Juan Miguel Velasco, CEO Aiuken Cibersecurity, ha participado en el Insurance World Challenges 2022, en donde ha indicado que el sector asegurador tiene un desafío muy importante para los próximos años, puesto que, en ocasiones, son las propias aseguradoras las que tienen que afrontar el pago del rescate en un ataque de ramsomware.

De hecho, en países como Francia están debatiendo acerca de un cambio legislativo que impida a estas entidades tener abonar dicho rescate, con el objetivo de evitar premiar o fomentar a los ciberdelincuentes en estas acciones ilícitas. Sin embargo, esta nueva norma en discusión también obligaría a las aseguradoras a tener que compensar económicamente a sus asegurados en el caso de que se sea víctima de un ciberataque, siempre, eso sí, que se haya presentado una denuncia en los 48 horas posteriores a sufrir la incidencia. Es decir, que indirectamente tendrían que seguir respondiendo ellas por este tipo de delitos virtuales.

El debate sobre la compensación o no por parte de las aseguradoras si uno de sus clientes sufre un ataque de ransomware lleva desde hace tiempo sobre la mesa de los reguladores con dos posturas claramente enfrentadas. Por un lado, existen los que afirman que no solo hay que prohibirla sino que, además, aquella entidad que pague el rescate al cibercriminal debe ser sancionada por financiar una práctica ilícita. En el otro extremo están los que indican que una compañía aseguradora debe responder económicamente por su cliente cuando ocurre un ciberataque bajo el prisma de que se activa la garantía de gastos de gestión de un incidente.

El problema de esta segunda posición es que si crece el volumen de ataques de ransomware las aseguradoras se ven abocadas tarde o temprano a revisar sus primas para aplicarles un posible incremento. De este modo, el ciberseguro, tan necesario para muchas empresas, en especial para las pymes, en la actualidad, corre el riesgo de convertirse en un producto caro y, para algunas organizaciones, directamente en inaccesible.

Es más, el precio de las primas puede terminar provocando que muchas compañías pequeñas contraten una póliza de estas características pero sin el conjunto de garantías que precisan para proteger su actividad, lo que al final termina suponiendo un riesgo por sí mismo. Por otro lado, si se incluye la cobertura del pago de rescate de un ciberdelito por parte de las aseguradoras también se podría estar poniendo un freno al incremento de las acciones de formación sobre ciberseguridad entre los empleados, que son la principal vía de entrada para los programas maliciosos que permiten el robo de información.

Según algunos expertos, este es el principal hándicap con el que está contando el seguro de ciberriesgo para no haber experimentado un crecimiento mayor en los últimos años, si bien la decisión que se tome finalmente sobre el proyecto de ley en Francia (que comienza en octubre) muy probablemente sea decisivo para lo que puede ocurrir en otros países europeos desde el punto de vista normativo en los próximos años.

De acuerdo a los datos de INCIBE, en España entre el 50% y el 60% de las empresas que son víctimas del ransomware termina pagando el rescate, por más que se desaconseje desde el ámbito público, ya que este mismo organismo afirma que pagar no garantiza volver a tener acceso a los datos y, además, se abre la vía para que los delincuentes ataquen de nuevo en el futuro, sabiendo que tendrán mayores posibilidades de obtener un beneficio económico.