¿Qué es un ciberseguro?

El ciberseguro, en ocasiones denominado seguro de responsabilidad cibernética o seguro de riesgo cibernético, es un tipo de seguro que transfiere la responsabilidad financiera del asegurado en materia de ciberseguridad e incidentes relacionados con la privacidad como los ciberataques, las brechas de datos y los actos de ciberterrorismo, o las infracciones de normativas.

¿Qué ofrece una póliza de ciberseguros?

Al igual que el panorama de las ciberamenazas, el mercado de los ciberseguros está en constante evolución. Aunque puede haber grandes variaciones de una póliza de ciberseguro a otra, la mayoría de las aseguradoras líderes en ciberseguros proporcionarán los mismos acuerdos básicos de cobertura por daños propios y de terceros que se han convertido en habituales desde hace más de diez años.

Es importante señalar que los ciberseguros no sustituyen a una estrategia y una posición de ciberseguridad sólidas, ya que no está destinado a cubrir la negligencia grave de una empresa por ignorar su riesgo cibernético. Más bien, está destinado a cubrir los riesgos que existen incluso después de que se hayan realizado esfuerzos razonables para reducirlos. Para obtener más información sobre esta distinción, lee nuestra entrada de blog relacionada, Cyber Insurance Is Not a Substitute for Cybersecurity (Los ciberseguros no son los sustitutos de la ciberseguridad)

Acuerdos de los ciberseguros

Hay dos componentes distintos en una póliza de ciberseguro:

1. Ciberseguro con cobertura de daños propios, que cubre los costes asociados a la investigación y respuesta a un ciberataque, así como el impacto financiero en las operaciones comerciales de una organización.
2. Seguro de responsabilidad civil cibernética de terceros, que proporciona a la organización una indemnización financiera como resultado de una reclamación por daños y perjuicios a consecuencia de un ciberataque.

Cobertura de daños propios

Si bien los términos específicos de cada póliza variarán de una empresa a otra y de una aseguradora a otra, los acuerdos típicos de aseguramiento con cobertura de daños propios incluyen:

• Investigaciones forenses: Numerosas pólizas de ciberseguros con cobertura de daños propios incluyen servicios de asistencia de un proveedor de ciberseguridad de confianza que ayudará a la organización a identificar y categorizar el ataque, evaluar los daños y limpiar y restaurar todos los sistemas, cuentas y endpoints afectados. Estos servicios auxiliares son absolutamente fundamentales para ayudar a la organización a contener el ataque y reducir los daños, así como para evaluar con precisión las áreas afectadas del negocio y desarrollar un plan de recuperación integral.
• Asesoramiento jurídico para brechas de seguridad: En caso de brechas de seguridad, las organizaciones suelen necesitar asesoramiento para garantizar el cumplimiento de los requisitos legales, que pueden variar según el país, la región o incluso el estado. La mayoría de las pólizas con cobertura de daños propios incluirán el asesoramiento jurídico para esbozar los pasos que las organizaciones están obligadas a seguir por ley tras una brecha o un ciberataque.
• Notificaciones: en caso de brecha de datos, las organizaciones tienen la responsabilidad de identificar y notificar a las víctimas para informarles de que su información personal está en riesgo. Esto puede incluir el robo o la exposición de información de identificación personal (PII), como números de la seguridad social de clientes o empleados, direcciones, datos bancarios, números de tarjetas de crédito, números de permisos de conducir, registros sanitarios y similares. La organización también será responsable de notificar dicha brecha a las autoridades y organismos gubernamentales pertinentes y de proporcionar la documentación necesaria o solicitada a partir de ese momento.
• Supervisión crediticia para víctimas: En algunos Estados, las organizaciones también pueden tener la responsabilidad de cubrir los costes de la supervisión crediticia o de ayudar de otra manera a los clientes afectados a restaurar su identidad en caso de una brecha de datos.
• Ciberextorsión: Los ataques de ransomware, que son algunos de los tipos de ataque más comunes en el panorama actual, exigen a las empresas el pago de un rescate para recuperar el acceso a sus redes, datos u otros recursos. Las pólizas más completas incluirán protección específica contra ataques de ransomware y describirán los servicios de asistencia y los fondos disponibles para el titular de la póliza.
• Recuperación de datos, interrupción de la actividad y pérdida de ingresos: Numerosos ciberataques de gran envergadura provocan la interrupción de actividades críticas para la empresa y de los servicios de atención al cliente, así como la pérdida de datos que, a su vez, conduce a la pérdida de ingresos. Muchas pólizas de ciberseguros ayudarán a las organizaciones a calcular los ingresos perdidos y compensar dichos costes durante el periodo afectado, así como a gestionar el coste de restaurar datos u otros recursos.
• Daños a la reputación: Tras una brecha de seguridad, numerosas organizaciones tendrán que invertir en marketing y relaciones públicas para ayudar a restaurar la marca y reconstruir su imagen pública. Una póliza de ciberseguros con una completa cobertura podría ayudar a cubrir el coste de las actividades pertinentes que se centran en la consolidación y la recuperación de la reputación.

Cobertura de responsabilidad civil frente a terceros

El ciberseguro a terceros está diseñado para transferir los riesgos financieros de una organización relacionados con un incidente cibernético que es responsable de prevenir. También es muy importante tener en cuenta que no es necesario que se produzca una brecha en la red de una organización. De ese modo, las organizaciones a menudo pueden ser consideradas responsables de un error, omisión o acto de negligencia que haya derivado en un incidente de seguridad que afecte a un tercero que no está relacionado con un incidente en su propia red.

El ciberseguro a terceros es de especial importancia para cualquier organización que gestione datos de identificación personal o que sea responsable de la seguridad de la red de otra parte.

Al igual que las pólizas con cobertura de daños propios, las pólizas de ciberseguro a terceros abarcan una amplia gama de coberturas. Estas coberturas pueden incluir:

• Seguridad de la red y responsabilidad por la privacidad: Protección para el asegurado contra las pérdidas sufridas por un cliente, socio o proveedor como resultado de errores, omisiones y negligencias del asegurado como consecuencia de un ciberataque.
• Responsabilidad regulatoria: Cobertura de gastos legales para defender infracciones de las regulaciones de privacidad.
• Multas PCI: Cobertura para pagar multas y sanciones emitidas por el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
• Multas y sanciones reglamentarias: Si se determina que la organización infractora ha incumplido las leyes de privacidad u otras normas gubernamentales o del sector, la empresa puede estar sujeta a multas u otras sanciones. Responsabilidad civil ante los medios de comunicación: por último, el seguro de responsabilidad civil de terceros ofrece cobertura contra la difamación, la calumnia, la injuria, el robo de propiedad intelectual y la infracción de derechos de autor.

Excepciones que deben tenerse en cuenta

Es importante tener en cuenta que algunas pólizas de ciberseguros no cubren todos los casos. Numerosas aseguradoras con productos de ciberseguros han reducido o eliminado las coberturas relacionadas con el fraude financiero derivado de técnicas de  ingeniería social, que se aprovechan y manipulan a empleados, proveedores u otras personas dentro de la organización para transferir fondos a cuentas no autorizadas. Aunque se puede ofrecer una cobertura de esta naturaleza como ampliación de una póliza existente, numerosas empresas pasan por alto este riesgo y no protegen su negocio. Esto subraya tanto la necesidad de formar a los usuarios de la red en comportamientos seguros y aceptables online como de revisar y evaluar cuidadosamente la póliza y cualquier laguna con un experto de confianza en ciberseguridad.

Otra cobertura que no suele incluirse en las pólizas de ciberseguros es el coste de reforzar un sistema tras un ataque. Aunque los servicios y el soporte cibernéticos pueden identificar áreas de mejora como parte de su análisis forense, el coste de actualización, la aplicación de parches o el refuerzo de la arquitectura de seguridad no estará cubierto por una póliza de seguro.

Por último, muchas pólizas contratadas fuera de Estados Unidos pueden tener restricciones geográficas, especialmente para operaciones con sede en Estados Unidos.  Es importante identificar entidades no cubiertas, especialmente teniendo en cuenta que las ciberamenazas no están limitadas por las fronteras nacionales. Es importante que las organizaciones trabajen con un equipo de ciberseguridad para sopesar sus riesgos y evaluar la probabilidad de ser víctimas de un adversario extranjero que tenga como objetivo de sus ataques países específicos.

Por qué los ciberseguros son más importantes que nunca

Incremento de los ataques

Según la Encuesta de CrowdStrike sobre la posición ante la seguridad en el mundo de 2021, el 66 % de las organizaciones sufrieron al menos un ataque de ransomware en 2021, y como se muestra en el Informe Global sobre Amenazas 2024 de CrowdStrike, las filtraciones de datos relacionadas con el ransomware aumentaron un 76 % de 2022 a 2023. Esto se debe en parte a la creciente disponibilidad de hackers "como servicio", que pone los ataques de ransomware y otros malware a disposición de quienes carecen de la experiencia técnica necesaria para llevar a cabo personalmente este tipo de ataque.

