Las políticas anticartel frenan el desarrollo de los ciberseguros

Mientras los reguladores, sean nacionales, europeos, globales…, no establezcan cierta excepción a las políticas anticartel va a ser complicado que se desarrollen de forma masiva los seguros que cubren los ciberriesgos. La reflexión es de Ángel Vallejo, responsable de Relaciones Institucionales de Thiber, en el marco de la jornada organizada por ICEA, ‘Lucha contra el fraude en seguros: ‘Ciberriesgos’”. Y lo que hay detrás de la misma es un problema que explica, en parte, la siguiente contradicción: si desde el año 2000 se está viendo que el mal uso de las Tecnologías de la Información y Comunicación (TIC) es algo habitual y con un gran potencial de generar daños, ¿cómo es posible que en 2016 no todos los actores de la economía tengan ciberpólizas?

El debate lo puso sobre la mesa Miguel Ángel Vázquez, coordinador de prevención y lucha contra el fraude de Unespa, que recordó cómo la industria aseguradora española resolvió el problema generado por el riesgo medioambiental, con estrategias como la creación de un ‘pool’: “Pero cada vez que el sector asegurador utiliza este mecanismo nos encontramos con la barrera de los temas de competencia y se la acusa de ‘carterización’”.
 

Si se mutualizan los datos en un primer momento,

las primas estarán en un rango similar, 

lo que podría ser calificado como cartel

 

Esto es así porque si ante un riesgo de este tipo las aseguradoras deciden mutualizar los datos en una primera fase del desarrollo de estos productos, el resultado será que las primas entre las diferentes aseguradoras estarán en un rango similar, por lo que esta estrategia podría ser calificada por el regulador como cartel. Esta circunstancia está frenando el desarrollo de los ciberseguros. Según Ángel Vallejo, la única manera de que se supere este obstáculo es que los reguladores afronten “la situación del ciberespacio como una cuestión sistémica que tiene que ver con la seguridad del mercado, el riesgo es palpable”.

La mutualización de los datos de las compañías podría ser un acicate del desarrollo de las ciberpólizas debido a que precisamente uno de los elementos que han actuado como disuasorios para generalizar el uso de estos seguros es la falta de un histórico del impacto de los incidentes relacionados con el ciberespacio y el valor del ataque explotado por parte de las aseguradoras. Es decir, la tarificación no está tasada: “No es tan fácil saber ni el tipo de problema que puede haber ni cuánto va a costar. Esa falta de histórico que el actuario necesita ha ralentizado el desarrollo de estos seguros”, afirma el responsable de Relaciones Institucionales de Thiber.

La ocultación de fallos y debilidades por parte

de las empresas acabará siendo sancionada

Hay otro factor especialmente importante que está jugando en contra del desarrollo de estos productos: el temor de las empresas a que las aseguradoras lleguen a tener más información de la organización de la que sería aconsejable. Son reacias a que se analicen sus sistemas para contratar un seguro y se pongan de relieve sus debilidades. Según Ángel Vallejo este problema se está poco a poco superando y pronostica que la ocultación de fallos por parte de las compañías acabará siendo sancionada.

En este contexto entra en juego el cuestionario del seguro y el análisis de la situación de la compañía previo a la contratación del seguro (SAR, según sus siglas en inglés). Este SAR es fruto de un trabajo que debería hacer la empresa antes de contratar una póliza para saber el grado de madurez de sus sistemas, la exposición que tiene y los problemas que puede generar un ciberriesgo. Las empresas dan la información que estrictamente le pide la aseguradora (el cuestionario), no el SAR, aunque el responsable de Relaciones Institucionales de Thiber reconoce que la frontera es difusa.

Hay más elementos que están ralentizando el desarrollo de los ciberseguros. Entre ellos, la propia naturaleza del riesgo. Inicialmente se pensaba en ciberriesgo como en algo etéreo, que no le podía pasar a uno ni generar daños a terceros; pero la evidencia ha mostrado que no es cierto. Además, Ángel Vallejo considera que también está pesando la falta de concienciación del nivel de exposición y del impacto asociado a la ciberamenaza de las empresas. Y todo ello a pesar de que existen muchos ejemplos que constatan que el cibercrimen ya está en prácticamente todos los negocios.

El modelo de gestión del fraude online ideal

es el preventivo, que consiste en estudiar

los tipos de fraude y anticiparse

Ante esta realidad hay que cambiar el modelo de gestión del fraude online. Según Félix Muñoz, director de InnoTec, el modelo idóneo es el preventivo, un modelo de ciberinteligencia, que consiste en estudiar los tipos de fraude y anticiparse. Para poder aplicarlo, según explica, se necesitan grupos de trabajo de 7 por 24 (trabajando a todas horas y todos los días); hacer una vigilancia digital para ver qué ocurre en otras empresas del sector; hay que contar con analistas y herramientas que permitan evaluar el riesgo online en la organización. También es muy importante medir para ver la evolución, y hacer ciberataques para probar la resistencia de la organización.

Y por último, hay que prestar mucha atención a la parte forense digital para poder contar con pruebas que llevar a juicio. Félix Muñoz reconoce que se trata de un proceso complejo en el que hay que estar atento especialmente a la cadena de custodia. Sobre la posibilidad de detectar a los atacantes, este experto considera que hay que valorar si merece la pena dedicar esfuerzos y recursos a este fin, ya que en muchos casos es tarea imposible.