas económicas por eventos cibernéticos tienen el potencial de ser tan grandes como las causadas por huracanes importantes. Las aseguradoras podrían beneficiarse al pensar en la cobertura cibernética en estos términos y tener en cuenta la suma de catástrofes relacionadas con el ciberespacio. Para lograr esto, la recopilación de datos y la calidad son importantes, especialmente porque los riesgos cibernéticos cambian constantemente.
Por otro lado, para que la industria de seguros aproveche las crecientes demandas del cibermercado, sería bueno que comprendiera de forma más profunda el posible riesgo de cola implícito en este tipo de cobertura.
Los gestores de riesgos podrían utilizar los escenarios de ciberataque para ver qué efectos podrían tener en sus procesos empresariales y planificar qué medidas podrían tomar para mitigar estos riesgos.