Tal y como lo apuntamos en nuestro artículo sobre Tendencias en el mercado asegurador en Latinoamérica (1), la tecnología y la ciberdelincuencia son los principales riesgos que afrontan las aseguradoras de la región. La Federación Internacional de Empresas de Seguros (FIDES) indicó que en 2022 se presentaron cerca de 360 mil millones de intentos de ciberataques a empresas e instituciones de Latam y el área del Caribe (2). ¡Más de 11.000 ciberdelitos cada segundo! México, Brasil, Colombia, Perú y Chile lideran la lista de los países más atacados (2).
En este contexto de agresividad cibernética, las empresas aseguradoras, grandes brokers y bancos que trabajan en el sector deben unir sus esfuerzos para establecer estrategias cónsonas para la protección de sus activos, mantener a sus clientes y no perder su credibilidad. Revisemos la perspectiva del mercado asegurador Latam y cómo están enfrentando el problema del cibercrimen.
Seguridad informática como una definición de interés
La seguridad, en el área de informática, es un término muy amplio, que busca cubrir todos los activos de la empresa relacionados con sus sistemas de red. Pero también debe abarcar la protección de la información, de los procesos operativos y del acceso del usuario que utiliza el sistema. Hoy, más que nunca, la apertura digital demanda operaciones en un ámbito de ciberseguridad.
Al hablar de ciberseguridad nos referimos a las tecnologías o prácticas que se despliegan para defender las redes o sistemas interconectados, dispositivos móviles o de escritorio y los datos e información de la empresa, de posibles ataques lanzados por ciberdelincuentes. Abarca toda la gestión contra las amenazas que puedan presentarse durante el uso de los sistemas por parte de los empleados o clientes, y el procesamiento de datos e información, incluyendo su transmisión y almacenamiento.
Hace apenas unas décadas el perímetro de la ciberseguridad se suscribía al medio ambiente empresarial y de oficinas. Con la digitalización y el comercio electrónico, este se fue ampliando al ámbito del hogar. La penetración de la tecnología móvil acrecentó el área de cobertura.
Adicionalmente, con la emergencia vivida por las empresas durante el COVID-19, que apuró la puesta en marcha del trabajo a distancia, aumentaron los ciberriesgos, pero la aplicación de procesos seguros se rezagó. En muchos casos, la ausencia de mecanismos de seguridad y la falta de entrenamiento del personal abrieron una puerta insegura que es frecuentada por los ciberatacantes.
¿Cuáles son las ciberamenazas más comunes en el sector asegurador?
Son muchos los “software maliciosos” que son ideados por los ciberdelicuentes para crear zozobra en las empresas y las personas. Con frecuencia se escucha hablar de malware, virus, troyanos, spyware, phishing, ransomware y muchos otros programas que se infiltran en los sistemas de las empresas y pueden causar daños considerables.
En el Informe de Ciberseguridad Latam CISO 2023 (3), el phishing, con el 37%, ocupó el primer lugar entre los ciberataques más frecuentes en la región. Le sigue en la clasificación el ransomware (31%) y los ataques de malware (28%).(3b)
De todas estas formas de ciberataques, la más dañina para las empresas aseguradoras es el ransomware, por el impacto directo que tiene en las operaciones de la empresa. Los ciberincidentes con ransomware se han convertido en uno de los principales riesgos en países como Argentina (41%), México (21%), Colombia (72%) y Brasil (32%) (4).
Impacto de ciberataques con ransomware
El ransomware se utiliza para secuestrar las bases de datos de las empresas y luego exigir un pago por la liberación de la información. Hay que tomar en cuenta que las aseguradoras recopilan y almacenan gran cantidad de datos personales, comerciales y bancarios de sus clientes. Asimismo, están interconectadas con entidades financieras y con otras empresas de servicios, lo que incrementa el ámbito de exposición a los riesgos informáticos.
En el primer semestre de 2022 se presentaron sobre 384.000 ataques con ransomware en el mundo, de los cuales más de 53.700 fueron en Latinoamérica (4). El pago promedio por rescate en 2021 superó los 170.000 US$ (5). A pesar de los pagos, y después de acceder a las demandas de los ciberdelincuentes, las empresas solo lograron recuperar cerca del 65% de su información (5).
