Ciberamenazas en el sector de los seguros: MAPFRE, en la vanguardia

En los últimos años, el cibercrimen ha evolucionado de forma vertiginosa. Según datos del Informe Global Risks 2024 del World Economic Forum, los ciberriesgos ocupan un lugar destacado entre las principales preocupaciones globales, con un volumen proyectado de 16,6 millones de incidentes en 2024 y un impacto económico significativo, que alcanzaría entre 8 y 10 billones de dólares anuales, según datos del Global Cybersecurity Outlook 2025 del mismo organismo.

En España, los datos apuntan en la misma dirección. Según datos de la memoria del Ministerio del Interior el número de estafas informáticas ha pasado de 88.000 a 412.000 de 2018 a 2024, lo que supone un incremento del 368 %. Mientras, el conjunto de delitos «tradicionales» (si se descuentan las estafas informáticas del conjunto global de delitos contra la propiedad) ha descendido un 11,9 %. Este dato arroja una realidad innegable, la digitalización del cibercrimen.

El cibercrimen supone hoy en día el riesgo de mayor relevancia para la sociedad y para cualquier compañía de cualquier sector. «En el caso de las aseguradoras, aunque no se ven tan afectadas por los riesgos monetarios directos, existe un riesgo oculto debido a la gran cantidad de datos que tienen de sus clientes, aspecto que cobra mayor relevancia si tenemos en cuenta la confidencialidad y sensibilidad de estos —desde pólizas con gran cantidad de datos [direcciones, datos de contacto,..etc] hasta historiales médicos—», explica Daniel Largacha, director de ciberseguridad en MAPFRE.

El sector es así un objetivo prioritario para ciberdelincuentes, pues esos datos pueden venderse para cometer otro tipo de fraudes —como, por ejemplo, estafas telefónicas—. El cliente, paradójicamente, se erige como el eslabón más débil en esta cadena. Los criminales lo saben y explotan la confianza inherente entre el cliente y la relación con su aseguradora. «Esta realidad obliga a un replanteamiento total de la forma en cómo se debe afrontar estos nuevos desafíos, donde la prevención, la monitorización continua del entorno, las capacidades reactivas y la concienciación son pilares fundamentales de la gestión de los ciberriesgos en las aseguradoras», sostiene Largacha.

En MAPFRE contamos con una estrategia consolidada de ciberseguridad adaptada a la realidad actual con un especial foco en los riesgos del futuro, que incluyen tanto estrategias de protección y respuesta proactiva, acompañamiento de la transformación digital, concienciación de los clientes y proveedores, y una metodología de gestión de riesgos de proveedores que nos posicionan como la aseguradora referente en ciberseguridad en España.

Precisamente, la protección de la confianza de los clientes es el principal activo de una aseguradora, pues es uno de los fundamentos en los que se basa la relación entre cliente y la compañía. En este sentido, el phishing, los call centers falsos y el robo de contraseñas representan las amenazas más inmediatas y devastadoras.

En el caso del phissing, los ciberdelincuentes aprovechan la ausencia de formación de las personas en el uso de las tecnologías para hacerse pasar por su aseguradora ofreciendo supuestos regalos cuya finalidad es la de robar datos y documentación del cliente para, posteriormente, cometer otro tipo de estafas contra éste.

Mención especial requiere el caso reciente de los call centers falsos, como vector de fraude novedoso: los cibercriminales tratan de engañar a los clientes en apuros para que llamen a números de tarificación especial para después estos realizar una intermediación falsa (y no solicitada) con la aseguradora, cobrando al cliente una cantidad económica por un servicio que es gratuito, sin que en muchos casos el cliente sea consciente de haber sigo estafado.

Por último, el robo de contraseñas en servicios ajenos a las aseguradoras es el otro gran riesgo, pues es práctica habitual de las personas la reutilización de contraseñas en distintas páginas web. «Esta mala práctica es aprovechada por los cibercriminales pues, una vez robada una contraseña, la pueden reutilizar en otras páginas web para realizar ese robo de datos de los clientes de forma silenciosa y no conocida por el cliente», explica el director de ciberseguridad.

