Ciudad de México. Domingo 17 mayo 2020.-Cada vez más y con mayor frecuencia nos volcamos hacia el mundo cibernético; las conversaciones o reuniones ahora son virtuales, los libros se leen desde un celular, los documentos han dejado de ser físicos, y así, poco a poco la vida pasa a un escenario cibernético. En consecuencia, de la misma manera en que la tecnología acerca a los seres humanos y a su vez facilita en muchos aspectos su vida, para pocos es un secreto que trae nuevos riesgos que no existían en el escenario físico.
Los riesgos cibernéticos crecen y se fortalecen a medida que la vida se desmaterializa; al utilizar una computadora nos exponemos a ser afectados por un virus, al navegar en internet podemos ser víctimas de un malware o al almacenar nuestros datos en la nube podemos sufrir una suplantación de identidad. Pero todas esas situaciones son el riesgo que debemos asumir para avanzar y ser parte de la evolución de un mundo desmaterializado.
En ese sentido podemos decir que los riesgos cibernéticos están en todo; así como la tecnología cada vez hace parte de todos los aspectos de nuestras vidas, de esta forma también los riesgos derivados.
Para mitigar esos riesgos que debemos aceptar para poder movernos en el mundo cibernético y ser parte de una inevitable evolución se ha creado el seguro para riesgos cibernéticos. De esta manera existen en el mercado de seguros coberturas que actuarán en caso de que las seguridades de las compañías fallen. A grandes rasgos, por un lado, se ampara la exposición que tienen los datos y la información que manejan las empresas, cubriendo así los reclamos que se puedan recibir por parte de terceros.
Asimismo, se cubren las pérdidas propias de las empresas al asegurar sus activos digitales y las consecuencias de una posible interrupción del negocio, derivada de la indisponibilidad de los sistemas. Haciendo un resumen muy ejecutivo de esta póliza se puede decir que asegura datos y sistemas, en general activos desmaterializados de las empresas; una póliza común de riesgos cibernéticos no cubre los daños del mundo físico.
Si bien existe un seguro específico de ’cyber’ en el mercado, esto no significa que las empresas no tengan este tipo de exposición en otro tipo de seguros, ya que los riesgos cibernéticos están en todo, incluso en el mundo físico. En este punto donde descubrimos Los Riesgos Cibernéticos Silenciosos. Este es un término que ha dado la vuelta al mundo y es materia de estudio de muchas aseguradoras.
Existen otros seguros en el mercado, a los que llamaremos pólizas tradicionales, como por ejemplo los seguros de daños materiales, que amparan el daño físico de los bienes asegurados; las pólizas de responsabilidad civil, que cubren lesiones personales y daños materiales de terceros que sufran como consecuencia del desarrollo de la actividad de la empresa asegurada; seguros de responsabilidad marítima, entre otros.
Todos estos seguros tienen un objeto definido, y en ningún momento han contemplado la posibilidad de asumir un siniestro derivado de un evento cibernético. Sin embargo, un riesgo cibernético, como lo es un ataque de un hacker, puede llegar a afectar un bien físico y como consecuencia puede surgir un reclamo en alguna de las pólizas tradicionales.
Los riesgos cibernéticos silenciosos son aquellos riesgos que pueden llegar a cubrirse por medio de seguros que no estaban destinados para hacerlo, por ende su cobertura es silenciosa. En este caso hablamos de una zona gris que está preocupando cada vez más al mercado.
Por ejemplo, un malware puede llegar a afectar los equipos físicos (hardware) de una compañía, esos activos no se cubren por medio de la póliza de ’cyber Risk’ al ser del mundo físico, y por el contrario pueden terminar siendo objeto de una póliza tradicional de daños materiales sin que este tipo de daños se hubiera contemplado al momento de la compra del seguro. Usualmente esta situación no está cubierta en una póliza de daños, pero tampoco está excluida expresamente, por ende es un riesgo cibernético silencioso.
Este tipo de riesgos trae problemas al mercado de seguros porque implica cubrir eventos que las aseguradoras no pretendían asegurar, pero como las situaciones cibernéticas están en todos lados, no se han podido controlar. Si bien es un problema más evidente para las aseguradoras, no deja de serlo para las empresas aseguradas, toda vez que esta situación implica incertidumbre porque no sabemos cómo se van a comportar los seguros frente a una situación que no está cubierta de una manera afirmativa.
El mercado de seguros y reaseguros está alerta de la situación y ya ha empezado a excluir, por ejemplo, los ataques cibernéticos de pólizas que no son de cyber, pero esto conlleva a dos zonas grises: (i) las empresas aseguradas tienen un vacío en sus coberturas al tener una situación que no se cubre en ninguna póliza y (ii) muchas veces las exclusiones que se incluyen no son del todo claras, ya que en algunos casos no se tiene claro lo que se pretende excluir.
Esta es una situación que lleva años en las mentes de los suscriptores pero que aún está en evolución; sin embargo, desde mi punto de vista necesitamos una claridad sobre este tema muy pronto.
Como hemos visto en los últimos años, los riesgos cibernéticos evolucionan cada vez más a mayor escala. Por ende, en mi concepto los asegurados deben revisar sus programas de seguros identificando vacíos de cobertura y zonas grises y exigir a las aseguradoras una claridad o las mismas aseguradoras deben convertir el riesgo cibernético silencioso en una cobertura afirmativa.
Si alguna de éstas dos soluciones no ocurre en el mediano plazo, probablemente un evento cibernético a gran escala va a poner en evidencia ésta situación y así se cambiará la mentalidad de la industria.
Nota del editor: Marcela Visbal es Líder de la Práctica de Riesgo Cibernético de Willis Towers Watson América Latina. Fuente: Expansión
