Seguridad

Telefónica se blinda contra los 'hackers' con seguros de ciberriesgos por 405 millones

La teleco contrata seguros para ciberriesgos por 105 millones de euros y para errores y omisiones tecnológicos por 300 millones

José María Álvarez-Pallete, presidente de Telefónica.
José María Álvarez-Pallete, presidente de Telefónica.

Telefónica se protege de los ciberataques. La teleco española, consciente del impacto que sobre sus finanzas y reputación podría tener un incidente de ciberseguridad, ha decidido contratar dos seguros para cubrirse ante cualquier ciberriesgo. Así consta en su último informe de auditoría y cuentas anuales remitido a la CNMV, correspondiente a su ejercicio de 2018.

La compañía precisa que durante el periodo 2015-2018 y hasta la fecha dispone de diversos programas de seguros, “de forma que se mitigue el impacto en el balance derivado de la materialización de un gran número de riesgos”. En concreto, la operadora de preside José María Álvarez-Pallete tiene contratadas dos coberturas, una para ciberriesgos que ocasionen una pérdida de ingresos y de clientes, costes extra o gastos de recuperación de activos digitales, entre otros, y una segunda que llaman de “Errores y Omisiones tecnológicas” para el caso de reclamaciones por perjuicios ocasionados a clientes y terceros en general.

La cobertura actual contratada a nivel global para el primer seguro es de 105 millones de euros; una cifra que se eleva hasta los 300 millones en el segundo. En total, 405 millones de euros. Es la primera vez que la compañía detalla esta información en su informe.

Fuentes de la compañía aseguran a CincoDías que “entre sus programas corporativos de seguros, Telefónica cuenta con coberturas que se pueden activar ante este tipo de riesgos. Y como es habitual en este tipo de programas de seguros, la reaseguradora del grupo, Nova Casiopea, retiene una parte de dicha cobertura y accede al mercado internacional de seguros/reaseguros para transferir el riesgo en exceso”.

En su informe, Telefónica aclara que en 2018 solo ocho incidentes de ciberseguridad tuvieron impacto en la compañía, pero precisa que este fue “mínimo” gracias a los protocolos de seguridad que aplicó. La operadora sufrió en mayo de 2017 un grave ataque de ramsonware (WannaCry), que infectó a miles de sistemas de muchas entidades públicas y privadas en todo el mundo. El ataque, que afectó a sistemas Windows, cifrando todos sus archivos, y los de las unidades de red que estuvieran conectadas, infectando al resto de equipos con ese sistema operativo que hubiera en esa misma red, causó pérdidas de hasta 8.000 millones de dólares, según recuerda la consultora de riesgos globales y broker de seguros Marsh.

También en julio de 2018, Movistar sufrió un fallo de seguridad que dejó al descubierto los datos personales y de facturación de sus clientes con sus nombres, domicilios, direcciones de correo electrónico, numeraciones, así como el desglose de sus llamadas. Solo un día después de conocerse, la teleco española indicó que la vulnerabilidad estaba resuelta y que no habían detectado ningún acceso fraudulento.

Telefónica, en cualquier caso, es una de las pocas telecos que cuenta con un seguro de cobertura de riesgos de ciberataques, a tenor de la encuesta elaborada por Marsh y Microsoft. Hace tres meses revelaron que solo una de cada tres operadoras de telefonía, empresas de comunicación y tecnológicas cuenta hoy con una póliza de ciberriesgo. Marsh aseguró que ese “insuficiente” nivel de protección resulta “aún más grave” si se tiene en cuenta que este es el principal riesgo identificado por ejecutivos europeos en cuanto a sus negocios.

Pese a ello, la responsable de Cyber de Marsh España, Sara Muñoz, aclara que en los dos últimos dos años, “y dada la frecuencia con la que se están produciendo los incidentes cibernéticos, vemos que la prioridad de los equipos de dirección corporativa se está centrando mucho más en la prevención, fortaleciendo las medidas técnicas de seguridad y cumplimiento normativo”.

Parece claro que la decisión de Teléfonica de contratar sus seguros de ciberriesgos responde a unos datos cada vez más preocupantes: España sufrió 102 ciberataques graves en 2018, según destacó hace unas semanas el director del CNI, el general Félix Sanz Roldán. Este detalló que solo en enero de 2019 el CNI tuvo constancia de 4.000 ciberincidentes (38.000 en todo 2018).

El CEO de Eleven Paths, unidad de Ciberseguridad de Telefónica, Pedro Pablo Pérez, destacó hace unas semanas en unas jornadas en Sevilla que “todas las empresas están amenazadas independientemente de su tamaño y han sido hackeadas, pero algunas lo saben y otras no”, según informó Europa Press. Y añadió que “el coste medio de una brecha de seguridad se sitúa en más de tres millones de euros”.

En este contexto, Carlos Rodríguez, especialista de AIG España, reivindicó hace unos días en unas jornadas sobre gestión de ciberincidentes organizada por KPMG que “el seguro de ciberriesgos es la póliza de incendios del siglo XXI”. “Es primordial hacer frente tanto a la pérdida financiera que pueda sufrir una empresa atacada como a la reputacional, algo que se puede paliar transfiriendo los perjuicios a través de una póliza de seguros”.

Una estrategia de largo plazo

Consejo asesor. Telefónica mantiene desde hace años una fuerte apuesta por la ciberseguridad. Como vía de negocio (cuenta con su unidad Eleven Paths) y como política estratégica para evitar los ciberataques. La teleco creó a mediados de 2018 un consejo de ciberseguridad como palanca para apoyar su estrategia de seguridad integral y digital. Dicho órgano asesor está integrado por personalidades como Javier Solana o Mike Rogers, ex congresista de EE UU y experto en ciberseguridad que fue miembro del Comité de Inteligencia de la Cámara norteamericana y del FBI.

Privacidad. La teleco tiene un comité de Seguridad Digital, que creó en 2018, y para impulsar un entorno digital seguro, también decidió contar con un chief data officer, que forma parte del Comité Ejecutivo. Y con un delegado de protección de datos (aunque en este caso una figura exigida para algunas empresas por la Agencia española de Protección de Datos en aplicación del nuevo GDPR).

Recompensa. La compañía cuenta, según indica en su informe, con un programa de recompensa por el descubrimiento de vulnerabilidades con empresas seleccionadas expertas en ciberseguridad.

Normas