Ciberseguros, ¿opción u obligación?...

Introducción, historia y antecedentes

Si lo habitual en una empresa es contratar un seguro de incendio o robo, ¿por qué no asegurarse también contra los riesgos por delitos informáticos? Las empresas son responsables de grandes cantidades de datos, tanto de sus clientes como de sus empleados, y tienen que responder ante una eventual brecha digital. Incluso el pequeño comercio debe cumplir con el estándar de Seguridad de Datos para la Industria de las Tarjetas de Pago y por lo tanto está sujeto a las posibles multas y sanciones. Si se da en una empresa una violación de seguridad con el consiguiente robo de información estratégica referente a nuevas ubicaciones de tiendas, planes de ventas o de marketing, por mencionar algunas, representaría un coste muy elevado y difícil de cuantificar.

Los denominados 'ciberseguros' son seguros frente a riesgos derivados de las nuevas tecnologías: ciberataques, intrusiones de hackers-malos, virus informáticos, fugas de información, robo de bases de datos de clientes, riesgos derivados de la acción de empleados deshonestos o negligentes, etc.

Los ciberseguros nacen en 1996 en Estados Unidos, donde las empresas están especialmente interesadas en asegurar la privacidad de sus datos. El mercado europeo de ciberseguros es aún pequeño comparado con el de Estados Unidos, pero crece también a buen ritmo. El seguro frente a ciberataques proporciona una valiosa herramienta de gestión de riesgos que ayuda a la empresa a cubrir su patrimonio tanto material como inmaterial (reputacional). La amenaza que representan los riesgos cibernéticos ahora es tan tangible como las amenazas físicas a los activos de una empresa, ya que la información electrónica cada día está más presente, ya sea en los dispositivos móviles, ordenadores, servidores, bases de datos locales o en la nube (en línea).

Si algo ha quedado patente tras los ataques cibernéticos masivos vistos, es que las actuaciones de los ciberdelincuentes son cada vez más sofisticadas. Por ejemplo, "WannaCry" en 2017 infectó a más de 200.000 empresas de todas dimensiones e instituciones de 150 países, lo que terminó poniendo una pregunta sobre la mesa: ¿estaban realmente preparadas para hacer frente a un ciberataque?. Las compañías demandan soluciones, mientras que el mercado asegurador analiza cómo hacer frente a uno de los mayores desafíos a los que se ha enfrentado nunca: diseñar pólizas para proteger frente a amenazas en constante evolución y cambio diario. No es tarea sencilla, ya que no es posible revisar comportamientos pasados sobre los que construir el producto asegurador. El éxito de un ataque cibernético radica precisamente en ir transformándose para saltarse los controles de seguridad y causar el mayor daño posible en una organización, incluyendo el atacar nuevos puntos de la infraestructura para lograr que la actividad de la empresa se resienta lo máximo posible. Debemos pensar que actualmente el 99% de la infraestructura de una organización grande está interconectada, por lo que un ataque informático puede llegar a paralizar, parcial o completamente, su correcto funcionamiento. A lo anterior se une una segunda problemática, la sensibilidad de la información provoca que en muchas ocasiones los asegurados no quieran compartir detalles sobre los incidentes o brechas de seguridad sufridas, así como las medidas que han adoptado. Ello provoca que sea más difícil fijar los precios de las pólizas y se ralentice el proceso de aprendizaje en el campo de la ciberseguridad.

Ante un escenario en el que los riesgos son tan cambiantes y los elementos a asegurar tan numerosos, el objetivo debe ser crear una póliza "viva", en la que los mapas de riesgo sean objetivo de revisión cada cierto tiempo, de tal manera que recojan las nuevas amenazas a las que el asegurado se enfrenta. En definitiva, deben crearse productos aseguradores ad hoc para las necesidades de la compañía tras la realización de una auditoría previa que permita configurar un mapa de riesgos para que la póliza que se contrate, se adapte a sus necesidades. La clave para que estos productos sean verdaderamente eficaces es que den respuesta al conjunto de los siniestros que se puedan producir en la propia red como consecuencia de un ataque cibernético, un fallo en el sistema, o un error humano.

Otro de los hitos que supuso un cierto cambio de actitud por parte de las empresas (junto con el ataque "Wannacry" de 2017) y que abrió el mercado de ciberseguros fue el ataque del malware "Petya", que costó unos 250 millones de dólares solo a la naviera Maersk, también en el 2017. El alcance de ambos incidentes supuso un antes y después en el mundo de la ciberseguridad. En España también representó un cambio fundamental la entrada en vigor de la ley de protección de datos en el 2018. Según dicha ley, las sanciones por pérdida de datos relevantes de los clientes pueden llegar hasta a un 4% de la facturación consolidada de la empresa o hasta 20 millones de euros.

Se podría decir que los ciberseguros para empresas son una solución para pymes (y grandes compañías) que integra un seguro de daños propios y de Responsabilidad Civil frente a terceros en materia de ciberseguridad así como un Servicio de Prevención de seguridad en la información.

Según el Instituto Nacional de Ciberseguridad (INCIBE) hay cuatro maneras de tratar los ciberriesgos: evitarlos, mitigarlos, aceptarlos o transferirlos. Los ciberseguros se encuentran en la última de las opciones, donde se vincula y obliga legalmente a una aseguradora ante la ocurrencia de determinados siniestros, pagando una cantidad especificada al asegurado. En contrapartida, el tomador del seguro pagará una prima a la aseguradora.

Expuestos a un ciberataque o a la pérdida de información de forma fortuita nos encontramos ante unos daños de difícil reparación. En muchas ocasiones estos daños tendrán consecuencias muy negativas para el funcionamiento de la empresa. Posiblemente un seguro convencional no los cubrirá por lo que tendríamos que acudir a un seguro especial que incluya todo este tipo de daños y actuaciones, son los denominados “Ciberseguros”.

El "hack" contra Sony (en 2014) fue uno de los más devastadores ataques informáticos de la historia. Se estima que la multinacional Sony Pictures perdió unos 100 millones de dólares en los 30 días que duró el ataque: sus documentos más confidenciales fueron aireados, así como información privada de sus empleados e incluso películas que no se habían estrenado. Por suerte, Sony tenía un seguro que ha cubierto buena parte de las pérdidas.

La corporación Target también tenía un seguro cuando, a finales de 2013, descubrió que le habían robado los números de tarjetas de crédito y débito de 40 millones de clientes, así como los datos personales de 70 millones de personas. Fue una debacle en la que Target perdió además muchas ventas. Sólo el ataque costó a la corporación 61 millones de dólares, de los cuales su seguro cubrió 44.

