Mejorar la cobertura frente a amenazas virtuales como el ransomware y los ataques a la cadena de suministro es una de las cuestiones más urgentes y espinosas a las que se enfrenta el sector de los seguros en la actualidad. Se ha vuelto aún más necesario desde el inicio de la pandemia de Covid19 porque los cambios habidos en la forma en que el mundo trabaja y hace negocios significan que tales incidentes se han vuelto más frecuentes y variados.
Los costes de sus daños potenciales también han crecido exponencialmente, y los peores escenarios generan pérdidas económicas que ascienden a miles de millones de dólares. Las compañías de reaseguros no podrían absorber esas pérdidas por sí solas.
Las compañías de seguros pretenden mejorar la asegurabilidad de lo que se viene denominando «Actividad Cibernética Hostil», con el que se califican los incidentes maliciosos que se sitúan en una zona gris entre el ciberterrorismo y la ciberguerra.
Esta falta de precisión en el lenguaje se puso de manifiesto en diciembre de 2021, cuando un tribunal de Nueva Jersey (Estados Unidos) dictaminó que la aseguradora estadounidense Ace American no podía ampararse en la exclusión estándar de «acción hostil/bélica» para evitar el pago de una reclamación interpuesta por su asegurada, la farmacéutica Merck. Esta reclamación ascendía a 1.400 millones de dólares, y era consecuencia del ciberataque NotPetya, del que se culpó ampliamente a Rusia. La sentencia de Nueva Jersey declaró que la exclusión en la póliza de Merck sólo se aplicaba a la «guerra tradicional».
El sector asegurador reconoce que un paso esencial es hacer más claro el lenguaje utilizado en los contratos para describir los ciberataques y atribuir la responsabilidad. Es de esperar que este precedente ayude a evitar futuras disputas sobre el alcance de la cobertura del seguro.
Ambigüedad terminológica
Los términos y conceptos tradicionales se consideran inadecuados, y necesitamos innovación y experimentación para refrescar los conceptos del lenguaje de los ciberseguros, pues varios ciberataques recientes no encajan claramente en las definiciones reconocidas de ciberguerra o ciberterrorismo.
En los últimos casos han proliferado incidentes en los que se sospecha que los Estados están detrás de un ataque, o al menos proporcionan un puerto seguro a los hackers, pero no forman parte de un conflicto militar abierto. Estos ataques tampoco han estado vinculados a los objetivos políticos, ideológicos o religiosos que suelen asociarse al terrorismo, por lo que se ha abierto una brecha en la definición. Con el término «Actividad Cibernética Hostil» lo que precisamente se pretende es ayudar a salvar esa brecha y mejorar la cobertura de los seguros contra los ciberataques.
Repartir el riesgo
Dadas las inmensas pérdidas que podrían causar los futuros ciberataques a infraestructuras como las redes eléctricas, otra de las principales prioridades de las reaseguradoras es idear formas de compartir la carga de los siniestros de mil millones o incluso billones de dólares a través de asociaciones público-privadas.
La cobertura disponible en el mercado para estos siniestros máximos es limitada, y los gobiernos ven esta cuestión de forma diferente a la industria de los seguros, por lo que el objetivo pasa por conseguir un consenso sobre cómo resolver el problema. Dado que los ciberataques han llegado para quedarse, la colaboración intersectorial para resolver este reto será clave para ofrecer soluciones sostenibles y aumentar la resistencia a esta creciente amenaza.