WannaCry, un impulsor del mercado de seguros
Clientes que durante años han evaluado adquirir la cobertura cibernética se convencieron tras el ataque, asegura la firma JLT
A medida que comienza a disminuir la devastación que provocó el ataque del ransomware WannaCry la semana pasada, las aseguradoras cibernéticas mundiales surgen como las beneficiarias inesperadas en medio de la lucha para cubrirse de futuros incidentes.
Esta semana, las aseguradoras comenzaron a evaluar el costo del ataque, el cual afectó más de 200 mil computadoras en 150 países, pero queda cada vez más claro que tal vez WannaCry no resulte ser tan caro como muchos temían al principio. Y, afortunadamente, al menos para la industria, comienza a estimularse la demanda de seguros cibernéticos. “Este es un momento trascendental en el desarrollo del mercado de seguros cibernéticos”, dice Rick Welsh, director ejecutivo de Sciemus, una firma de análisis de datos de seguros.
Un ataque a escala mundial que afecte a gobiernos y empresas por igual es algo que los ejecutivos de seguros han advertido durante años, y muchos creen que esto finalmente logrará que haya una mayor sensibilidad sobre la necesidad de protección cibernética.
El mercado genera al año entre 3 mil y 4 mil millones de dólares (mdd) en primas, pero Allianz espera llegar a 20 mil mdd para 2025, convirtiéndolo en el segmento de mayor crecimiento de la industria. WannaCry puede acelerar aún más este crecimiento.
Sarah Stephens, directora de sector cibernético del corredor de seguros JLT, dice que la demanda ya comienza a aumentar. “Recibimos llamadas de clientes que durante años han pensado sobre los seguros cibernéticos pero ahora quieren hacerlo de inmediato”. Todavía no está claro el costo total de WannaCry: los expertos dicen que tomará semanas averiguarlo mientras las aseguradoras y sus clientes regatean sobre la aplicación de la póliza.
Dos cosas funcionan a favor de las aseguradoras. La primera es la ubicación. WannaCry afectó empresas en todo el mundo, pero Asia y Europa fueron las zonas más afectadas. La propagación del virus se detuvo antes de que tuviera un efecto pleno en Estados Unidos, donde muchas compañías más compraron seguros. “Las empresas europeas se muestran más lentas en la compra de seguros cibernéticos en comparación con las de Estados Unidos”, dice Paul Bantick, especialista en coberturas cibernéticas de la aseguradora Beazley. “La demanda en EU recibió un impulso por las regulaciones sobre divulgación de ataques cibernéticos y porque hubo muchas fugas de datos de alto perfil en la prensa”.
La segunda es el tamaño del rescate que se exige. WannaCry pidió entre 300 y 600 dólares. Las víctimas que pagaron, dicen los expertos, tiene poca probabilidad de incluso poder reclamar ese tamaño de pérdida, ya que caerá en algo que no cubre la póliza.
Lo más costoso para la industria será la repercusión más amplia en las empresas. Tom Reagan, el líder de la práctica de seguros cibernéticos del corredor de seguros Marsh, dice: “Hay el potencial para reclamaciones significativas. La demanda de rescate en sí es pequeño, pero hay muchos reportes de interrupción de las operaciones, mientras que la compañías limpian y logran poner a funcionar sus sistemas. Esto será muy real para algunos clientes”.
No todas las pólizas de seguros cibernéticos cubren ese tipo de interrupción en las empresas.
Nigel Brook, socio de la firma de abogados Clyde & Co, dice que las aseguradoras deben ser capaces de lidiar con el costo total de WannaCry. “Pudo ser mucho peor, pero es una señal de lo que puede llegar”, dice. “No es un programa de terror”.
Las mayores reclamaciones cibernéticas hasta el momento provienen de la industria minorista estadunidense. De acuerdo con NetDiligence, que analiza las reclamaciones cibernéticas, la fuga de datos de 2013 en Target incurrió en costos de 250 millones de dólares. Pero la gente en la industria dice que la reclamación de seguro de Target, aunque una de las más grandes que se han hecho por un ataque cibernético, cubrió menos de la mitad.
La demanda para protección cibernética en Europa ya se espera que aumente por una norma de la Unión Europea, la regulación general de protección de datos (GDPR, por su sigla en inglés), que entrará en vigor el próximo año impondrá fuertes sanciones a las empresas que sufran de una fuga de datos. Brook dice: “Siempre esperé que 2017 fuera un año de transformación para la industria de seguros cibernéticos debido a la creciente ola de ataques y la inminencia de la GDPR”.
Welsh argumenta que WannaCry obligará a las empresas a estudiar más detenidamente sus vulnerabilidades para un ataque, y que el seguro tiene que cubrirlas. El gran cambio, dicen personas en la industria, es que WannaCry puede aumentar la demanda de un nuevo grupo de empresas que tienen la preocupación de perder los datos de sus clientes, como, por ejemplo bancos y minoristas.
WannaCry afectó una extensión más amplia de empresas que temen ataques de ransomware y hackeos. “Esto pondrá muy nerviosos a muchos clientes”, dice Reagan. “Las empresas de manufactura y de industria pesada sufrieron interrupciones en sus operaciones. Las aseguradoras verán esto como una oportunidad para darle un impulso al mercado”.