Como en otros seguros, los ciberseguros también contemplan la posibilidad de catástrofes, categorizadas en 4 supuestos o escenarios: el mayor proveedor de datos en la nube sufre una violación de su seguridad, el mayor proveedor de alojamiento de aplicaciones en la nube sufre un paro de 24 horas, el mayor proveedor de servicios de procesamiento de pagos sufre un fallo de seguridad y no pueden hacerse pagos en comercio electrónico durante 48 horas y un ciberataque provoca un paro de transmisión de la electricidad durante 48 horas.

Los delitos más habituales que sufren las empresas, según el Instituto Español de Ciberseguridad (INCIBE) son: los accesos no autorizados a información confidencial, junto a los engaños tipo phishing para robar datos bancarios o contraseñas. Las víctimas más habituales (según INCIBE), son las grandes compañías tecnológicas, los bancos/entidades financieras, las pymes de contenido audiovisual, editoriales, agencias de viajes, empresas de contenido científico o técnico, de comercio y hostelería.

Citemos otro caso real que es muy ilustrativo: la empresa BitPay demandó a su compañía de seguros porque no aceptó pagarle un robo; en diciembre de 2014 alguien hackeó la cuenta del CEO de la empresa BTC Media, que estaba en conversaciones con BitPay. Haciéndose pasar por el jefe de BTC Media, el atacante mandó un mail al director financiero de BitPay, que creyó el engaño y abrió un documento adjunto. Al hacerlo sus credenciales de correo cayeron en manos del ciberdelincuente, quien usó su cuenta para mandar mails al CEO de BitPay. Este, creyendo a su vez estar hablando con el director financiero, autorizó tres transacciones valoradas en 1,8 millones de dólares. La compañía de seguros de BitPay (Massachusetts Bay Insurance Company), se negó a pagar porque según sus abogados, "la póliza requiere que la pérdida de dinero sea resultado directo del uso de un ordenador para hacer la transferencia fraudulenta". Es decir, el seguro sólo cubría el robo si era consecuencia directa de un acceso no autorizado a un sistema informático. En este caso, el sistema asaltado por el ciberdelincuente había sido el de BTC Media, no el de BitPay.

Otro caso ocurrido en 2016: un banco en Virginia (EEUU) fue víctima de un ciberataque. Cuando se denegó la reclamación de su póliza de 6,9 millones de euros por cibercrimen a favor de una póliza de 43.300 euros por fraude con tarjetas de débito, se produjo una confusión y se iniciaron acciones legales. La ciberintrusión que se produjo en este caso fue por un ataque de phishing, a través del cual se accedió a los servidores donde se instaló el malware para robar nombres de usuario y contraseñas, que luego se utilizaron para crear transacciones defectuosas utilizando los sistemas de cajeros automáticos del banco. El proveedor de seguros había escrito una excepción a la política de ciberdelito cuando el incidente fuera a través de «dispositivos mecánicos automatizados». Dependiendo del tamaño de la empresa y de la sensibilidad de los datos que se deseen proteger, puede ser muy recomendable contratar a un asesor de seguros independiente con experiencia en ciberseguros . Si como en el caso anterior, estuviéramos ante unas pérdidas de 6,9 millones de euros, habría merecido la pena el gasto.

Otro caso ocurrido: a JP Morgan le robaron información de 76 millones de clientes. Hay que tener en cuenta que, aunque el seguro cubra parte de los costes que se deriven de un incidente de seguridad, la pérdida de confianza y por lo tanto de clientes difícilmente será compensable por completo con un seguro, por lo que es conveniente que se adopten medidas proactivas que ayuden a mitigar y reducir el riesgo de forma efectiva a lo largo del tiempo, como el contratar auditorias de seguridad que ayuden a detectar o prevenir fugas de información o espionaje.

Básicamente los ciberseguros ofrecen protección frente a reclamaciones de terceros y de empleados, y ante las posibles investigaciones de la Agencia Española de Protección de Datos por un incumplimiento de la legislación en esta materia. El seguro aporta cierta tranquilidad, como medida reactiva, actuando cuando el incidente de seguridad se haga conocido, pero también hay que tener en cuenta que las aseguradoras están adoptando medidas para definir y revisar los riesgos que pueda tener la empresa, ofreciendo en ocasiones y de manera complementaria, un servicio de ingeniería informática que no deja de ser una especie de auditoria de seguridad, revisándose los niveles de seguridad de la empresa, con una conclusión de recomendaciones y verificaciones de mejoras.

Datos, datos, datos… parece la palabra de moda en cualquier reunión profesional. Tenemos claro que los datos son el petróleo de nuestros días y que hay que hacer algo con ellos para que el negocio vaya mejor, pero a veces las decisiones que se toman son demasiado impulsivas y no tienen más sentido que el de demostrar que estamos invirtiendo en lo que otros dicen que hay que poner los recursos. Nada más lejos de la realidad. Una inversión a gran escala para transformar los procesos de negocio dentro de una organización requiere de muchas horas de estrategia, de reflexión y de toma de decisiones meditadas. Y es, precisamente en ese momento cuando surge la pregunta más importante: ¿qué pasará con la seguridad de esos datos? La tendencia actual más disruptiva en el mundo de la ciberseguridad es la microsegmentación. Ya ni siquiera los responsables de seguridad se fían ni de los datos que circulan por su propia red corporativa ni de los usuarios que acceden a ella. La microsegmentación es la tecnología que divide una red hasta un nivel granular de forma que los equipos de seguridad tienen la flexibilidad para aplicar el nivel correcto de protección a cada carga de trabajo basándose en la sensibilidad y en el valor del negocio. Más de la cuarta parte de los profesionales que trabajan en el mundo de la ciberseguridad ya han implantado o están implantando tecnologías de microsegmentación con el objetivo de crear un perímetro definido por el software dentro de sus respectivas organizaciones. Las ventajas fundamentales se basan en una reducción de la frecuencia de pérdidas de datos, un rendimiento mejorado y una importante capacidad para la limitación de la distribución de amenazas dentro de la red. El perímetro de la red, tal y como trabajamos hoy en día, es prácticamente indefendible con tantas cargas de trabajo distribuidas en local y/o en la nube, y con usuarios remotos o móviles accediendo desde cualquier dispositivo. Por ello es necesario buscar otros enfoques basados en la identidad y en los datos segmentados dentro de la red, en la ofuscación de la información y en la automatización y analítica de la seguridad. Los expertos defienden ir paso a paso siguiendo un camino que incluya la priorización, la protección, la predicción, el aislamiento y la reparación.

