La realidad actual de un mundo globalizado, en el que la tecnología juega un papel fundamental en el día a día, ha dado lugar a la consideración de nuevos riesgos que pueden poner en serio peligro la viabilidad económica de una empresa.
La utilización de la tecnología ha facilitado y promovido el desarrollo empresarial, pero también ha desplazado los conocidos riesgos clásicos en la operativa mercantil actual.
Las entidades aseguradoras y los rankigns de calificación de riesgos sitúan los ciberriesgos, como la principal preocupación hoy en día en el tráfico mercantil. Dentro de esta rama de riesgos se encontrarían, las brechas de seguridad, filtraciones de datos, procedimientos de phishing, spoofing, ataques tipo BEC, ataques de ransomware, malwares, y toda una amplia variedad, que día a día se modifica con procedimientos de ataque cada vez más complejos.
Un ciberataque puede comprometer la viabilidad de cualquier empresa hoy en día.
La concepción de un riesgo clásico como un accidente laboral, incendio, etc. ya de por si, en aquellos casos en los que la empresa no cuente con una cobertura de seguro, puede comprometer la continuidad de su actividad mercantil. A modo de ejemplo, la tipología de ataques actuales cada vez más sofisticados puede llegar a generar un coste superior al de un accidente laboral medio, superando la media de coste de un ciber ataque a las empresas españolas los 50.000 €. Ello, materializado en horas de trabajo para recuperar sistemas, reacondicionamiento de equipos, paralización de la actividad, etc.
Que una empresa sufra un ciberataque puede conllevar desde una paralización de la actividad, hasta la generación de una responsabilidad civil, y la existencia de posibles multas en caso de no contar con los protocolos debidos en materia de ciberseguridad y protección de datos.
En el año 2021 y 2022 al menos un 69 % de las empresas españolas han sufrido uno o dos ciberataques de gravedad y al menos, un 25 % de ellas han sufrido más de dos ciberataques que afectaron a su infraestructura.
La tipología de daños que pueden generar los ciberataques que puede sufrir una empresa es muy variada. Desde ataques que pretendan secuestrar la operativa de la compañía encriptando sus equipos, como pueden ser ataques de tipo ransomware; robo de información corporativa, financiera, etc, mediante prácticas de tipo phishing, o tipo BEC; o suplantaciones de identidad mediante el robo los datos corporativos de la compañía, como pueden ser los ataques de tipo spoofing.
Todos ellos pueden llegar a generar grandes perjuicios a la actividad mercantil de la empresa y poner en serio peligro su continuidad.
En la gestión del día a día de cualquier empresa existe muchos factores a tener en cuenta, por ello se debe diferenciar entre ciberataques y ciberincidentes. Un ciberataque es cualquier suceso dirigido a afectar de forma intencionada los sistemas seguridad de redes y sistemas de información, ya sea de un usuario particular o bien de una organización determinada con el objetivo de causar un perjuicio. Por otro lado, un ciberincidente es sería cualquier suceso que pueda suponer un riesgo para la seguridad de redes y sistema de información, independientemente de que sea provocado de forma intencionada o bien por una defectuosa actuación.
En ocasiones los ciberincidentes son igual de comunes que los ciberataques y por ello es necesario igualmente en caso de que tengan lugar contar con protocolos de protección o bien con coberturas de seguro que puedan dar respuesta a este tipo de situaciones.
Cada vez son más los tipos de ciberataques dirigidos a particulares por distintos medios, ya sea el correo electrónico, el teléfono móvil a través de estafas tipo phishing, suplantaciones de identidad o ciberextorsiones, o a través de otro tipo de equipos informáticos.
Este tipo de ataques se realizan con un alto nivel de sofisticación que, en muchas ocasiones, hace que sea muy difícil detectar que se está sufriendo un ataque.
Ello implica que existe un mayor riesgo en caso de particulares en la exposición a este tipo riesgos y, en consecuencia, un mayor número de siniestros de esta clase.
Es fundamental el poder disponer de un asesoramiento técnico especializado en el momento que se ha sufrido un ataque y ponerlo de forma inmediata en conocimiento de la policía mediante la presentación de denuncia.
Un ejemplo habitual de los tipos de ciberataque más común entre particulares es del phishing. Una práctica a través de la cual el ciberatacante roba datos (habitualmente bancarios o financieros) del usuario y posteriormente se introduce en sus cuentas bancarias para ordenar transferencias de dinero hacia cuenta o monederos propiedad de piratas informáticos. En muchos de estos caso, la recuperación del dinero es posible a través de los seguros, bien de las tarjetas bancarias o de los contratos de cuenta corriente, no obstante, para ello es necesario analizar caso a caso el supuesto concreto.
Debemos distinguir dos fases en materia de incidentes de ciberseguridad. Una primera fase preventiva que debe ser dada por el propio usuario o empresa, mediante la adopción de protocolos de prevención y políticas de ciberseguridad adecuadas a la práctica que está realizado; y una segunda, encaminada a qué se debe realizar una vez que ha ocurrido un incidente.
No obstante, dos serían las protecciones que se deberían adoptar de forma previa o bien en caso de darse esta segunda fase y generarse un siniestro.
Una de las mejores opciones para evitar este tipo de riegos, es contar con un seguro de riesgos ciber.
Este tipo de pólizas habitualmente cubren los daños ocasionados no solo en ciberataques, sino también aquellos ciberincidentes que puedan implicar una pérdida de datos o bien la paralización temporal de la empresa.
De forma habitual, las coberturas en este tipo de seguros se enfocan en los principales problemas que puede generar un ciberataque. A modo de ejemplo, la prestación de un servicio técnico que pueda intentar resolver la incidencia, el rescate que se pida por el ciberatacante para desbloquear la empresa, la reconstrucción de los datos, las posibles multas en las que se pueda incurrir por parte de la Agencia Española de Protección de Datos, así como la paralización de la actividad de la empresa, entre otras.
La posibilidad de contar con una póliza de cobertura de este tipo de riesgos es relevante de cara a poder evitar daños derivados de estas prácticas cada vez más comunes.
Independientemente de poder contar con un seguro de tipo ciber, existen un multitud de actuaciones que deben ser tenidas en cuenta en el momento en que ocurren un incidente y que se deben realizar de forma simultánea.
Debe tenerse en cuenta que este tipo de incidentes suelen tener una duración de varios días y hasta de uno o dos meses en los que puede durar el ataque. La coordinación desde el inicio de la totalidad de las actuaciones que se deben realizar resulta fundamental de cara a poder evitar la generación de un daño.