El segmento de los seguros para Ciberrriesgos o Ciber es uno de los que más interés despierta en el ámbito empresarial. Esto puede estar motivado por el aumento en el número de ataques que se producen cada año, así como del criptohackeo o todo lo relacionado con la protección de datos. Además, tenemos que tener en cuenta que en 2022 más de la mitad de las pymes sufrió algún tipo de ciberataque, por lo que parece que el ramo se enfrenta a diferentes desafíos.

Crecimiento generalizado en RC

Al respecto, para Diego Montojo, suscriptor de Riesgos Cibernéticos de Dual Ibérica, “el principal desafío es concienciar al asegurado. Todavía hay muchas empresas que no son conscientes del enorme riesgo que rodea al mundo cibernético y de la importancia de evitar y transferir este riesgo”. 

Diego Montojo (Dual Ibérica): “El principal desafío es concienciar al asegurado. Todavía hay muchas empresas que no son conscientes del enorme riesgo”

Añade que “para conseguir esto es necesario que el mediador conozca bien el riesgo y las soluciones que ofrece el mercado asegurador. Tenemos que conseguir que el cliente entienda lo que se le está ofreciendo y reciba un asesoramiento eficaz. Por último, por supuesto, está unir este trabajo a una buena cobertura del mercado asegurador.  El esfuerzo que lleva a cabo el cliente para mejorar la higiene cibernética y ser asegurable, debe verse compensado con un buen asesoramiento y una buena cobertura”.

Laura Prats, Cyber Risk manager de Relyens en España, explica que “en el campo de los seguros, para poder ofertar un producto con coberturas que respondan a las necesidades del mercado y calcular unas primas atractivas, es necesario conocer el riesgo real que se debe cubrir. En el entorno ciber, este análisis del riesgo al que está expuesto un cliente, no se puede estimar en función de datos históricos, incidentes del sector etc, Es un mundo en constante evolución, tanto desde el punto de vista de la tecnología de los clientes como de las técnicas de ataque de los ciberdelincuentes. En este contexto, con un cambio tan rápido, necesitamos otros métodos de evaluación del riesgo y esto pasa por un conocimiento de la madurez del cliente respecto a la protección de sus sistemas”.

Emilio Beneytez (Uniteco): “La falta de historial de siniestros y datos actuales confiables dificulta la fijación de primas adecuadas”

“Esta evaluación del riesgo no es sencilla. Puesto que estamos hablando de tecnología, esta evaluación de riesgos necesita de criterios técnicos, normativa de ciberseguridad y técnicas de análisis de sistemas de información. Además de esto, puesto que los riesgos van cambiando de forma tan rápida, es necesario una evaluación que mantenga alineada la madurez de perfil de protección con los criterios establecidos en la póliza”, añade. 

Y señala que “esto nos lleva a la necesidad de contar con profesionales de ciberseguridad con un perfil técnico dentro de la aseguradora, quienes podrán valorar ese riesgo con las técnicas adecuadas. En el contexto actual ya sabemos que esto es un problema, debido a que estos profesionales no han participado tradicionalmente en el cálculo de riesgo de los seguros y existe una alta demanda de estos perfiles en el mercado”.

Francisco Antonio Alcaide (Beazley): “El riesgo cibernético catastrófico y el riesgo de ciberguerra en particular son la mayor preocupación”

“Por otro lado, los clientes, al menos en el sector salud, que es en el que está especializado Relyens, no cuentan en muchos casos con un nivel de madurez en ciberseguridad adecuado para poder hacer una propuesta adecuada. Esto hace necesaria una colaboración aseguradora-cliente para mejorar esta gestión de los riesgos ciber, de forma que los sistemas estén más protegidos y las pólizas se puedan adecuar a esta madurez. Desde Relyens buscamos esta relación estrecha entre el asegurado y la aseguradora, este apoyo en la gestión y gobernanza de los riesgos ciber. Estamos convencidos que los seguros ciber, si van a ofertar coberturas beneficios para todas las partes, necesita incorporar estos servicios de gobernanza y madurez técnica de los sistemas. Y este acompañamiento es todavía un reto en el mercado, ya que implica nuevas relaciones entre actores que no han trabajado justos hasta el momento y tenemos que ir estableciendo los marcos de relación y las nuevas reglas de colaboración”, afirma.