Los ataques de ransomware suelen ser uno de los ciberataques más costosos de corregir, ya que no solo interrumpen las operaciones comerciales y requieren importantes recursos durante el proceso de recuperación, sino que a menudo implican el pago del rescate exigido por los hackers.

El trabajo en remoto aumenta el riesgo y la superficie de ataque

El cambio a un modelo de trabajo en remoto, acelerado por la pandemia de COVID-19 y las restricciones del confinamiento, ha aumentado drásticamente la superficie de ataque de las organizaciones. A medida que los empleados acceden a aplicaciones, recursos y sistemas a través de redes privadas y dispositivos personales, exponen a la organización a un nuevo nivel de riesgo. Además, la proliferación de dispositivos conectados y la tecnología del Internet de las cosas (IoT) proporcionan una gran cantidad de puntos de entrada para los ciberdelincuentes.

La mayoría de las estrategias y herramientas de ciberseguridad existentes simplemente no estaban preparadas para gestionar esta nueva forma de trabajar, lo que ha dado lugar a la aparición de nuevas lagunas y deficiencias en materia de seguridad.

Los costes de recuperación de brechas de seguridad pueden causar estragos en una organización.

El ransomware sigue siendo una de las tácticas más rentables para los ciberdelincuentes. El pago medio de rescate en 2023 fue de 1,85 millones de dólares estadounidenses. Además, las empresas afectadas deben cubrir los gastos de limpieza y restauración de los sistemas afectados, así como los servicios jurídicos, de seguridad y de relaciones públicas.

Es importante tener en cuenta que, incluso cuando se paga un rescate, no hay garantía de que se restauren los sistemas, datos y otros recursos de la organización.

¿Quién necesita un ciberseguro?

Dado el aumento de los ciberataques, así como el alto coste asociado a su reparación, los ciberseguros son una necesidad para cualquier negocio digital. Uno de los principales objetivos de los hackers y los ciberdelincuentes son los datos, incluida la información de identificación personal, como nombres, direcciones, números de la seguridad social, información de cuentas bancarias, números de tarjetas de crédito y otra información que puede utilizarse para llevar a cabo fraudes, ataques secundarios avanzados o venderse en la dark web.

Aunque muchas empresas u organizaciones pequeñas o medianas pueden pensar que su relativo anonimato las protegerá de la ciberdelincuencia, de hecho, nuestros analistas han descubierto que muchos ciberdelincuentes ven a estas organizaciones como blancos fáciles porque a menudo no cuentan con medidas sólidas de ciberseguridad.

En el otro extremo del espectro, las organizaciones grandes y prominentes pueden ser el blanco de la caza mayor (big game hunting), un tipo de ciberataque que suele utilizar el ransomware para atacar a organizaciones grandes y de gran valor o a entidades de alto perfil. Las víctimas se eligen en función de su capacidad para pagar un rescate, así como de la probabilidad de que lo hagan para reanudar sus operaciones comerciales o evitar el escrutinio público.

Un análisis reciente de CrowdStrike revela que la práctica de caza mayor (big game hunting) sigue siendo una preocupación de seguridad para las grandes organizaciones, independientemente de su ubicación o sector. El Informe Global sobre Amenazas 2024 de CrowdStrike revela que el aumento del número de víctimas en los sitios específicos de filtración de datos (DLS) dedicados a la caza mayor (big game hunting) se atribuye en parte a nuevos adversarios dedicados a esta práctica y a campañas de gran alcance en las que participan adversarios como GRACEFUL SPIDER.

Opciones de ciberseguros

En este panorama, las organizaciones tienen tres opciones básicas en lo que respecta a los ciberseguros:

Los ciberseguros como complemento

Es importante señalar que los ciberseguros con un producto de seguro totalmente nuevo destinado a cubrir las lagunas de las pólizas de seguro tradicionales, como el seguro de responsabilidad general (GCL) y el seguro de errores y omisiones (E&O). En ambos casos, las pólizas existentes no estaban diseñadas para proteger contra las amenazas del panorama moderno. La mayoría no tiene un lenguaje específico que aborde los ciberataques o el ciberterrorismo, lo que generalmente significa que las reclamaciones derivadas de dicha actividad no estarán cubiertas o que la asistencia será limitada.

¿Qué factores afectan al coste de los ciberseguros?

El coste de una póliza de ciberseguros depende en gran medida del nivel de cobertura que la organización desee o necesite. Al igual que con las pólizas de seguro tradicionales, existe una amplia gama de opciones de cobertura que se ajustan al presupuesto de cada organización en función de su aceptación del riesgo.