Cada año, Unisys lleva a cabo un estudio en el que pregunta a los responsables de seguridad de empresas de todo el mundo cuáles son sus mayores inquietudes para el futuro. Los resultados mostraron que los ataques son ahora tan profundos que pueden incluso amenazar a la democracia. Desde un ámbito más corporativo, las mayores amenazas vienen del mundo online, con la suplantación de identidad o el fraude con tarjetas bancarias a la cabeza, muy por encima al temor a un terremoto o a actividades terroristas. Por eso, contar con una política innovadora de seguridad que incorpore técnicas de microsegmentación y de aislamiento de dispositivos, personas o redes, y sobre todo que proteja los datos de cualquier amenaza; junto con un completo ciberseguro adaptado a la organización/empresa, es clave para conseguir una mayor fidelidad en nuestros clientes.

Marco geopolítico y social

El ciberseguro no es sólo un negocio o una póliza más, se podría decir que es incluso una responsabilidad social y empresarial. Más del 70% de las empresas afectadas por ciberataques son pymes y solo el 37% cuenta con un plan de respuesta, por lo tanto el potencial de mercado es alto. La ciberseguridad y el ciberriesgo se encuentran a la vanguardia de las preocupaciones de los operadores económicos y de las autoridades públicas. Frente a esto, el sector asegurador tiene un importante papel que desempeñar en el establecimiento de unas adecuadas prácticas de gestión de riesgos y de la cobertura asociada. En la actualidad el ciberseguro está creciendo con rapidez. Varias compañías han pronosticado que el negocio del ciberseguro puede superar los 20.000 millones de dólares en primas en el año 2025 a nivel mundial. Un estudio del Instituto Nacional de Ciberseguridad (INCIBE) indica que en los últimos 5 años tres de cada cuatro empresas españolas han sufrido un ciberataque.

Cuando decimos que una póliza de ciberseguridad debe comprender también las violaciones de privacidad por brechas de seguridad y fuga de datos sensibles, se debe a que la misma puede tener su origen en un ataque masivo como un "ransomware", que secuestra los datos privados de una organización y solicita un rescate para permitir la liberación de los mismos. En este momento, la compañía encargada de custodiar la información sensible de sus clientes la pierde en favor de un tercero, que se hace con el control de la misma; de ahí́ que la solución aseguradora deba comprender tanto los gastos del rescate como los perjuicios ocasionados como consecuencia del ataque. Si hace unos años este tipo de riesgos era algo impensable, ahora la protección frente a ellos se ha convertido en una prioridad para las multinacionales y empieza a serlo para las empresas de menores dimensiones. Unos avances que están teniendo un reflejo directo en el crecimiento tan espectacular que la rama de ciberseguridad ha experimentado dentro del mercado asegurador europeo. En un momento en que el mercado ofrece grandes perspectivas de crecimiento, el mayor desafío se sitúa en el diseño de pólizas que no han sido probadas para riesgos en continua evolución.

Debe tenerse en consideración que dichos riesgos no sólo se centran en aquellos asociados a los ataques externos o internos (no olvidemos que un foco muy importante de riesgo es el empleado descontento), sino que también se encuentra como factor de riesgo los errores humanos. Por otro lado, igualmente es importante destacar que los sistemas informáticos que debemos proteger no son únicamente los propios, sino todos aquellos que de alguna manera tengan conectividad con los nuestros, con lo que no podemos olvidarnos de los proveedores (y/o clientes). De hecho, una buena gestión de riesgos incluye de manera contractual la limitación de responsabilidad y la exigencia de unas medidas de seguridad adecuadas de los proveedores. Estamos empezando a ver que se está instaurando como buena práctica la exigencia de las pólizas ciber a los propios proveedores.

Los ciberdelincuentes y las aseguradoras tienen en común que ambos se fijan en pymes indefensas. El aumento del riesgo de ataques a las redes de empresas anima el mercado asegurador. Según el Instituto Nacional de Ciberseguridad (Incibe), España es uno de los países del mundo que más ataques informáticos registran las empresas, y estos crecen a un ritmo del 200% anual. La señal de alerta ha despertado a las compañías de seguros que están diseñando cada vez más productos ante la que es ya una creciente demanda y se prevé un crecimiento exponencial. Pero las pequeñas y medianas empresas, las más desprotegidas, son todavía reacias a tomar precauciones ante la creencia de que no están en la diana... pero se equivocan. Los ciberdelincuentes se están fijando en las firmas más desprotegidas. Un informe de la consultora Deloitte dice que las empresas que invierten más del 10% de su presupuesto tecnológico en ciberseguridad reportan 0,6 incidentes al año, mientras que las que dedican menos del 10%, experimentan al menos tres. Las empresas que facturan entre 2.000 y 5.000 millones de euros son las que tienen un mayor número de incidentes al año, casi cuatro. En el caso de las pymes, la mayoría se sienten «poco o nada preparadas para hacer frente a un incidente de seguridad, por lo que optan por la opción de un ciberseguro», dicen los expertos de Deloitte. Hace unos años solo estaban interesadas por ciberseguros las grandes empresas y ahora mismo cada vez son más las pymes que solicitan un presupuesto y contratan una póliza especializada. Aunque todavía el grado de concienciación en las pymes es insuficiente y la partida presupuestaria sigue sin estar en su gerencia de riesgos o ser una prioridad.

Una de las claves de la utilidad del seguro que manifiestan los pequeños empresarios es que la compañía ofrezca servicios sin franquicia en los momentos iniciales tras la presentación del parte de siniestro. Suelen entrar en estos servicios las consultas a servicios jurídicos o los primeros remedios técnicos para evitar males mayores. Hay que tener en cuenta que desde que un sistema se infecta por un ‘malware’ por ejemplo y hasta que se detecta transcurre un promedio de 256 días... ¿cuántos sistemas estarán infectados sin saberlo?...