Para Emilio Beneytez, director de formación interna, externa y calidad en Uniteco, “el principal desafío en el segmento de ciberseguros en la actualidad radica en la constante evolución y sofisticación de las amenazas cibernéticas. Los riesgos cibernéticos son altamente dinámicos y pueden afectar a empresas de todas las industrias y tamaños. La identificación precisa y la cuantificación de estos riesgos, así como la adaptación de las pólizas a las cambiantes amenazas, representan un desafío constante. Además, la falta de historial de siniestros y datos actuales confiables dificultan la fijación de primas adecuadas”.

Juan Espejo (A.M.A.): “El mayor problema al que nos enfrentamos es la falta de capacidad, que puede suponer que algunas entidades rechacen este tipo de riesgos”

Por su parte, Francisco Antonio Alcaide, responsable de Beazley Digital España, considera que los principales desafíos para Cber son “el riesgo cibernético catastrófico y el riesgo de ciberguerra; son la mayor preocupación. Beazley ha trabajado intensamente para ajustar la redacción de los condicionados y crear productos independientes que puedan hacer frente a este reto y proteger a las empresas”.

De otro lado, continúa, “empezamos a vislumbrar otro riesgo emergente en el que ya estamos trabajando también y es el de la inteligencia artificial. Tiene mucho que ver con la ciberseguridad y las amenazas que conlleva; pero también tenemos que entender cómo podemos ayudarnos de ella para mejorar la seguridad y la resiliencia. Hemos lanzado dos proyectos para analizar el impacto de la IA: el primero centrado en el ransomware, para analizar si puede derivar en un mayor impacto en incidentes derivados del ransomwar gracias a la mayor facilidad para lanzar campañas de phishing por parte de los hackers. También tenemos el Beazley Cyber Council, que es un grupo de expertos independientes en ciberinteligencia y ciberseguridad que nos están ayudando a configurar el impacto de la IA en la ciberseguridad y cómo mitigar las amenazas”. 

Jaime Romero (Markel): “Las principales amenazas de ciberseguridad parecen provenir de los servidores en la nube”

Juan Espejo, director Técnico No Auto y Vida de A.M.A., manifiesta que “en los últimos años se ha detectado un aumento de los ciberataques, así como una sofisticación cada vez mayor de los mismos. Para el sector asegurador, supone un reto buscar soluciones que aporten medios de prevención y reducción de riesgos ciber de los clientes, con el fin de que la actividad económica se realice dentro de un entorno de confianza y seguridad, evitando filtraciones de datos y amenazas que ataquen a estos activos”. 

“El volumen de las primas de estos seguros ha crecido de manera significativa en los últimos años. El mayor problema al que nos enfrentamos es la falta de capacidad, que puede suponer que algunas entidades aseguradoras rechacen este tipo de riesgos o bien un encarecimiento considerable de las primas”.

Jaime Romero, director Técnico de Markel España, apunta que “actualmente, las principales amenazas de ciberseguridad parecen provenir de los servidores en la nube, así como de las técnicas de ingeniería social como el phishing y el ransomware a través del correo electrónico”.

Carlos Montesinos, director general de CGPA Europe, afirma que “el desarrollo e implementación de la inteligencia artificial ocupa un lugar destacado, al igual que el uso de la misma supone un considerable avance y abre nuevas posibilidades al uso de las herramientas IT, su utilización con finalidades maliciosas supone un desafío importante. Con el uso de la inteligencia artificial y derivado de su capacidad de aprendizaje asistiremos a un perfeccionamiento de los ataques, creación de mensajes de texto similares a si los enviase un remitente legítimo, suplantaciones de personalidad más reales y una mayor eficiencia y automatización en los ataques a los sistemas, permitiendo detectar brechas de seguridad y vulnerabilidades con mayor eficiencia”.

Laura Prats (Relyens): “En 2022, disminuyeron los ataques a los centros sanitarios que cuentan con pólizas Ciber”

Explica, asimismo, que, “según el barómetro de riesgos de Allianz 2023, los incidentes asociados al riesgo Ciber se posicionan en la mayor parte de los países como uno de los tres mayores riesgos y, en cuanto a la tipología, los ataques asociados a interrupciones informáticas, los ataques de ransomware o las violaciones de datos siguen siendo los riesgos más importantes a nivel mundial, ocupando un lugar destacado los asociados a la violaciones de datos puesto que, además de suponer un coste para la empresa, implican sanciones económicas importantes”.

