¿Qué impacto puede llegar a tener un ciberataque?

Uno de los aspectos más preocupantes de los ciberriesgos es su potencial para causar daños a gran escala, afectando de manera simultánea a multitud de objetivos y en diferentes geografías. Lo más común es que los efectos de un ataque cibernético sean limitados, pero hay ocasiones en los que pueden paralizar por completo el trabajo de organizaciones enteras y afectar a su vez a terceras partes, por ejemplo, tras un ataque a una entidad financiera o un organismo público.

Son estos efectos en cadena los que pueden llevar a unas pérdidas catastróficas que impactarían gravemente en el sector asegurador, que vive un momento de clara tendencia al alza en la protección de ciberriesgos. En este terreno, hay un interés por estas coberturas que aumenta cada año, pero que también convive con la incertidumbre de cuál puede ser su verdadero alcance.

Ya han ocurrido algunos ataques masivos que dejan ver sus potenciales consecuencias. El mayor conocido hasta la fecha, causado por el virus WannaCry en el año 2017, causó unas pérdidas estimadas de unos 4.000 millones de dólares, tras infectar a organizaciones como la multinacional española Telefónica o el Sistema Nacional de Salud británico (NHS). Otros también han superado la cifra de los 1.000 millones en daños, una magnitud que podría multiplicarse, como temen los expertos en grandes riesgos.

Lloyd’s (el mayor mercado de seguros del mundo, de origen británico) ha tratado de calcular el coste económico que podría tener un gran ciberataque contra una de las principales redes de medios de pago, que afectaría a multitud de sectores a nivel global. Ese evento, “hipotético pero plausible” en palabras de Lloyd’s, tendría un impacto de hasta 3,5 billones de dólares, una elevadísima cifra que, pese a ser solo una aproximación, hace saltar las alarmas.

Esas pérdidas potenciales suponen un reto para el sector asegurador y su sostenibilidad al ofrecer protección en el mundo del ciberriesgo, un tema en el que ha profundizado la Asociación de Ginebra, la principal agrupación mundial de aseguradoras, en su informe “Cyber Risk accumulation: Abordando el reto de la asegurabilidad”.  En la misma línea que Lloyd’s, el estudio apunta que “todavía está por ver un evento realmente catastrófico” en ciberseguridad.

Óscar Taboada, responsable del área de Cyber en MAPFRE RE, confirma que existe esa percepción en el sector, y explica que, aunque un gran evento de este tipo “es impredecible, es uno de los puntos que más atención están suscitando en el mercado”. “Se ha avanzado mucho con los modelos de acumulación en los últimos años con el objetivo de estimar la máxima pérdida probable en un evento de estas características, pero aún se ven diferencias entre unos y otros. Debemos seguir avanzando”, apunta el responsable de ciberriesgos de la reaseguradora de MAPFRE.

Los ciberataques evolucionan a medida que los hackers tienen acceso a nuevas herramientas, tecnologías y financiación, y que encuentran las formas de explotar antiguas o nuevas vulnerabilidades. La mayor parte de ellos están orientados al beneficio económico, con ataques que, por el desarrollo del cibercrimen, pueden ser más masivos. Pero también existe el riesgo de los ataques destinados a causar daños en los sistemas y la economía de un determinado país, como ha sucedido en la guerra entre Rusia y Ucrania, un peligro creciente por un escenario geopolítico más complicado.

El coste global del cibercrimen ya asciende cada año a entre un billón y ocho billones de dólares, según distintas estimaciones. En el otro lado, aunque los seguros especializados en ciberseguridad no han dejado de crecer, las primas registradas a nivel global suman de 12.000 a 14.000 millones anuales, una cifra pequeña en comparación con el coste de los ciberataques,  lo que indica que buena parte de su potencial impacto permanece sin cubrir, como indican los expertos de la Asociación de Ginebra.

Sin embargo, volúmenes de pérdidas como los que empiezan a arrojar los modelos de predicción no podrían ser absorbidos en su totalidad por el sector asegurador. Distintos organismos del sector, nacionales e internacionales, ya trabajan para dar una respuesta conjunta y estudiar de qué modo se podría ampliar la protección mediante colaboraciones público-privadas.

En su intervención en la cumbre por el 50 aniversario de la Asociación de Ginebra, el presidente de MAPFRE, Antonio Huertas, destacó el papel que puede jugar el sector frente a los ciberriesgos, a los que señaló como uno de los grandes retos de nuestro tiempo: “Como aseguradoras, nuestra responsabilidad va más allá de la compensación financiera: debemos ayudar a nuestros clientes a navegar por el complejo panorama de las ciberamenazas.”

Para reducir las brechas de protección cibernética y garantizar que no haya ninguna marcha atrás en los beneficios sociales del cibersespacio, Huertas defendió la necesidad de compartir estos riesgos emergentes, entre aseguradoras, pero también con gobiernos y administraciones.

Existen muchas necesidades en ciberriesgos y esto representa una “gran oportunidad” para el seguro, afirma el responsable de Cyber de MAPFRE RE. Pero si se quiere aumentar la oferta de capacidad y productos en el mercado, “los potenciales clientes deben seguir madurando en aspectos de ciberseguridad y protección, con mucha mayor concienciación e inversión, y el sector asegurador debe seguir avanzando en un mayor conocimiento del riesgo que le permita seguir mejorando la suscripción.”

Además, Óscar Taboada indica que estos riesgos de carácter sistémico (eventos catastróficos, infraestructuras críticas, ciberguerras…) “no son asegurables por su potencial dimensión e incertidumbre”, y por lo tanto serán necesarias soluciones del tipo de los back stops —un límite máximo que el sector puede asumir y a partir del cual entren los Estados— o pools, que ya funcionan ante eventos como catástrofes naturales o atentados terroristas.

ARTÍCULOS RELACIONADOS: