En 1992, el huracán Andrew devastó la costa sur de Florida (EEUU), acabó con la vida de docenas de personas y provocó daños por valor de más de 24.000 millones de euros aproximadamente. La tormenta también expuso debilidades críticas sobre la forma en la que las aseguradoras estiman el coste potencial de una catástrofe natural de esa escala. Muchas compañías de seguros sufrieron grandes pérdidas durante los meses posteriores a la tormenta y varias se derrumbaron.

Actualmente, las aseguradoras luchan por entender el alcance económico de un nuevo tipo de catástrofe en potencia causada por el hombre: un devastador ciberataque. Aunque pueden aplicar algunas de las lecciones aprendidas en 1992, en realidad se trata de un tipo de problema muy distinto.

Grandes aseguradoras, incluidas AIG y Chubb, llevan ofreciendo ciberpólizas desde finales de la década de 1990 y hoy aproximadamente 80 empresas las venden, sobre todo centradas en filtraciones de datos. El mercado para los ciberseguros ha empezado crecer deprisa en los últimos años tras una serie de ataques muy mediáticos que convencieron a los ejecutivos de que los hackers representan una seria preocupación.

PricewaterhouseCoopers calcula que las empresas pagarán unos 7.000 millones de euros en ciberseguros para 2020, frente a los aproximadamente 2.500 millones de euros que invirtieron en 2015.  

Pero las aseguradoras aún están intentando entender la naturaleza del ciberriesgo y cómo estructurar sus pólizas para evitar pérdidas catastróficas.

La gente empieza a considerar la ciberseguridad como un riesgo de negocios en lugar de un problema técnico, señala el CEO de Cyence, Arvind Parthasarathi, cuya empresa de tres años de vida ayuda a las aseguradoras a modelar los ciberriesgos. Eso significa reconocer que el problema no tiene una solución clara, sino un riesgo que puede ser gestionado, aunque no eliminado. Ahora, dice Parthasarathi, los ejecutivos se preguntan: "¿Cuánto riesgo estoy dispuesto a soportar?".

Las aseguradoras se hacen la misma pregunta al intentar averiguar cómo tarifar nuevas pólizas de ciberseguridad. La ciberamenaza moderna es compleja y evoluciona rápidamente. El reto más urgente consiste en cuantificar el riesgo de que una cibercatástrofe golpee a muchos asegurados al mismo tiempo para calcular las pérdidas máximas del escenario más pesimista. Eso es lo que a las aseguradoras  se les olvidó hacer antes del huracán Andrew.

Un ciberdesastre comparable en escala al huracán Andrew resulta difícil de modelar, ya que aún no se ha producido ninguno. El pasado mes de octubre observamos una pequeña muestra de cómo podría desarrollarse una calamidad de este tipo cuando unos hackers emplearon una red de cámaras web, grabadores de vídeo digitales y otros dispositivos del internet de las cosas reclutados a la fuerza para lanzar un masivo ataque de denegación de servicio a Dyn, un importante enrutador del tráfico web. El ataque impidió el acceso durante horas de millones de usuarios estadounidenses a muchas páginas web muy populares, incluidas Amazon, Netflix y Spotify (ver TR10: Ejércitos de las cosas zombi).

El coste del ataque a Dyn aún no está claro, pero una caída reciente de cuatro horas del sistema S3 de Amazon de almacenaje en la nube (que no fue el resultado de un ciberataque) costó más de 140 millones de euros a empresas de la lista S&P 500, según un cálculo de Cyence (ver La gran caída de la nube de Amazon fue culpa suya, no de un simple error humano). No resulta difícil imaginar que un ataque a gran escala a un servicio basado en la nube pueda provocar miles de millones en pérdidas.

Un ciberataque a infraestructuras físicas tradicionales, como el que provocó la caída de una importante proporción de la red eléctrica de Kiev (Ucrania) en diciembre, también es una importante preocupación. Los investigadores de seguridad creen que fue obra de los mismos hackers rusos a los que Estados Unidos culpa de los ataques al Comité Demócrata Nacional y otros sitios durante la campaña presidencial de 2016. El mercado de seguros Lloyd's of London analizó recientemente un escenario hipotético en el que un apagón del noreste de Estados Unidos dejó a 93 millones de personas sin electricidad. Concluyó que un acontecimiento como ese podría costar a las aseguradoras entre 20.000 y 67.000 millones de euros. La diferencia entre ambas cifras demuestra lo complicado que resulta concretar el coste de tales riesgos.  

El reto de intentar cuantificar el ciberriesgo es similar al que vivieron las aseguradoras durante la década de 1990 ante su falta de experiencia con este tipo de riesgos. Hicieron falta 15 años para desarrollar los conjuntos de datos que apuntalan los complejos y detallados modelos de catástrofes naturales de los que dependen actualmente, señala el gestor de producto de Risk Management Solutions Tom Harvey, cuya empresa desarrolla modelos de riesgos catastróficos para aseguradoras. Aunque las cosas están avanzando "mucho más rápido" para las ciberamenazas, según afirma Harvey, los datos aún son bastante inconsistentes. Eso dificulta agregar informaciones y estudiar tendencias de la industria.

Existen importantes diferencias entre modelar catástrofes naturales y cibercatástrofes, por supuesto, empezando por el hecho de que quienes provocan los ciberataques son humanos cualificados en lugar de leyes físicas. Las motivaciones, las tácticas, las técnicas y los objetivos de los hackers cambian rápidamente para superar nuevas defensas. El reto consiste en entender a un "adversario activo", señala Parthasarathi de Cyence, cuya empresa se basa en la teoría de juegos y la economía conductual para modelar el comportamiento de los atacantes.

Entender la geografía de internet también resulta crucial para evaluar el riesgo de un gran ciberataque. Las aseguradoras necesitan un "mapa" de las ubicaciones donde se almacenan datos valiosos, y que incluya datos sobre su nivel de protección, según el director tecnológico y cofundador de BitSight, Stephen Boyer. Su empresa realiza este tipo de mapeo de activos almacenados en internet y mide el rendimiento de seguridad de las organizaciones que posean esos activos.

Las aseguradoras deben crear un seguro equivalente al de todos los propietarios de la costa de Florida antes del huracán Andrew, según Boyer, como ofrece pólizas a empresas que dependen de la misma tecnología o proveedor de servicios, como Amazon Web Services. El experto concluye: "Cuando se produce una caída, todos tienen reclamaciones".