Los ciberseguros abren un nuevo vector de negocio no sólo para las aseguradoras sino también para las empresas de seguridad informática, que pueden colaborar en hacer el análisis de riesgo para la aseguradora, realizar las revisiones cíclicas de seguridad que contemple el seguro y, en caso de siniestros, hacer el análisis forense y la gestión de incidentes. En España han ido evolucionando los activos y riesgos a asegurar, desde el simple cumplimiento de la Ley de Protección de Datos hace unos años hasta la complejidad actual, que exige un grado de auditoría de mayor nivel, con un análisis de riesgos de procesos, tecnologías y compliance (cuyos resultados harán variar las primas obviamente). Los requisitos mínimos que debe cumplir una empresa para poder contratar una póliza de este tipo serían tener una política de seguridad y cumplir la normativa. Ahora bien, un ciberseguro no debe suplir la falta de seguridad de una empresa. Sentirse seguras sólo porque han contratado un ciberseguro es una de las confusiones más frecuentes de las empresas. Otro grave problema en la práctica diaria, que implica tanto a empresas como aseguradoras, es que muchas veces no están bien definidas las reglas del juego. La sensación que se tiene es que este mundo está evolucionando de forma exponencial y se necesita que toda la cadena de valor esté formada y tenga criterios homogéneos. Falta estandarizar los niveles de seguridad que deberían pedirse a tal infraestructura o empresa para calcular a qué póliza puede aspirar, así como certificar a las empresas que actúan de peritos. Por otra parte, las compañías que solicitan los ciberseguros tienen dificultad en definir qué necesitarían para garantizar su continuidad, o no tienen claro qué volumen de cobertura necesitan. Se quejan los empresarios de que tampoco las aseguradoras muchas veces tienen límites bien marcados respecto a qué están dispuestas a asumir. Todo ello genera incógnitas sobre los niveles de confianza de las infraestructuras de los clientes y el alcance y volumen de las coberturas y primas de las pólizas.

“Su paquete en camino, haga clic aquí para comprobar dónde se encuentra”... Una copia del email tipo de una compañía de envíos y un solo clic es suficiente para que un ciberdelincuente se cuele en la red de una pyme y encripte (o secuestre) toda su información: datos de clientes, reservas, pedidos, facturación, etc. En la pantalla del ordenador un archivo .txt del tipo “Léeme” en el que se comunica al empresario el “rescate” que tiene que pagar para recuperar sus datos, normalmente un pago a través de criptomonedas para evitar que la transacción deje rastro alguno. Este ataque descrito es de tipo “ransomware” (extorsión, chantaje) y ha sido el ciberdelito "estrella" hasta ahora contra las pymes españolas. Cada año prácticamente se duplica el número de ataques a pymes con respecto al año anterior. Cada incidente/siniestro le puede suponer a una pyme hasta 50.000 euros de media. No todos los ‘rescates’ solicitados son elevados, muchas organizaciones de delincuentes han pasado de lanzar 1 ó 2 ataques a grandes empresas, a lanzar 200 a pymes, ahora van a volumen (según Thiber). Este incremento exponencial del número de ataques y sobre todo el hecho de que las pymes se hayan convertido en el objetivo principal de los ciberdelincuentes, está poniendo sobre la mesa la necesidad de combatir unos delitos que ya en 2014 (con menos de una cuarta parte de los delitos actuales) el Incibe calculó que costaban a las empresas españolas más de 13.000 millones de euros anuales. Esta cuantía crece exponencialmente porque no es sólo que vayan a por más empresas, es que las empresas están cada vez más expuestas digitalmente. Además la ley es cada vez más restrictiva. Las nuevas obligaciones del reglamento europeo 2016/679 que amplía la Ley Orgánica de Protección de Datos (LOPD) en dos aspectos principales: sube las sanciones máximas de 600.000 a 20 millones de euros (o el 4% de la facturación) y obliga a las empresas a comunicar cualquier fallo de seguridad (y por tanto haberlo detectado).

Frente a este panorama, bastantes pymes comienzan a buscar soluciones. Otras las están buscando tras haberse visto atacadas. Cada vez hay más ruido, pero la mayoría de las que piden información es porque han sufrido un ataque, o conocen a otra empresa a la que le ha ocurrido. Sólo hay dos tipos de empresas: las que ya han sido atacadas y las que lo van a ser. A pesar del aumento de los ataques, solo el 40% de las empresas y, en general, solo grandes compañías, están cubiertas en mayor o menor medida frente a algún tipo de ciberriesgo. En las pymes españolas aún el nivel de concienciación es demasiado bajo. Una pyme es cada vez más una oficina, con x ordenadores conectados a internet mediante un router sin protección. En el mejor de los casos, cuentan con un antivirus que por sí solo no es suficiente protección. Acceden desde muchos dispositivos, se instalan aplicaciones, descargan archivos… es un blanco fácil para los ciberdelincuentes. Normalmente todas las empresas tienen muchos puntos débiles, lo parte positiva es que son fáciles de combatir si se analizan por profesionales (y hay ofertas en el mercado desde 90 euros al mes). Las consecuencias de un ciberataque pueden ser mucho peores que las de un robo tradicional.

Cuando se acerca la campaña de la renta o del impuesto de sociedades, los ciberdelincuentes aprovechan para cargar contra las empresas y particulares simulando una comunicación de la AEAT. Ajustando al máximo el diseño e incitando por ejemplo a verificar alguna cuestión relacionada con el borrador, pueden lanzar una campaña masiva. Tanto en diseño como en modus operandi los ataques son cada vez más sofisticados. Uno de los peores ataques recientes fue uno en el que el ‘secuestrador’ daba dos opciones para recuperar el acceso a los datos: pagar o infectar a 10 contactos… pues sorprendió la rapidez con la que se extendió el virus. El hecho de que la gente prefiriera expandir el virus a sus contactos antes que pagar o buscar una vía alternativa tiene que ver también con el “miedo a contarlo” que tienen las compañías que sufren un ataque de este tipo ya que afecta a su reputación y esto puede hacerles perder clientes. Se han detectado ya incluso “servicios de ransomware”, a través de los cuales los hackers más expertos ofrecen a los ciberdelincuentes una plataforma desde la que poder lanzar sus ataques de forma profesionalizada e incluso medir su efectividad. No hay una visión realista de la situación porque mucha gente no denuncia, pero al menos de los casos que se investigan se pueden extraer tendencias. Esta falta de denuncias es de momento un arma adicional para los ciberdelincuentes, confiados de que con cierta destreza no serán pillados; se amparan en ‘paraísos del cibercrimen’ que no tienen tipificados los ciberdelitos o lo hacen de manera muy laxa.