“El factor humano sigue siendo otro de los desafíos importantes, muchos de los ataques tienen en su origen la intervención humana al permitir el acceso a los sistemas de la organización, destacando el correo electrónico como principal vía de acceso. De poco sirve invertir cantidades ingentes de dinero en mejorar los sistemas informáticos si no van acompañados de la formación de los equipos en seguridad informática. Otro desafío es el factor geopolítico, ya que se siguen sucediendo ataques masivos contra los intereses económicos y las organizaciones, tanto públicas como privadas, que tienen su origen en países que mantienen posiciones hostiles contra terceros a los que están enfrentados por razones geopolíticas”, finaliza..  

Situación actual

Por otra parte, resulta necesario apuntar que el mercado asegurador de Ciber ha sufrido una falta de capacidad y un endurecimiento de tarifas. 

Carlos Montesinos (CGPA): “La capacidad variará en función de los sectores donde se desarrolle la actividad”

Ante ese contexto, Laura Prats (Relyens) comenta que “aún los niveles de madurez en la gestión de los riesgos son, en general, bajos, por lo que existen dificultades para proponer ofertas al mercado. Por otro lado, los ataques aumentan tanto en número como en sofisticación, por lo que los datos producidos por incidente son mayores. En nuestro país, según informe de Aon; han aumentado las pólizas Ciber, pero parecen haber aumentado más por el precio de las primas que por su número. En mi opinión, esto se va a mantener así mientras el sector mejora su control del riesgo Ciber”.

Sin embargo, continúa, “sí que se está viendo que en 2022 disminuyeron los ataques a los centros sanitarios que cuentan con pólizas ciber. Desde luego, esto no es por la póliza en sí misma, sino porque estas organizaciones tienen una mejor gestión del riesgo para haber podido contratar una póliza, por lo que resisten mejor a los ataques. Ahora mismo se están sofisticando más los ataques, por lo que se deberán ir mejorando los sistemas de defensa. Sin embargo, esto es algo que está dentro de los procesos de una organización con sistemas de gestión del riesgo implantados y con una dirección concienciada, por lo que esperamos que se evolucione a la vez que los ataques y, si es posible, incluso por delante. En el sector sanitario tenemos que ser prudentes por la importancia de los ciberataques, pero también optimistas, puesto que tanto la parte pública como privada están ahora mismo en procesos de gestión de riesgos de ciberseguridad impulsados por las nuevas regulaciones, por los ataques que vemos cada vez”.

Francisco Antonio Alcaide (Beazley Digital España) señala que “hemos asistido a una fase en la que el capital se ha visto algo más restringido. Algunas compañías han decidido reducir su exposición y eso ha hecho más difícil el acceso a estas coberturas. Lo cierto es que desde Beazley desde siempre hemos mantenido nuestro compromiso por este negocio y seguimos invirtiendo en la parte operacional para dotar de mayores servicios a nuestros clientes. En cuanto a la capacidad, fuimos los pioneros en lanzar el primer bono catastrófico de cyber para obtener mayor capacidad”.

“La siniestralidad sigue aumentando aunque se ha moderado el incremento, la rentabilidad ha mejorado debido a los incrementos de primas y franquicias de los años anteriores, no obstante, las primas continuarán incrementándose, aunque no lo harán de forma tan considerable como lo hicieron los años anteriores”, indica Carlos Montesinos (CGPA).

Con respecto a la capacidad, añade que “variará en función de los sectores donde se desarrolle la actividad, en algunos sectores de los considerados agravados continuará la falta de capacidad debido a su comportamiento. En el resto, prevemos que se incremente por el mejor comportamiento aunque sin relajarse las exigencias en cuanto a las medidas a adoptar por las empresas en sus sistemas. Respecto a las coberturas, no se apreciarán cambios significativos excepto en las denominadas Crime, consideramos que el mercado cada vez será más restrictivo en ofrecer estas coberturas en sus pólizas”.

Diego Montojo (Dual Ibérica) indica que “Ciber ha sufrido un descontrol en los últimos años debido a que sigue siendo un riesgo muy difícil de controlar, entender, y suscribir. Tras unos años con escasez de capacidad, ahora vemos que el apetito ha crecido en las aseguradoras y ahora a los mediadores no les cuesta encontrar soluciones para sus clientes. Tanto es así que algunos de los últimos informes indican que las primas han bajado en 2023”.

