Olivier Marcén Financial Lines Leader Barcelona Branch CyberEdge Iberia Product Leader de AIG

Permítanme que empiece este artículo planteándoles una pregunta/reflexión. ¿Saben ustedes cuántos ciberataques hubo el año pasado en España? El Instituto Nacional de Ciberseguridad (Incibe) gestionó más de 107.397 incidentes, según su balance de 2019. De ellos, 72.858 correspondieron a ciudadanos y empresas, 796 a operadores estratégicos y 33.743 a la red académica.

Ya en diciembre de 2018, su entonces director general, Alberto Hernández, declaraba en una entrevista realizada un mes antes que a esas alturas del año se habían contabilizado más de 100.000. De ellos, casi la mitad los sufren las pequeñas y medianas empresas, según refleja un informe de la compañía de ciberseguridad Kaspersky Lab. Y no es algo que solo le pase al vecino, se suele sufrir en silencio.

El motivo de esta alta incidencia en las pymes se debe, por una parte, a que disponen de menos capacidad económica para dotarse de medidas de seguridad que las grandes empresas y, por otra, a que los delincuentes, en muchas ocasiones, intentan a través de ellas burlar la seguridad de compañías más grandes de las que son proveedores.

Unas cifras que también hemos constatado en las notificaciones de siniestros en AIG. Por poner un ejemplo, solo en 2018 hubo el mismo número de notificaciones que en toda la serie histórica. Además, el total de las que hicieron los clientes de servicios financieros casi se duplicó entre 2017 y 2018, igual que las cifras reales de siniestralidad del sector de hostelería y ocio.

Otro hecho que constatamos a diario es que una gran parte de las brechas de seguridad están provocadas por fallos humanos. Los delincuentes se aprovechan de despistes o falta de atención para, mediante el engaño, acceder a las organizaciones. Otra realidad es que la mayoría de las ciberagresiones tienen una motivación económica. Es decir, los delincuentes actúan por dinero. Y cada vez son más avariciosos. Si en 2017 los atacantes de WannaCry exigían entre 300 y 600 dólares por los rescates, en 2018 hubo casos en los que se solicitaron decenas de miles o millones de euros.

Motivo este que todas las compañías, tanto las grandes como las pequeñas, deberían tener en cuenta a la hora de elaborar sus presupuestos y establecer una dotación para estos casos. Claro que también pueden transferir los daños a través de una póliza de seguros que actúe no solo después de haberse producido el siniestro, sino también antes de este hecho, en la prevención del mismo. Póliza que, para que sea efectiva, debe incluir tres vertientes: prevención, respuesta ágil y cobertura aseguradora adecuada. Es fundamental que ofrezca herramientas preventivas para informar, formar y dar soluciones a las empresas para que se adelanten a los ataques.

Por otra parte, una vez que se produce el siniestro, la respuesta debe ser lo más rápida posible, por tanto, debe garantizar asistencia 24 horas los 365 días del año. Por supuesto, es básico que contemple los servicios legales y forenses, gastos de notificación, así como gastos de defensa y perjuicios. En cuanto a la cobertura, no pueden faltar los daños propios, la extorsión cibernética, la pérdida de ingresos y gastos operativos, los costes directos propios de responder a un ataque o las responsabilidades derivadas del Reglamento General de Protección de Datos. Disponer de esta protección permitirá hacer frente con más tranquilidad a cualquier agresión cibernética, un delito en alza y ante el que cualquier empresa debe preguntarse si está preparada para afrontarlo.