Un ramsonware no es lo mismo que un terremoto. Al hacer frente a uno de estos virus secuestradores de información se complica la tarea de estimar la probabilidad del ataque, su impacto y las particularidades del malware en cuestión. El aumento de la cibercriminalidad también ha venido acompañado de un aumento en la variedad de las armas empleadas por los cibercriminales. Diariamente cargan contra las redes nuevas familias de virus pensadas para saltar las barreras que frenaron a sus predecesores. Este riesgo complica el modelo de negocio asegurador porque se mezclan muchas cosas y el mundo tecnológico va muy rápido. ¿Qué pasa si la cepa (virus) que nos ha atacado no está en la póliza? ¿Tiene sentido asegurarnos –y pagar el coste que ello implica– en un entorno tan cambiante? La respuesta correcta es: "sí, si tu seguro es suficientemente adaptable". Las pólizas suelen estar redactadas de manera lo suficientemente amplia como para que cubran esas variaciones de un día para otro. Además acompañan sus coberturas con servicios de asesoramiento experto 24/7 y programas de formación para que la empresa-cliente cuente con una barrera adicional en el que suele ser su punto más débil: los empleados. Aproximadamente el 85% de los incidentes que ocurren en las organizaciones están provocados por empleados, la mayoría de manera no intencionada. Cubriendo esas necesidades de formación tendríamos bastante espectro cubierto y podríamos considerar que las empresas están más o menos protegidas.

Desde un punto de vista geopolítico debemos saber que una buena parte de los soldados de nuestros días no llevan armas de fuego; ni siquiera armas blancas, a no ser que el teclado de un ordenador o un ratón inalámbrico se puedan considerar elementos punzantes… Tampoco los campos de batalla son los mismos: la guerra entre naciones tiene lugar en internet y se libra entre unos y ceros. Por este motivo, no resulta extraño que Rusia haya anunciado que se desconectará temporalmente de internet para poner a prueba su proyecto de Red soberana. China prohíbe plataformas como Google, Facebook o Twitter en sus fronteras; y las limitaciones son aún mayores en el caso de Corea del Norte. Solo dos millones de sus habitantes —en el país viven cerca de 25 millones de personas— tienen acceso a un internet local que apenas cuenta con una veintena de páginas web. El coronel y analista geopolítico Pedro Baños divide las amenazas a las que se enfrentan los países en internet en dos grupos. Por un lado están los países que perciben que se puede incrementar su inestabilidad por la difusión de cierta información, ya sea falsa o verdadera. Esto puede derivar en que la población se movilice para provocar disturbios y es una amenaza que perciben en mayor medida los países de régimen autoritario. Por otro lado, internet también puede concebirse como un instrumento de guerra con el que un Estado puede hackear los sistemas informáticos de otro para colapsarlo o robarle información. Por no hablar de que desde las centrales nucleares hasta los suministros de agua y electricidad se controlan en nuestros días a través de internet. En este marco los países se preguntan cómo podrían sobrevivir a un ataque de esta naturaleza. Desconectando sus sistemas durante unas horas, Rusia puede comprobar si tiene capacidad para superar un ataque, si es capaz de vivir de un modo analógico. El ciberespacio es un campo de batalla muy duro y los países tienen que ser conscientes de que la amenaza existe. La estrategia rusa consistiría entonces en aprovechar las ventajas de internet mientras se sientan seguros, pero tener la posibilidad de desconectarse si perciben una amenaza. Algo similar a un puente levadizo que se baja en tiempo de paz comercial y se sube cuando se acerca el enemigo. El caso de China responde a motivaciones diferentes; la fundamental sería evitar que exista la tentación de movilizar a la población por medio de las redes sociales. Es una estrategia que funcionó en las revueltas árabes: inculcar ideas en la población a través de internet para que hagan oposición al gobierno.

Algunos países intentan recuperar de alguna manera la soberanía sobre el equivalente virtual a su territorio. Quieren tener un mayor control sobre los datos de sus ciudadanos para poder influir en ellos antes de que lo hagan terceros países. La estrategia parece funcionarles. La "Gran Cibermuralla" que ha levantado China frente a plataformas globales de la talla de Google y Facebook ha permitido el auge de empresas como Baidu o Wechat, sus homólogas nacionales. La recopilación de información personal de estas plataformas sirve al país para poder competir en el campo de la inteligencia artificial, una tecnología que necesita grandes cantidades de datos para prosperar. Los datos son el petróleo del siglo XXI, la información se convierte para las naciones en una de las materias primas más valiosas a explotar.

Europa debe potenciar sus propios ecosistemas pero sin dejar de preocuparse por su seguridad. España es uno de los países que recibe más ciberataques en el mundo; concretamente el quinto según datos de Kaspersky Lab (según INCIBE el tercero a nivel de ataques a empresas). Deberíamos proteger mejor nuestros sistemas, tanto estatales como privados. Tenemos varios departamentos de ciberseguridad que están haciendo muy buen trabajo, pero nos queda mucho camino por delante si nos comparamos con otros países como EEUU, Rusia, Israel, China, etc. Probablemente los más avanzados sean los países bálticos, que han sufrido numerosos ataques, e Israel e Irán, que se encuentran en una batalla permanente contra sus adversarios y perciben amenazas con mayor frecuencia. En otro extremo se sitúa Corea del Norte, que aprovecha las plataformas internacionales para efectuar ataques de propaganda política, desinformación y hackeos a diversas multinacionales al amparo de su inmunidad en la red. No aprovecha comercialmente las ventajas de internet, pero esto también tiene sus ventajas. Si no tienes infraestructura, no te pueden atacar.

El termostato conectado a Internet de una pecera fue la puerta que encontró un ciberdelincuente para colarse en la red de un casino de Londres para robar su base de datos de clientes selectos. Un pequeño agujero de seguridad que los ciberdelincuentes aprovecharon para sortear los cientos de miles de euros que la empresa había invertido en proteger su información. Pero no todos los ciberataques (que se cuentan por cientos de miles), son tan sofisticados ya que por un lado, las compañías no están tan protegidas como creen y por el otro, todas tienen el mismo punto débil: las personas y el correo. El 75% de los ciberataques se origina en los mails maliciosos, por lo que el correo es el vector más importante a proteger. Las empresas mayoritariamente no están suficientemente preparadas.

El producto más eficaz (además de hacer bien y frecuentemente copias de seguridad) es un adecuado filtro anti-spam para evitar que los correos infectados lleguen a los empleados. Los principales puntos débiles de las compañías son sus empleados, que corren el riesgo de caer en la trampa de los correos conocidos como Phishing. Se recomienda implementar en la plantilla cursos de concienciación. Se ha establecido la Global Cyber Alliance (GCA), una alianza internacional y cros sectorial para luchar contra la ciberdelincuencia.

Normativa legal

Según la memoria de la Fiscalía General del Estado, los procedimientos judiciales relacionados con delitos de estafa supusieron el mayor grupo de ciberdelitos registrados. Este dato denota que nuestra información no está debidamente tratada y protegida, por lo que tenemos por delante mucho trabajo que hacer. Con la aplicación del Reglamento General de Protección de Datos (RGPD) desde el 25-mayo-2018 y las nuevas multas de hasta 20 millones de euros que se podrían imponer a las compañías que no observen ciertas normas –como por ejemplo la desaparición del consentimiento tácito a la hora de la recopilación de datos–, ahora más que nunca se hace necesario disponer de herramientas que faciliten y garanticen el cumplimiento de dicha norma. En este sentido, los ciberseguros son una buena herramienta si nos centramos en los requisitos de contratación y de coberturas que garantizan.