El costo de neutralizar estos programas ascendió a cerca de 1,85 millones US$ (5). El costo toma en cuenta el tiempo de inactividad de la empresa, el pago de especialistas, el monto del rescate y otros perjuicios directos sobre la compañía.
Más sobre el costo de los ciberataques
De acuerdo con el Barómetro de Riesgos de Allianz 2023, el robo y exposición de los datos de los clientes es la principal preocupación de los países, con un 53% (4). En 2022, el costo de estos incidentes alcanzó un máximo histórico de 4,35 millones US$, y se espera que supere los 5 millones US$ e 2023 (4).
Estos montos toman en cuenta también multas, demandas de indemnización por parte de las víctimas y el coste de los litigios a que dan lugar. También evidencian claramente por qué la ciberseguridad se ha convertido en una prioridad en Latinoamérica.
¿Cuáles son las consecuencias de los ciberataques que impactan al sector asegurador?
Indudablemente, el mayor peligro de un ciberataque es la pérdida y exposición de la información de los clientes, partiendo de la base de confianza que debe establecerse con las aseguradoras al momento de entregar esos datos. Hablamos no solamente de información personal, también se comprometen historiales médicos y cualquier otra información comercial crítica que pueda prestarse a la extorsión y el fraude. Además, es importante considerar los siguientes aspectos:
- El cese de las operaciones y el impacto directo sobre los asegurados.
- Pérdida de la confianza con afectación de la reputación de la aseguradora.
- Incumplimiento de las normas internacionales sobre protección de datos, como la ISO 27001, con la imposición de posibles multas y sanciones.
Claves en la superación de la crisis
La ciberseguridad como prioridad exige que las empresas aseguradoras establezcan estrategias para mitigar los riesgos cibernéticos. Entre otras acciones, se deben considerar las que se detallan a continuación.
Mantener un presupuesto dedicado a la ciberseguridad
Con los avances tecnológicos, los ciberataques son cada vez más sofisticados y la respuesta de las aseguradoras debe ser igual de contundente. Mantener un presupuesto dedicado a suprimir los ciberriesgos les permite ir a la par con las amenazas cibernéticas.
Pero, en 2022, cerca del 37% de las empresas en Latam ha mantenido su presupuesto igual al del año anterior o lo ha reducido (4). Esto puede limitar su capacidad de detectar y responder ante los ciberincidentes, abriendo una brecha difícil de cerrar con el tiempo.
Compartir información de los ciberencuentros y colaborar con otras empresas del sector
Los ciberataques están dirigidos hacia todo tipo de empresas. Por esta razón es importante establecer alianzas y construir un frente común donde las aseguradoras contribuyan con las entidades financieras, los gobiernos, otros socios y las empresas de tecnología para mantenerse actualizados con los riesgos, mejores prácticas, normativas y los procesos de ciberseguridad que se imponen.
Entrenamiento continuo del personal en ciberamenazas
Sensibilizar al personal sobre la gravedad de los ciberataques es importante, así como su entrenamiento continuo en cómo enfrentar y reconocer las diferentes eventualidades. De acuerdo con datos del World Economic Forum, el 95% de los problemas de ciberseguridad son ocasionados por errores humanos (6). En este sentido, sobre el 50% de las empresas brinda capacitación en materia de ciberseguridad (3), por lo menos una vez al año.
Implementar tecnología basada en la nube
El gran problema para las empresas de seguros es mantener una apropiada gestión de riesgos cibernéticos sin rezagarse en el aspecto tecnológico. La respuesta es tecnología aseguradora basada en la nube. Está comprobado que una de las mejores defensas contra las ciberamenazas es el trabajo en la nube.
Las soluciones en software de gestión de seguros en la nube (7) son de rápida implementación, flexibles y seguras; cuentan con el respaldo de la empresa desarrolladora, y permiten el acceso basado en roles individuales. Este es el caso del ERP segNeurona, de MPM Software, tecnología y seguridad en un única solución para las aseguradoras, brokers y bancos del sector seguros.