Reclamaciones por interrupción de la actividad empresarial debido a incidentes cibernéticos: los retos específicos del ámbito digital

Asia alberga a más de la mitad de los usuarios de Internet del mundo. Las empresas están aprovechando la actividad en línea de los asiáticos para llegar a clientes nuevos y existentes, crear nuevos productos y mejorar la eficiencia de sus procesos. Las ventajas de esta oportunidad van acompañadas de riesgos específicos que no cubren las pólizas tradicionales de seguro por interrupción de la actividad empresarial (BI). Sin embargo, estos riesgos pueden gestionarse mediante la cobertura de BI que ofrecen las pólizas cibernéticas independientes. 

A medida que pasamos del ámbito físico al digital, las reclamaciones relacionadas con la inteligencia empresarial cibernética plantean retos únicos: algunos ya conocidos, otros diferentes y otros muy distintos de las reclamaciones tradicionales en materia de inteligencia empresarial. 

Lo familiar

Al igual que en todas las reclamaciones de seguros, debe establecerse una relación causal entre el incidente y el siniestro. En los seguros tradicionales de interrupción de la actividad comercial, esto se conoce como «cláusula de daños materiales». Las pólizas de interrupción de la actividad comercial por ciberriesgos son similares, pero, en lugar de los daños, la cobertura puede activarse ante una vulneración real o sospechada de los sistemas informáticos del asegurado. Para que los siniestros estén cubiertos, deben derivarse de un incidente asegurado. 

Los tipos de cobertura que ofrecen tanto las pólizas tradicionales de interrupción de la actividad comercial como las cibernéticas son también bastante similares. La cobertura puede basarse en los ingresos brutos o en el beneficio bruto, así como en el aumento de los costes de explotación. El objetivo, por lo tanto, es situar al asegurado en la posiciónen la que se encontraría si no hubiera ocurridoel incidente cibernético. Estos incidentes pueden ser maliciosos (por ejemplo, una filtración de datos o malware) o de otro tipo (quizás debido a actos u omisiones accidentales). El reto, como siempre, radica en aislar la pérdida exclusivamente a la causada por el incidente.

El algo diferente

Se observan algunas diferencias sutiles a la hora de evaluar las pérdidas en el marco de una póliza cibernética. El período de indemnización de una póliza tradicional de interrupción de la actividad comercial suele comenzar cuando se produce una pérdida física. Sin embargo, en el caso de las pólizas de interrupción de negocio cibernéticas, el inicio depende en gran medida de la redacción de la póliza; podría ser el momento estimado en que se produjo la vulneración del sistema o el momento en que se presentó el informe del incidente de seguridad. Esto está sujeto a la expiración de un periodo de carencia definido (es decir, una franquicia), que suele ser de unas 12 horas. Aunque pueda parecer poco tiempo, puede resultar una eternidad muy costosa para un minorista online durante una gran venta como el Día del Soltero. 

Las pólizas de interrupción de la actividad empresarial por ciberataques suelen tener un período máximo de indemnización de unos tres meses, lo que es considerablemente más corto que los 12 meses que suelen ofrecer las pólizas tradicionales de interrupción de la actividad empresarial. Esto refleja la naturaleza más breve de muchos incidentes cibernéticos, que pueden resolverse más rápidamente, por ejemplo, mediante la restauración de una copia de seguridad. Sin embargo, puede resultar complicado identificar y subsanar el punto de fallo en un sistema informático complejo, incluso contando con la ayuda de un equipo especializado en la respuesta a incidentes. 

Los muy diferentes

Dado que los activos subyacentes son de naturaleza intangible, surgen algunas diferencias importantes. A continuación se exponen dos que conviene tener en cuenta: 

1. Ataques de ransomware

Aunque no son una novedad, los ataques de ransomware han cobrado cada vez más importancia y se han vuelto más complejos, lo que aumenta la probabilidad de que una empresa sufra interrupciones en sus operaciones. Los datos pueden ser robados o su acceso bloqueado (o una combinación de ambas cosas), y el extorsionador amenaza con publicar, destruir o bloquear el acceso a datos confidenciales a menos que se realice un pago. Según los informes, el rescate medio en 2023 fue de 1,54 millones de dólares estadounidenses, casi el doble de la cifra de 2022.

En algunos casos, pagar el rescate puede parecer la opción más económica y eficaz. Algunas pólizas incluso indemnizan al asegurado por dichos pagos. La decisión final sobre si realizar el pago recae en la empresa, pero ¿deberían pagarlo?

Aunque pueda resultar tentador ceder a las exigencias con la esperanza de que los datos se recuperen rápidamente, los datos no respaldan esta idea. Aproximadamente una de cada cuatro víctimas que pagan nunca recupera sus datos y, aunque se recuperen algunos, la mayoría de las organizaciones tardan más de una semana en recuperarse de un ataque de ransomware. Tampoco hay garantía alguna de que el ataque vaya a terminar o resolverse, un punto en el que coincide la Iniciativa contra el Ransomware, integrada por 48 países, que desaconseja encarecidamente este tipo de pagos. Los pagos también podrían servir como fuente de fondos para actividades delictivas y proporcionar un incentivo adicional para cometer futuros ataques. 

Las empresas deben decidir si les conviene rechazar el pago del rescate. Si las aseguradoras respaldan la decisión de no pagar, la cobertura se extendería, por lo general, a los costes de recuperación y a cualquier pérdida de ingresos que se derive directamente del ataque.

Dado que los ataques de ransomware pueden suponer un gran coste económico y provocar interrupciones significativas en el servicio, sería conveniente prepararse de forma proactiva para hacer frente a este tipo de incidentes. Estas medidas pueden incluir:

• Garantizar que se disponga de copias de seguridad y sistemas de redundancia, y que estén actualizados
• Realización de auditorías informáticas periódicas
• Exigir contraseñas seguras y la autenticación multifactorial
• Impartir formación y educación periódicas en materia de tecnologías de la información
• Elaborar planes de respuesta ante incidentes que puedan ponerse en marcha rápidamente en caso de necesidad 

Esos planes solo son eficaces si cuentan con la participación de toda la organización.

• Daño a la reputación

Tras un ciberataque, la imagen pública de la empresa afectada puede verse perjudicada, sobre todo cuando se ven comprometidos datos confidenciales de los clientes. Los clientes pueden poner en duda la capacidad de la empresa para proteger su información personal, lo que puede provocar una pérdida de confianza y fidelidad. Las interrupciones en el servicio también pueden llevar a los usuarios a cambiarse a un competidor que destaque su fiabilidad.

Muchas pólizas de seguro contra riesgos cibernéticos ofrecen cobertura por daños a la reputación, reembolsando a los asegurados las pérdidas económicas derivadas directamente del incidente. También puede ofrecerse cobertura para los gastos de recuperación de la reputación, lo que permite contratar a consultores de relaciones públicas para mitigar los efectos de la publicidad negativa. La dificultad radica en cuantificar y atribuir la pérdida de clientes actuales y potenciales al incidente. Además, dado que muchas pólizas cibernéticas tienen períodos máximos de indemnización cortos, los daños continuados a la reputación que se produzcan más allá de ese período no estarían cubiertos por la póliza. 

Aún no está claro si las noticias sobre incidentes cibernéticos se han vuelto tan habituales que realmente dañan la reputación de una empresa. La gente tiende a considerar que las empresas que gozan de un alto grado de confianza son más susceptibles de sufrir un deterioro de su reputación. Un banco online, por ejemplo, sería más propenso a sufrir un deterioro de su reputación que una tienda online. 

Al igual que con el ransomware, un enfoque proactivo para gestionar el daño a la reputación puede resultar más eficaz y eficiente que una actitud reactiva. Además de las medidas mencionadas anteriormente, la piedra angular debe ser una comunicación clara y eficaz con las partes interesadas, algo fundamental para recuperar la confianza y defender la reputación. 

Conclusión

Las reclamaciones de ciberseguridad comparten algunas características con sus homólogas tradicionales en materia de inteligencia empresarial, pero el ámbito digital plantea algunas cuestiones específicas. Cuando una empresa se enfrenta a una pérdida relacionada con la ciberseguridad, es fundamental contar con un socio de confianza que cuente con experiencia en los matices de este tipo de reclamaciones para ayudarla a mitigar su amplio impacto.

> Más información — lea sobre los servicios de contabilidad forense y servicios de interrupción de la actividad empresarial en Asia o envíe un correo electrónico a [email protected] para obtener más información