Una de las grandes paradojas que nos encontramos en este ámbito es que gran parte de los incidentes de ciberseguridad tienen un origen humano, mientras que buena parte de los directivos consideran la seguridad TI una cuestión puramente tecnológica. Un estudio de PwC lo confirma: el 50% de los directivos ve la ciberseguridad como un problema tecnológico, no de negocio; cuando en la realidad solo el 10% de los incidentes están ocasionados por la tecnología, mientras que el resto viene de la mano del comportamiento humano. Las empresas deben poner más foco en la cada vez más fina franja entre negocio y tecnología.

El supervisor europeo abre la puerta a la obligatoriedad de los ciberseguros . La nueva regulación de protección de datos de la UE impulsa este ramo asegurador. Si hay un ramo del seguro donde las previsiones apuntan a fuertes incrementos de las primas, éste es el de las ciberpólizas, con las que las organizaciones buscan protegerse de fallos o ataques tecnológicos. Su despegue es inminente dada la necesidad cada vez más vital de cobertura ante los ciberriesgos, algo que debería conducir a un debate sobre la obligatoriedad de este tipo de seguros.

La irrupción de las nuevas tecnologías afecta a la industria aseguradora en dos vertientes: en cuanto a que son compañías donde la digitalización ha revolucionado los procesos y se atesoran grandes bolsas de datos críticos; y como proveedores de protección, generando una nueva y prometedora área de actividad. Es por ello que la ciberseguridad es más relevante en este que en ningún otro sector. Pese a que la evolución reciente ha sido significativa, la cobertura del riesgo cibernético por parte de las aseguradoras aún está en su primera etapa en Europa, la mayor parte del mercado se concentra en Estados Unidos. Las perspectivas avanzan un fuerte progreso mundial de este ramo en pocos años. Los pronósticos actuales sugieren que las primas (mundiales) pueden superar con creces los 20.000 millones de dólares en 2025. Entre otros factores, este aumento vendrá impulsado por el previsible avance del mercado en Europa. La implementación del reglamento de protección de datos en la Unión Europea puede provocar un importante crecimiento de los seguros de riesgos cibernéticos, se podría esperar (estimar) que se llegue en unos años en Europa a los niveles de cuota de mercado que hay en EEUU.

Ciberdelitos más habituales, con su denominación técnica y explicación: - Robo de información: acceso a información relevante en bases de datos o dispositivos y robo para comerciar con ella o sacar provecho económico. Este tipo de ataque está además penado, y es uno de los más mediáticos, con casos conocidos como la filtración de la base de datos de la web de infidelidades Ashley Madison. Un problema de seguridad que costó a la empresa una multa de 1.5 millones de dólares. - Ransomware: Infiltración en los sistemas de la empresa e inutilización para solicitar un rescate. - Phishing: Uno de los grandes ciberriesgos del email, y que consiste en la suplantación de identidad para conseguir datos bancarios de la víctima. - Ataque DDoS: Se trata de un ataque por fuerza bruta a los sistemas y servicios informáticos con la intención de colapsarlos y solicitar una compensación económica para restaurarlos.

Los Crackers (que no Hackers) buscan el punto vulnerable de dispositivos, navegadores, redes sociales o pasarelas de pago para crear software informático con el que obtener información con fines fraudulentos o planificando ataques como los que hemos descrito anteriormente.

Los hackers (que es un término muy amplio), no tienen por qué atentar contra la seguridad de las empresas, de hecho, la formación relacionada hoy en día está más encaminada a la ciberseguridad y al hacking ético, con el aprendizaje de dicho hacking como medida preventiva.

Es cierto que los antivirus juegan un papel muy importante contra el pirateo, pero el ciberriesgo siempre está presente. Los ciberdelincuentes se actualizan rápidamente y de forma constante, encontrando nuevas formas de burlar a los antivirus y los firewalls de las corporaciones. Afortunadamente la seguridad informática en España ha evolucionado en los últimos años hacia una navegación más protegida para los usuarios y unas infraestructuras y profesionales más preparados contra estos ataques.

Con el nuevo reglamento en vigor es de vital importancia la cobertura de la RC, por esta razón existen estas coberturas en los ciberseguros : Responsabilidad Civil contra la violación de la confidencialidad. Responsabilidad Civil contra la violación de la privacidad. Responsabilidad Civil por la seguridad en la red.

Este tipo de seguro también puede cubrir los daños derivados del robo de dominios, robo de propiedad intelectual, acceso no autorizado, o difamación/reputación entre otros, riesgos que afectan también muy comúnmente a los autónomos.

El Supervisor europeo de Protección de Datos (SEPD) considera que los ciberseguros deberían ser obligatorios con la nueva regulación. El Parlamento Europeo aprobó en 2014 una serie de medidas para actualizar la normativa vigente desde 1995 sobre protección de datos y adaptarla al mundo de internet y las nuevas tecnologías.

Los tres aspectos principales del GDPR son: 1. La subida de las sanciones respecto de la LOPD (se elevan las sanciones de 600.000 a 20 millones de euros, o hasta el 4% de la facturación consolidada). 2. La obligación de las empresas a comunicar cualquier fallo de seguridad a los organismos reguladores. 3. La exigencia de obtener una declaración del interesado o una acción positiva que manifieste su conformidad de forma inequívoca para el tratamiento de sus datos (diferencia respecto a la LOPD ya que bajo el nuevo GDPR no se permitirá el consentimiento tácito).

A los reguladores también les preocupa el "ciberriesgo silencioso". La Autoridad de Regulación Prudencial de Reino Unido pidió a las aseguradoras que redujesen su exposición involuntaria a los ciberriesgos y que fuesen más claras sobre si los ciberataques están cubiertos por las pólizas regulares.

Las empresas se han concienciado bastante más de lo que venían haciéndolo en los asuntos del tratamiento de datos personales. Esto ha sido así no sólo por la repercusión mediática sino también por las potenciales sanciones económicas, que son muy elevadas, con un gran impacto en el negocio de las empresas. Lo que falta por ver es cómo el regulador en España y, en este caso la Agencia Española de Protección de Datos (AEPD), lleva a la práctica esos incumplimientos y cómo se materializan. Los ataques ahora son de tal profundidad que podrían llegar a socavar la democracia. La suplantación de identidad y el robo de tarjetas de crédito siguen siendo los más extendidos.

