El seguro contra ciberriesgos en tiempos de coronavirus

La situación de confinamiento ­-más o menos riguroso- que se vive en muchos países del mundo como consecuencia de la crisis de la Covid-19 ha supuesto un aumento considerable del tráfico de datos en internet: se han multiplicado las descargas de archivos, las reuniones por medios telemáticos y los envíos de correos electrónicos.

Este aumento de la actividad cibernética viene acompañado de un aumento de los ciberataques.

La Covid-19: el gancho perfecto

El interés informativo que suscita la Covid-19 genera búsquedas masivas de contenido. Esta oportunidad no ha sido desaprovechada por los ciberdelincuentes, que han hecho del virus el mejor cebo para sus trampas.

En las últimas semanas la Policía Nacional ha detectado más de 12.000 páginas web fraudulentas relacionadas con la Covid-19. El Grupo de Delitos Telemáticos de la Guardia Civil informaba de que se está suplantando la identidad del Ministerio de Sanidad (también de la Organización Mundial de la Salud) para obtener datos de forma fraudulenta con el pretexto de informar sobre la pandemia.

Las empresas no solo no son ajenas a estos ciberataques, sino que son uno de sus blancos principales, especialmente en momentos en los que tantos empleados trabajan en casa, a veces desde ordenadores personales (mucho menos preparados frente a ciberataques) y casi siempre mediante sus redes domésticas (también más vulnerables).

Por ejemplo, se están haciendo llegar correos electrónicos a responsables de compras de empresas, supuestamente dirigidos por sus superiores, en los que se insta a realizar un aprovisionamiento de material a un proveedor concreto (mascarillas, guantes o gel desinfectante) con un pago por adelantado.

Frente a este riesgo, las empresas tienen ya una notable concienciación sobre la importancia de contar con sistemas de protección de tipo preventivo (como antivirus o firewall) cuya función principal es repeler un ataque. Pero no siempre funcionan.

Complemento de las medidas de prevención

Las grandes y medianas empresas son conscientes de que, para combatir con eficacia los riesgos cibernéticos, resulta fundamental combinar las medidas de prevención con las de recuperación (las que sirven como respuesta cuando el ciberataque no ha podido ser rechazado). Esto no ocurre con las de pequeño tamaño, que -paradójicamente- son las más vulnerables por su falta de medidas de prevención, estando incluso expuestas al cierre del negocio tras un ataque informático. Es ahí donde el ciberseguro juega un papel fundamental.

Muchas empresas tienen un seguro de responsabilidad civil y/o de daños para proteger su patrimonio ante un siniestro relacionado con sus activos tangibles (un incendio en una fábrica, un error de diseño en un producto que provoca daños a bienes de un cliente, etc.); pero pocas tienen un seguro contra las consecuencias de un ciberataque (interrupción del negocio por bloqueo de sistemas, secuestro y publicación de datos).

Estos seguros intervienen en caso de siniestro desde el primer momento, poniendo a disposición del asegurado un servicio de expertos informáticos especializados contratados por el asegurador para tratar de solucionar el incidente (accediendo a los sistemas, recuperando los datos y eliminando el software malicioso). En caso de infección por ransomware (secuestro de información contenida en los sistemas informáticos exigiendo un rescate para su liberación) se hacen cargo del pago del rescate.

Además, según las condiciones de la póliza contratada, cubrirán la responsabilidad civil por daños producidos a terceros (clientes, proveedores) como consecuencia de un ataque a los sistemas informáticos del asegurado; y la pérdida de ingresos derivada de la interrupción de la actividad tras un ciberataque que haya inutilizado temporalmente los sistemas informáticos del asegurado, impidiendo el normal desarrollo de su actividad.

En muchos casos, además, estas pólizas no solo otorgan coberturas frente a ataques informáticos provenientes del exterior (es decir, acceso o daño intencionado a sistemas informáticos o a datos por parte de un tercero), sino también frente a situaciones como fuga, publicación o destrucción de datos derivadas de un fallo (informático o humano), o las causadas por un empleado desleal.

Por último, estos seguros suelen contener coberturas en materia de protección de datos, no solo para mitigar los daños a terceros tras una brecha de seguridad, sino incluso protegiendo el patrimonio del asegurado frente a las sanciones derivadas de un incumplimiento de la normativa de protección de datos, en la medida en que el ordenamiento jurídico lo permita.

Se trata, en definitiva, de una herramienta sumamente interesante para la gestión empresarial de los riesgos cibernéticos, tan reales como los de robo, incendio o accidente, y que afectan por igual a autónomos, pymes y grandes empresas.

Javier Wesolowski, socio de Wesolowski Abogados.

Patricia Villalva, directora general de CYBNUS.