Todos estos ciberataques tienen un efecto significativo en el sector, pues erosionan sensiblemente la confianza entre el cliente y las aseguradoras, contribuyendo a la percepción de desprotección digital de la sociedad (10 % de los ciudadanos afirman haber sido víctimas de un fraude digital en 2024, según una encuesta de TransUnion).

En MAPFRE somos conscientes de la relevancia de los ciberriesgos y por ello llevamos trabajando desde 2005 en una estrategia corporativa de seguridad. Esta larga trayectoria nos ha permitido construir un modelo global certificado de seguridad, avalado por estándares internacionales como ISO 27001, ISO 22301 y PCI-DSS. También contamos con certificaciones exigentes, como el grado medio del Esquema Nacional de Seguridad.

MAPFRE trasciende los estándares y normativas, adoptando una gestión integral de la seguridad en la que se fusionan la ciberseguridad, la seguridad personal y la seguridad de las instalaciones, junto con los procesos de negocio, los clientes y proveedores; todo ello combinando tecnología de vanguardia, cultura de prevención y colaboración estratégica con proveedores tecnológicos de primera línea.

Como uno de los aspectos principales de esta estrategia se encuentra el Global SOC (Global Security Operations Center), un centro de operaciones que funciona las 24 horas del día, los 7 días de la semana, y que procesa más de 5.000 millones de eventos diarios, lo que supone el mayor data lake de la organización. Esta capacidad de monitorización en tiempo real permite que nos anticipemos a los potenciales incidentes a través de la detección temprana de anomalías y una rápida respuesta a incidentes, adaptando las capacidades internas a la realidad del panorama de ciberseguridad. Estas capacidades de protección se ven amplificadas mediante la conexión de MAPFRE con redes internacionales, como FIRST, FS-ISAC y la RNSOC (Red Nacional de SOC de España), con las que compartimos inteligencia de amenazas.

La formación y concienciación representan otro pilar fundamental, ya sea a personal interno como a clientes. En este sentido, en MAPFRE dedicamos recursos de forma significativa para capacitar a empleados y educar a clientes mediante campañas innovadoras como #CulturaCibersegura. «Esta aproximación complementa las herramientas tecnológicas, poniendo en la primera línea de defensa a las personas como elemento fundamental en la estrategia de protección», indica Largacha.

El assurance (aseguramiento) de ciberseguridad cumple también un papel fundamental, pues permite conocer con ciertas garantías el nivel de preparación de MAPFRE ante escenarios de incidentes reales. En este sentido, participamos en benchmarks nacionales y sectoriales, organizados por distintas organizaciones de renombre como el INCIBE (Instituto Nacional de Ciberseguridad) y el DSN (Departamento de Seguridad Nacional), donde hemos obtenido un resultado ampliamente por encima de la media en todas nuestras participaciones. A esto hay que sumar los planes de continuidad de negocio, probados anualmente, que aseguran el servicio a clientes dentro de unos niveles exigentes incluso en escenarios de crisis graves, como ransomware, brechas masivas o blackouts (apagones).

El futuro de la ciberseguridad no está escrito, pero está muy relacionado con tres aspectos. En primer lugar, la introducción de la IA en las empresas y cómo los cibercriminales se favorecerán tanto de la que implanten las empresas como de buscar maneras de elaborar nuevos ataques apoyándose en la IA. En segundo lugar, la computación cuántica que, si bien se encuentra en un estado muy primigenio, aún removerá gran parte de los paradigmas en los que se apoyan hoy en día la tecnología y la ciberseguridad.

Por último, y probablemente el aspecto más importante, la ciberseguridad en los procesos de transformación digital. Hoy en día, las nuevas formas de adoptar la tecnología están cambiando los cimientos de las empresas y en el futuro serán más más dependientes de esta. En este entorno, «la ciberseguridad jugará un papel fundamental, pues será uno de los pilares básicos en los que se deberá apoyar la confiabilidad que esta nueva tecnología podrá tener. Por ello no podremos hablar de una transformación digital segura y confiable sin tener en cuenta la ciberseguridad», concluye Largacha.

ARTÍCULOS RELACIONADOS: