Los riesgos catastróficos, como las catástrofes naturales o los ciberataques, requieren un seguro. Las aseguradoras pueden permitirse grandes desembolsos cuando un asegurado se ve afectado, agrupando los riesgos y recurriendo a las primas de seguro de las empresas aseguradas que no se vieron afectadas. 

Pero para que el seguro funcione tiene que haber un sentido de la equidad: las aseguradoras tienen que asegurarse de que no se abusa de las pólizas de seguros. Por ejemplo, evitar que una empresa solicite una póliza porque sabe de antemano que la reclamará rápidamente.

Estas salvaguardias se incluyen en las condiciones de la póliza. Sin embargo, en el caso de los seguros de ciberseguridad, estos términos y condiciones -también conocidos como la letra pequeña- se están convirtiendo en un tema cada vez más polémico, hasta el punto de que ahora hay preguntas válidas en torno al valor de los seguros de ciberseguridad.

En este artículo abordaremos los problemas que plantean las denominadas cláusulas de exclusión de guerra y explicaremos por qué el hecho de que las aseguradoras incluyan estas cláusulas en la letra pequeña de las pólizas hace que el seguro cibernético tenga mucho menos valor.

Entender el seguro de ciberseguridad

Un ciberataque que tenga éxito puede tener efectos verdaderamente catastróficos, costando millones en pérdidas de negocio, importantes daños a la reputación y, en el peor de los casos, el cierre de toda una organización. Este tipo de catástrofe es un ejemplo típico de riesgo que exige un plan de seguros. A cambio de una prima, las empresas que contratan un seguro de ciberseguridad deberían, en teoría, estar cubiertas frente a sus pérdidas.

El aumento de ciberataques dañinos y exitosos es lo que ha provocado un clamor por productos de seguros. Por ejemplo, un ataque generalizado de ransomware -NotPetya- provocó unos costes estimados en en 10.000 millones de dólares.

La demanda de seguros de ciberseguridad no sólo está impulsada por el hecho de que las pérdidas son potencialmente catastróficas. La dificultad de proteger a las organizaciones contra ataques como el ransomware es un factor equivalente. En esencia, puede ser casi imposible proporcionar una protección hermética contra los ataques: el flujo constante de nuevas vulnerabilidades y exploits es difícil de seguir. En otras palabras, un ciberataque es una catástrofe que puede afectar a cualquier organización, por lo que es sensato contratar un seguro contra ella.

Dependiendo de su póliza, puede estar cubierto para la mayoría de los efectos perjudiciales de un ciberataque, desde la pérdida de datos valiosos hasta la pérdida de ingresos resultante de la interrupción de un ataque. La extorsión también puede estar incluida en su cobertura, en cuyo caso recuperará su dinero si acaba pagando un rescate.

La suma asegurada y las condiciones en las que se pagará la póliza están documentadas en el "documento de la póliza", también llamado letra pequeña. Cabe señalar que la letra pequeña también contiene otro aspecto importante de una póliza: las circunstancias en las que la póliza no pagará, aunque hayas sufrido un siniestro.

Por qué preocupa la letra pequeña

Si lo piensa bien, es totalmente razonable que una compañía de seguros ponga algunos límites a las condiciones en las que se paga una póliza. La aseguradora debe protegerse contra las reclamaciones fraudulentas y oportunistas.

Por tanto, la letra pequeña no siempre es algo de lo que preocuparse: es algo que garantiza que ambas partes de un contrato reciban un trato justo. La letra pequeña garantiza que ambas partes sepan lo que se espera de ellas, incluidos los derechos que el tomador del seguro tiene en virtud del contrato.

Es habitual, por ejemplo, que las pólizas de ciberseguro exijan a las empresas que hagan al menos algún esfuerzo para proteger sus cargas de trabajo. ¿Por qué? Las cargas de trabajo desprotegidas son un blanco abierto para los atacantes, y no es justo esperar que la cobertura del seguro se haga efectiva cuando no se toman precauciones sencillas.

Esto nos lleva a un punto cada vez más común en la letra pequeña que es motivo de preocupación. Hoy en día, las pólizas de seguro cibernético incluyen una cláusula que establece que la póliza de seguro no pagará si el ataque y los daños resultantes fueron el resultado de una guerra o de una acción relacionada con la guerra. Veamos ahora por qué es importante.

Las exclusiones por guerra aumentan la complejidad

Los ciberataques forman ya parte habitual de la guerra internacional - los actores estatales atacan a sus enemigos no sólo en el ámbito físico, sino también a través de la guerra electrónica. En el pasado, las exclusiones de guerra se han incluido comúnmente en la letra pequeña de las pólizas de seguros con el argumento de que la guerra es un acontecimiento tan catastrófico que una aseguradora no sobreviviría como negocio si todos sus asegurados reclaman al mismo tiempo daños relacionados con la guerra.

Al igual que la guerra ordinaria, la guerra en el ámbito cibernético es indiscriminada - cualquier cosa y todo puede ser destruido, mucho más allá de los objetivos originales. Así que las aseguradoras tienen motivos válidos para añadir una cláusula de exclusión, pero sobre todo en el clima geopolítico actual, las cláusulas de exclusión de guerra están dando lugar a algunos problemas.

Definir exactamente qué es la guerra, ése es sólo el primer problema. Pero hay una cuestión más difícil. ¿A quién atribuir los daños causados por un ciberataque? Los ciberdelincuentes no son los más comunicativos: se produce un ataque y los autores desaparecen en la oscuridad. Es difícil saber quiénes eran los verdaderos actores detrás de un ataque de ransomware.

En otras palabras, no es sencillo decidir si el atentado fue un acto de guerra o se debió a otra cosa. ¿Fue un grupo estatal? Posiblemente, pero es difícil de precisar. Por supuesto, si fue un grupo estatal que actuó con fines bélicos, la aseguradora no pagará el siniestro debido a la cláusula de exclusión de guerra.

Dada la cuantía potencial de un siniestro de seguro de ciberseguridad, no es de extrañar que las aseguradoras intenten librarse de pagar el siniestro declarando que hay motivos para pensar que el siniestro es el resultado de actividades bélicas.

Su contrato puede ser examinado en los tribunales

Una aseguradora puede negarse unilateralmente a pagar un siniestro si cree que hay motivos para ello. Ante la "posibilidad" de que un agente estatal esté implicado en un atentado, ahora existe el riesgo de que una aseguradora simplemente se niegue a pagar el siniestro... fin de la historia. Al menos, según la aseguradora.

Como asegurado, puedes intentar discutir con la aseguradora, pero con daños millonarios, lo más probable es que la aseguradora se mantenga firme. Su recurso: los tribunales. Y eso es exactamente lo que está ocurriendo últimamente con varias reclamaciones por ransomware.

Un ejemplo que ha saltado recientemente a los titulares es el de Merck contra Ace American. Merck, una gran empresa farmacéutica, fue víctima de los ataques NotPetya, vinculados al ejército ruso. La aseguradora, Ace America, rechazó una reclamación de 1.750 millones de dólares de Merck alegando que la cobertura estaba excluida porque los autores de NotPetya buscaban beneficios militares en un acto de guerra.

Merck no aceptó el argumento de la aseguradora y llevó a Ace American a los tribunales. Después de más de tres años, el tribunal falló a favor de Merck, concediendo la indemnización por daños y perjuicios. En este caso, el tribunal decidió que la letra pequeña de Ace American no era suficientemente clara sobre la relación entre los ataques de ransomware y un acto de guerra. Podría haber ido en cualquier dirección.

Una buena ciberseguridad es el mejor seguro

Si bien Merck ganó su caso, el sector de los seguros también aprendió una lección, razón por la cual la Lloyd's Market Association publicó un documento que contenía varias cláusulas que sus miembros podían utilizar para endurecer las condiciones relacionadas con la guerra en torno al pago de siniestros.

Es muy posible que en el futuro se fallen casos a favor de la aseguradora y que la empresa asegurada se encuentre con que no tiene recurso por los daños causados por el ransomware. En otras palabras, existe un riesgo real de que el seguro que contrataste no se haga efectivo.

Aunque merece la pena pensar en un seguro contra el ransomware, y aunque el pago de las primas puede dar lugar a un gran desembolso, es importante entender que una póliza de riesgos cibernéticos sólo llegará hasta cierto punto. Proteger su organización contra un ataque es, con diferencia, lo más importante que puede hacer; el seguro es sólo el último recurso.

Necesita ir mucho más allá de los requisitos mínimos de ciberseguridad de las políticas. Nuestra solución de live patching - KernelCare Enterprise - es una de las muchas herramientas que debería tener en su arsenal. Conseguir una ciberseguridad hermética no es realista, pero hay que acercarse lo más posible, y KernelCare es un paso clave.

En resumen: sí, contrate un seguro contra riesgos de ciberseguridad si las primas son razonables. Pero ten cuidado con la letra pequeña de la póliza, que puede pillarte por sorpresa más adelante.