En España las empresas han corrido contrarreloj para adaptarse a la normativa pero aún no están completamente adaptadas. Muchas empresas tienen un nivel de cumplimiento que podríamos calificar como básico o superficial pero no han interiorizado todavía completamente lo que supone el RGPD. La gestión de la información digital, de los datos personales, es una nueva gestión de riesgos a tener en cuenta, como la seguridad laboral o los riesgos medioambientales. Por tanto, no se trata de contratar a un abogado “para que se encargue del asunto” sino que la mejor manera de “evitar accidentes” es nombrar a un delegado de protección de datos. Este profesional se encargará de formar a los otros empleados, asesorar al consejo de administración, en definitiva, de crear una cultura de protección de datos en el interior de la organización. Donde hay un buen delegado de protección de datos suele haber un buen cumplimiento de la normativa, y en aquellos sitios donde no hay un delegado o el que hay no es tan bueno, se nota mucho (a peor).

Ya se está sancionando, pero es normal que no se hayan visto muchas multas todavía porque las sanciones pecuniarias son el final de un procedimiento sancionador que lleva su tiempo. Veremos multas importantes en el futuro porque si la protección de datos tiene un coste para las empresas que se toman en serio la normativa, este coste tiene que ser mucho mayor para aquellas empresas que no se la toman en serio. Es una cuestión de equidad y de justicia elemental. Esto no quiere decir que haya que multar siempre ni que todas las multas tengan que ser altas pero las sanciones son un elemento fundamental para que el sistema funcione correctamente.

Por regla general, las empresas europeas están notificando a las autoridades de protección de datos las brechas de seguridad, aunque se aprecian notables diferencias entre los distintos países. La recomendación de los expertos a las empresas es que lo último que deben hacer es "meter la cabeza en la arena" cuando ocurre un incidente. Cuando se detecta una brecha, la compañía o la administración pública en cuestión tiene que informar a la agencia de protección de datos. Dependiendo de la gravedad del caso, es posible que haya que informar a los ciudadanos afectados por la brecha, pero eso no es lo más importante sino la diligencia con que actúa la compañía en cuestión. Una brecha importante puede quedar en nada si la empresa actúa con profesionalidad y prontitud, adoptando las medidas oportunas, mientras que una brecha relativamente inocua puede convertirse en un problema serio si no se hace nada.

Las empresas están formadas por diferentes departamentos y profesionales con múltiples intercambios de datos que fluyen a través de la organización. Cuando hay una fuga de datos los agentes de protección de datos (OPD), los CIO y CISO son los que se llevan la culpa generalmente. Sin embargo, desde la introducción del Reglamento de Protección de Datos (GDPR), la responsabilidad se ha repartido más equitativamente con todo el personal de la organización. Aunque esta legislación europea de protección de datos ha traído una mayor seguridad a los usuarios, también ha dejado a muchas empresas con dificultades para modificar sus procedimientos de manejo de datos personales. Las empresas de todo el mundo han redefinido sus estrategias de gestión para hacerse compatibles con el GDPR con el fin de evitar las enormes multas impuestas debido a negligencias en la protección. Sin embargo, el número de ataques cibernéticos y las violaciones de datos no han disminuido a pesar de los procedimientos más estrictos sobre su manipulación.

Las autoridades de protección de datos de la UE han registrado un gran número de quejas desde el 25 de mayo de 2018. Todas estas quejas fueron presentadas por las personas que sentían que no se habían respetado sus derechos bajo la GDPR. La mayor parte de las quejas relacionadas con el cumplimiento GDPR se han dirigido al telemarketing, e-mails promocionales, y la videovigilancia.

Sobre la base de las normas de violación de datos, si las organizaciones experimentan una brecha de datos tienen que informar de ello a las autoridades de protección de datos dentro de un periodo de 72 horas. El GDPR es directamente aplicable a todos los países de la UE. Las organizaciones necesitan adaptarse utilizando una fórmula tradicional: redefinir su estrategia de seguridad, la identificación de su entrada de datos y puntos de salida, así como la determinación de la localización de su almacenamiento de datos y los procedimientos de gestión. Esto requiere una gran cantidad de tiempo, recursos y trabajo. Sin embargo, con las herramientas adecuadas de gestión de seguridad de datos, esta estrategia global se puede simplificar, proporcionando una mejor visibilidad y la seguridad de los datos personales de los usuarios.

Las empresas que aún no han puesto en marcha sus procedimientos de seguridad de datos tienen que seguir los siguientes pasos para no quedarse atrás: identificar cómo existe un dato dentro de la red en varios puntos diferentes y el punto de entrada, cuál es la finalidad de la recogida de datos, el procesamiento de los datos, y la localización del almacenamiento, la duración en dicho lugar y los puntos de salida. Las compañías serían capaces de adaptarse sin problemas mediante la utilización de software específico, soluciones de administración o gestión de datos adecuados, ya que estas herramientas pueden proporcionar una perspectiva crítica sobre los datos de la organización.

Como con la contratación de cualquier otro seguro, siempre hay que leer con detenimiento la póliza y entender las condiciones generales y particulares, así como las cuestiones que están incluidas y excluidas en el contrato. Estas son las coberturas habituales en un ciberseguro: • Responsabilidad civil frente a terceros. • Responsabilidad por pérdida de datos de carácter personal o riesgos de privacidad y por gastos de notificación de vulneraciones de privacidad a los titulares de los datos y a terceros interesados. • Frente a reclamaciones por la violación de derechos de propiedad intelectual relativos a cualquier tipo de contenidos, incluidos los generados por un usuario. • Defensa jurídica y asistencia a juicio, incluyendo los gastos de defensa por multas y sanciones de organismos reguladores y con cobertura para procedimientos e investigaciones de organismos reguladores. • Protección frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamación en medios corporativos o infección por malware. • Pérdida de beneficios. • Pérdidas de ingresos netos como resultado de una vulneración de seguridad o de un ataque de denegación de servicio. • Cobertura para los datos alojados en la nube. • Gastos de gestión y comunicación de crisis. • Asistencia técnica y gastos de investigación del siniestro cubriendo los costes de un posible análisis forense informático en caso de que sea necesario (fugas de datos, robo de información, etc.). • Gastos de reparación y restauración de los datos borrados y de los equipos dañados. • Frente a delitos cibernéticos: estafas de phishing, suplantación de identidad, hacking telefónico, robo de identidad, fraude electrónico y extorsión cibernética. • Asistencia técnica frente a una intrusión de terceros en los sistemas informáticos del asegurado. • Restitución de los gastos por errores tecnológicos y omisiones.

Conclusiones

La principal ventaja de los ciberseguros probablemente sea que aportan seguridad y confianza a las empresas en un área que en general es muy desconocida, ya que son productos específicamente diseñados para cubrir riesgos cibernéticos que no están recogidos en otro tipo de pólizas. Actualmente no es obligatoria la contratación de este tipo de productos. Sin embargo, los hechos que ocurren a diario y que (algunos) podemos leer en portadas de periódicos generalistas despiertan la necesidad de cuantificar y cubrir de alguna manera los ciberriesgos a los que están expuestas todas las empresas que traten o almacenen cualquier tipo de información. A todo esto se suman los cambios normativos. Las leyes son cada vez más estrictas para asegurar que la información personal y sensible cuente con las medidas y controles de seguridad necesarios para evitar, en la medida de lo posible, su vulneración.

Ahora bien, una empresa no debería contratar un seguro de estas características sin antes pasar por un análisis de sus sistemas. Uno de los requisitos imprescindibles para la contratación de cualquier ciberpóliza es la evaluación de los riesgos ciber de la empresa. El cliente cumplimenta un cuestionario en el que se evalúan los principales ámbitos de la ciberseguridad. Aparte de esto, también pueden ser requeridas reuniones especificas y la intervención de un consultor especializado para cuantificar de una forma más precisa el riesgo en los casos en los que el cuestionario no se considere suficiente. Las aseguradoras tienen la difícil tarea de valorar la probabilidad de impacto sobre los activos más comunes en relación con los posibles riesgos y su índice de siniestralidad. En la práctica las aseguradoras suelen exigir cumplir una serie de medidas de seguridad que permitan contratar el seguro o, en el mejor de los casos, no contar con descuentos u otro tipo de ventajas si no se muestra cierta madurez en ciberseguridad. Incluso en función de la póliza y de los activos que haya que proteger, a veces se requiere una auditoría de terceros para garantizar que las empresas dispongan de los mecanismos de ciberseguridad necesarios.

El análisis previo indicará qué procesos y activos de la organización se han de proteger. En ocasiones, es probable que no sea necesaria la contratación de una póliza de ciberriesgos, pero habrá otras en las que abaratará enormemente la protección con respecto a implementar una medida tecnológica. Es importante también la labor pedagógica de las compañías de seguros para que tanto los corredores y agentes, como los clientes finales entiendan cómo funcionan este tipo de pólizas.

El gran reto es ahora que las pymes tengan capacidades suficientes para poder afrontar ataques poco sofisticados que a día de hoy no llegan a cubrir. Las empresas reclaman que el seguro cubra la posible pérdida de datos personales de sus clientes. Ante el coste elevado de esa posibilidad, las grandes compañías aseguradoras están implementando servicios de auditoría previos a la contratación, para analizar en profundidad las vulnerabilidades y ajustar la prima.

Existen dos barreras principales para el desarrollo de los ciberseguros: la primera, la falta de información histórica fiable sobre la frecuencia y severidad de los incidentes cibernéticos; y la segunda, la constante evolución de los ciberataques. Este desafío sólo puede ser cumplido a través del esfuerzo conjunto de organizaciones públicas y privadas.

El ciberseguro es sin duda la póliza que va a ser protagonista en los próximos años, sobre todo para sectores profesionales como los despachos jurídicos, financieros, tecnológicos, sanitarios y empresas de retail, que suelen ser los más afectados por los delitos informáticos.

Bloomberg alertaba de que los ciberataques son potencialmente el mayor riesgo para el crecimiento mundial, dada su capacidad para infligir grandes daños económicos en todas las industrias. Los principales problemas de robo de información se dan desde el interior de la empresa y el robo de información es cada vez más importante porque hay quien está dispuesto a pagar por ella.

La velocidad a la que extiende su poder el cibercrimen es, cuando menos, inquietante: cada minuto aparecen 16 nuevos malwares. Las amenazas son mayores que la capacidad de monitorizarlas, pues el 44% de los ataques no se investigan. Además el 75% de estos ataques tiene como objetivo a las empresas. Los sectores que mayores precauciones tienen que tomar son, por este orden, el financiero, el energético y el de las utilities (suministros p.ej. agua, luz, gas, etc.). La ciberseguridad crece a un 13% anual en el mundo. La pregunta es "cuándo vamos a ser atacados por un virus, troyano o robo de identidad y cuántas veces podría haberse evitado con un conocimiento y medidas de prevención”.

El riesgo de ciberataques es uno de los más probables y que mayor impacto puede producir, solo por detrás de los grandes desastres naturales; y si combinamos tanto la probabilidad de ocurrencia como su capacidad destructiva, es incluso más dañino potencialmente el ciberataque que el desastre natural. España se sitúa entre los países con mayor número de ataques sufridos, por detrás de Estados Unidos y Reino Unido.

Las claves para la industria desde un punto de vista técnico se centran en los llamados CPS (Cyber Physical Systems o Sistemas Ciberfísicos), que son sistemas que monitorizan los sistemas físicos, crean una copia virtual y realizan decisiones descentralizadas. La sensorización y los elementos de control son capaces de conectar las máquinas y dispositivos con las fábricas, las flotas, las redes y los seres humanos. Se advierte desde el sector del "Industroyer", el siguiente paso en malware. Utiliza los protocolos de comunicación industrial para realizar ciberataques sin necesidad de buscar las vulnerabilidades. Puede ser utilizado para atacar prácticamente cualquier sistema de control industrial que utilice los protocolos de comunicación implementados a nivel mundial. Y esto no pretende ser una amenaza (para atemorizar), sino una advertencia (para prevenir).

La información es dinero y proteger los datos ya se ha convertido en una de las líneas presupuestarias más importantes en las empresas. Según la agencia Reuters, cada dos segundos le roban la identidad a alguien. Y esto se traduce en el robo de sus ahorros en el 37% de los casos. En el 70% de los ordenadores y el 78% de los móviles analizados en España se han encontrado archivos maliciosos. En la actualidad es habitual ver en sistemas de control industrial que la conectividad esté asentada sobre TCP/IP y Ethernet o el uso de sistemas inalámbricos estandarizados. Todos estos protocolos han sido ampliamente desarrollados y analizados, y ofrecen el nivel de madurez y fiabilidad que la nueva Industria 4.0 requiere. En base a todo lo mencionado anteriormente, podemos concluir que en un futuro a medio plazo los ciberseguros serán obligatorios, sea por imperativo legal… o práctico.