Varios factores determinan cómo se calculan las primas de los ciberseguros. Entre estos se incluyen:

• Ingresos de la empresa
• Sector
• Número de clientes
• Nivel de datos confidenciales o información de identificación personal almacenada
• Historial de reclamaciones de seguros
• Historial de ciberataques
• Adecuación de los controles técnicos, procedimientos y protocolos relacionados con la seguridad
• Evolución del panorama actual de amenazas y avance de las tácticas, técnicas y procedimientos (TTP) de los atacantes
• El panorama regulatorio, específico de la ubicación geográfica, el sector y los datos de cada organización
• Factores macroeconómicos, incluidos los gastos empresariales (por ejemplo, la remuneración total de los empleados), el cumplimiento y la inflación

El aumento de los programas de ransomware, especialmente, ha tenido una influencia directa en las primas y la cobertura de los ciberseguros. El aumento de las primas de los ciberseguros, un 50 % en 2022, se ha atribuido directamente a un incremento de las pérdidas de las aseguradoras causadas por ataques de ransomware que se producen con una sofisticación y gravedad cada vez mayores. Otra consecuencia de este aumento de los ataques de ransomware ha sido la reducción de los límites de cobertura, especialmente en sectores de alto riesgo como la sanidad y las entidades públicas.

¿Cuál es el criterio de evaluación de contratación más común para los ciberseguros?

Los criterios de los seguros se han vuelto más estrictos debido al aumento del volumen y la gravedad del ransomware y otros ciberataques. En los últimos dos años, las compañías de seguros han experimentado un aumento de las pérdidas relacionadas con las reclamaciones cibernéticas. Como resultado, las aseguradoras han reforzado sus requisitos de seguro para proteger mejor sus ratios de siniestralidad.

Las aseguradoras exigen una mayor transparencia en los programas de seguridad para obtener una mejor percepción de la verdadera exposición a riesgos y hacen cada vez más hincapié en las medidas proactivas que los asegurados deben tomar para proteger mejor su negocio de los ciberataques.

Tecnología

La tecnología cibernética del asegurado es uno de los factores más importantes para determinar el coste de la prima. Si bien no existe una herramienta única o una combinación de controles que garantice la seguridad, se pueden adoptar algunas prácticas recomendadas que ayudarán a reducir el perfil de riesgo de la empresa. Esto incluye:

• La autenticación multifactor (MFA): Sistema de seguridad multicapa que otorga a los usuarios acceso a una red, un sistema o una aplicación únicamente después de confirmar su identidad con más de una credencial o con un segundo factor de autenticación.
• Antivirus de nueva generación (NGAV): Solución tecnológica antivirus mejorada que utiliza una combinación de inteligencia artificial, detección de comportamientos, algoritmos de aprendizaje automático y mitigación de exploits, de modo que se puedan anticipar y prevenir de inmediato las amenazas conocidas y desconocidas.
• Detección y respuesta de endpoints (EDR): Solución de seguridad de endpoints que monitoriza de manera continua los dispositivos de los usuarios finales para detectar y responder a ciberamenazas como el ransomware y el malware.
• Gestión de parches: Proceso de identificación e implementación de actualizaciones de software, o "parches", en diversos endpoints, tales como ordenadores, dispositivos móviles y servidores.
• Gestión de vulnerabilidades: Proceso continuo y periódico de identificación, evaluación, notificación, gestión y corrección de las vulnerabilidades cibernéticas en los endpoints, cargas de trabajo y sistemas.

• Seguridad de la identidad: Solución integral que protege todo tipo de identidades dentro de la empresa (humanas o de máquinas, locales o híbridas, normales o con privilegios) para detectar y prevenir brechas de seguridad basadas en la identidad, especialmente cuando los adversarios logran eludir las medidas de seguridad de los endpoints.
• Seguridad Zero Trust: Marco de seguridad que obliga a todos los usuarios, pertenezcan o no a la red de la organización, a pasar por un proceso de autenticación, autorización y validación continua para acceder o mantener el acceso a las aplicaciones y datos.
• Gestión de la posición de seguridad en la nube (CSPM): Automatiza la identificación y la corrección de riesgos en las infraestructuras en la nube, incluidos la infraestructura como servicio (IaaS), el software como servicio (SaaS) y la plataforma como servicio (PaaS).
• Protección de la carga de trabajo en la nube (CWP): Proceso para monitorizar y eliminar de manera continua las amenazas procedentes de las cargas de trabajo y los contenedores en la nube.
• Seguridad del correo electrónico: Solución de seguridad diseñada específicamente para proteger la comunicación por correo electrónico y cualquier dato o información confidencial frente a accesos no autorizados o ataques.

Prácticas recomendadas para una buena higiene de TI

Además de reforzar la tecnología de ciberseguridad de la organización, las empresas también pueden adoptar las mejores prácticas de higiene de TI para reducir aún más su perfil de riesgo. Esto incluye:

1. Realizar copias de seguridad periódicas, seguras y cifradas de todos los datos confidenciales
2. Llevar a cabo una sólida planificación y pruebas de respuesta a incidentes (RI)
3. Ofrecer formación integral sobre concienciación en materia de ciberseguridad e ingeniería social a todos los empleados y proveedores o socios que tengan acceso a la red de la organización
4. Realizar una auditoría completa de gestión de riesgos de la cadena de suministro

Las aseguradoras desean una mayor visibilidad

A medida que el panorama de la seguridad sigue evolucionando, algunas organizaciones se enfrentan a importantes aumentos de las primas de su cobertura actual, mientras que otras pueden no ser capaces de renovar sus pólizas sin demostrar que han realizado inversiones en su infraestructura tecnológica y han reforzado la higiene en materia de TI.

En general, las aseguradoras son cada vez más exigentes a la hora de aceptar a un cliente y de calcular su prima. Contar con una visibilidad completa y exhaustiva de la superficie de ataque será cada vez más importante no solo para la seguridad de la organización, sino también para su nivel de asegurabilidad. Esto se debe a que la falta de visibilidad de los incidentes basados en la identidad aumenta el tiempo de permanencia (el tiempo que un adversario pasa sin ser detectado dentro de la red), lo que dificulta que las organizaciones detecten y corrijan el incidente antes de que se produzcan daños. Las empresas también deben tomar medidas para proporcionar mayores niveles de protección en torno a sus recursos y datos más valiosos.

 Cómo puede ayudarte CrowdStrike a mejorar tu nivel de asegurabilidad

La clave para mejorar la asegurabilidad radica en la capacidad de la organización para demostrar una cobertura de seguridad integral. La plataforma CrowdStrike Falcon® está diseñada como una solución altamente modular y ampliable que ayuda a los clientes a reducir el riesgo y mejorar su posición de seguridad. Nuestra plataforma incluye:

• Falcon Identity Protection. Desarrollado en torno a un mecanismo continuo de puntuación de riesgos que analiza el tráfico de autenticación, Falcon Identity Protection se centra en el vector de ataque más habitual (las identidades) para facilitar la prevención de amenazas en tiempo real y la aplicación de directivas de TI mediante el análisis del comportamiento y los riesgos de todas las identidades, incluidas las cuentas humanas y cuentas de servicio, y no solo las cuentas con privilegios.
• Falcon Insight™ para la detección y respuesta para endpoints. Falcon Insight monitoriza de forma continua toda la actividad de los endpoints y analiza los datos en tiempo real para identificar automáticamente la actividad de las amenazas, lo que le permite detectar y prevenir amenazas avanzadas a medida que se producen.
• Falcon Prevent™ como antivirus de nueva generación. Falcon Prevent ofrece la solución de sustitución de antivirus ideal al combinar las tecnologías de prevención más eficaces con una visibilidad total de los ataques y una gran simplicidad de uso.
• Falcon Spotlight™ para la detección y gestión de vulnerabilidades. Falcon Spotlight proporciona visibilidad en tiempo real en toda la empresa, ofreciendo a los clientes la información relevante y oportuna que necesitan para reducir su exposición a los ataques sin impacto alguno en los endpoints.
• Falcon OverWatch. Servicio gestionado de Threat Hunting de CrowdStrike basado en la plataforma CrowdStrike Falcon®. OverWatch proporciona un análisis humano profundo y continuo, las 24 horas del día, para detectar incesantemente técnicas de ataque anómalas o novedosas diseñadas para evadir las tecnologías de seguridad estándar.

CrowdStrike comprende los intrincados matices de los ciberseguros porque contamos con un equipo dedicado a trabajar con las aseguradoras que operan en el entorno cibernético. Este equipo está compuesto por profesionales de seguros con experiencia que anteriormente se dedicaban a la contratación y corretaje de ciberseguros. El equipo dedica una gran cantidad de tiempo a formar a los aseguradores y a los corredores de ciberseguros sobre el valor de los productos y servicios de CrowdStrike y sobre cómo nuestras soluciones ayudan a nuestros clientes a obtener mejores condiciones en sus pólizas.