Sin embargo, apunta que “esta bajada en las primas no parece sostenible. En el futuro esperamos una estabilización y no descartamos que el mercado siga endureciéndose hasta entonces. La gente cada vez es más consciente del enorme riesgo que hay en el ámbito de la ciberseguridad. El número de incidentes cibernéticos ha crecido en los últimos años y pueden causar en las empresas y sus clientes daños desastrosos. Por lo tanto, el riesgo asumido por las aseguradoras es muy alto, haciendo que la capacidad sea limitada y las primas sean altas. Para que se llegue a una estabilización es importante que aumente la madurez en el mercado y los clientes implementen una higiene cibernética que sea atractiva para los aseguradores. Será entonces cuando la competencia entre las aseguradoras llevará hacia una estabilización de primas”.   

Por su parte, Juan Espejo (A.M.A.), resalta que “existe un amplio margen de crecimiento en este segmento; nos enfrentamos a desafíos significativos, por ejemplo, que las empresas impulsen la implantación de medidas preventivas de protección de datos y, de esta forma, lograr una reducción de los riesgos asumidos por las aseguradoras en este ramo”. Además, añade, “hay poca información sobre la frecuencia de los ciberataques con éxito, que presentan una tendencia de crecimiento al alza. En definitiva, hay muchos retos que debemos afrontar, pero también grandes oportunidades”.

Emilio Beneytez (Uniteco) resalta que “el mercado asegurador de ciberseguros ha experimentado una falta de capacidad y un endurecimiento de las tarifas en respuesta al aumento de las reclamaciones relacionadas con ciberataques. La creciente frecuencia y gravedad de los ataques cibernéticos ha llevado a una revisión de los términos y condiciones de las pólizas, así como a un ajuste de las primas. La capacidad limitada y el endurecimiento de las tarifas pueden representar desafíos para las empresas que buscan adquirir cobertura de ciberseguros, lo que subraya la importancia de una gestión proactiva de riesgos cibernéticos y la colaboración con aseguradoras especializadas”.

Y detalla que “la situación del ramo de seguros de ciberriesgos en la actualidad se caracteriza por una serie de aspectos importantes: Aumento de la demanda, la conciencia sobre los riesgos cibernéticos está en constante aumento, lo que ha llevado a un incremento significativo en la demanda de pólizas de ciberseguros. Las empresas de todos los tamaños y sectores buscan protegerse contra las amenazas cibernéticas; Escasez de capacidad, a pesar del aumento en la demanda, el mercado de seguros de ciberriesgos sigue enfrentando limitaciones en términos de capacidad. Las aseguradoras están siendo cautelosas al asumir riesgos cibernéticos, lo que ha llevado a una escasez de capacidad en ciertas áreas, especialmente para empresas con exposiciones cibernéticas significativas; Endurecimiento de las tarifas, debido al aumento en las reclamaciones por ciberataques y la falta de capacidad, se ha producido un endurecimiento de las tarifas en el mercado de seguros de ciberriesgos. Las aseguradoras están ajustando las primas y los términos de las pólizas para reflejar mejor el riesgo cibernético real; Evolución de las coberturas: Las aseguradoras están adaptando constantemente sus pólizas para abordar las amenazas cibernéticas en constante cambio. Esto incluye la introducción de nuevas coberturas y la expansión de las existentes para abordar riesgos emergentes como el ransomware, la extorsión cibernética y la interrupción del negocio relacionada con la ciberseguridad; y mayor regulación, los reguladores están prestando más atención a la industria de seguros de ciberriesgos y están imponiendo requisitos más estrictos en términos de divulgación y transparencia. Esto puede afectar la forma en que las aseguradoras estructuran sus pólizas y tarifas”. 

“En resumen, la situación actual en el mercado de seguros de ciberriesgos se caracteriza por una alta demanda, escasez de capacidad, endurecimiento de tarifas y una constante evolución de las coberturas para adaptarse a las cambiantes amenazas cibernéticas. Las empresas deben abordar estos desafíos mediante una gestión de riesgos cibernéticos sólida y una colaboración cercana con aseguradoras especializadas en ciberseguridad”, concluye

Por último, Jaime Romero (Markel España) afirma que “el mercado asegurador de cyber continúa siendo duro, y no prevemos que se produzcan cambios relevantes de tendencia a corto plazo”.