El corporate underwritter Cyber Insurance de Munich Re, Thomas Rothärmel, ha realizado un primer balance desde el punto de vista asegurador sobre el ataque WannaCry que afectó a un gran número de empresas españoles y en otros países del mundo a inicios del pasado mes de mayo. Señaló, en el XVIII Congreso Nacional de Agers, que afortunadamente desde el seguro se puede decir que se ha pasado del WannaCry al WannaLaugh, evidenciando que las consecuencias no han sido tan abultadas como en un inicio se esperaban.

Explicó que "los siniestros asegurados no han sido sustanciales" y añadió que los rescates pagados oscilan los 300 dólares, una cantidad pequeña y por debajo de incluso la prima del seguro. Destacó también que tampoco ha habido "interrupciones de la actividad importantes, ni tampoco filtraciones de datos personales".

Incidió en que este ataque no ha tenido un gran efecto en Estados Unidos y ess el país que lidera con diferencia la contratación de los seguros Ciber al tener el 90% de las pólizas mundiales. Señaló el directivo que ha afectado a países donde la penetración de estos seguros es baja y "no parece un evento importante para los seguros", aseguró. 

En su ponencia Rothärmel indicó que las primas Cyber estuvieron cercanas el pasado año a los 4.000 millones de dólares. Auguró que para 2020 se espera que el volumen de primas contabilice los 8.000 millones y que se desarrolle en un gran número de países y no principalmente en Estados Unidos como hasta ahora.

Un antes y un después de WannaCry

Este ataque cibernético ha contribuido a aumentar la conciencia sobre estos riesgos en las empresas españolas: "Ha sido un empujón para ser conscientes de que estos riesgos son verdaderos y que pueden afectar a todos los sectores".

En el turno de debate posterior a la presentación, Manuel Carpio, Vp de Intelsynet y exciso de Telefónica, indicó que "hay un antes y un después" de este ataque a efectos de concienciación, especialmente en la alta dirección. Señaló que el ataque se ha quedado en redes externas y de esta forma se ha limitado su impacto. Señaló que en España hay 2 formas de concienciar, a través de multas y los incidentes; señaló que en el mundo cyber hay una tercera y será las notificaciones que hay que hacer si se recibe un ataque según obligará la ley, principalmente por el riesgo reputacional que se puede derivar para la empresa.

Respecto a la ley, la mesa redonda abordó la figura del delegado de protección de datos (DPO) que será obligatorio a partir del 25 de mayo de 2018. Ricard Martínez, director de la Cátedra Microsoft de la Universidad de Valencia, destacó que esta figura será quien pilote la entrada de la nueva regulación. Incidió en que no es baladí quién ocupa este puesto porque tiene que tener conocimientos sobre la ley, sobre la empresa, el negocio en sí, y sobre los conceptos importantes y, advirtió, "no vale el enfoque tradicional".