310.000 pymes han sufrido ataques informáticos en lo que llevamos de 2021, un 70% más que en todo 2020 y más del doble que antes de la pandemia, siendo la principal vulnerabilidad la relacionada con ingeniería social (fallos humanos inducidos por los ciberdelincuentes), según concluye el informe Escudos 2021, promovido por la agencia española Exsel, promotora del Escudo Ciber, primer ciberseguro dedicado específicamente a las pymes y que incluye todas las coberturas del mercado por defecto y la misma franquicia general para todas. 

Una de cada cinco pequeñas y medianas empresas españolas ha sufrido algún ciberataque en el último año, siendo los ataques más habituales los fraudes en Internet, que se han convertido ya en el segundo delito más común en España, adelantando a robos con fuerza en domicilios, y suponen el 90% de los ataques que reciben en las empresas.

La ingeniería social, responsable directa o indirectamente del 95% de los ciberataques, ha repuntado tanto en volumen de ataques el último año (que se ha multiplicado por 8), como en efectividad (incrementado en más de un 40%), derivado de las circunstancias especiales del confinamiento (miedo, falsa confianza) y su impacto en la extensión del teletrabajo, unido al aprovechamiento de la coyuntura por los cibercriminales (noticias falsas, comunicaciones oficiales o invitaciones falsas a reuniones virtuales).

La pandemia del Covid disparó en un 2.000% el número de ciberamenazas -entre ellas un incremento del 95,17% en los incidentes de ramsomware-, ya que la extensión precipitada y falta de formación a empleados y medidas suficientes en ciberseguridad del teletrabajo ha proporcionado nuevas oportunidades que los atacantes comenzaron a aprovechar rápidamente y seguirán haciéndolo durante el mayor tiempo posible.

Ciberseguros, la cura de la pandemia digital

Como consecuencia de la pandemia digital en 2020, recrudecida en 2021 según confirma el informe de Exsel, 9 de cada 10 empresas y, particularmente, las pymes, han incrementado su inversión en ciberseguridad de cara a buscar una “vacuna” en términos de prevención de los ataques informáticos, y una “cura” en términos de transferencia del riesgo a través de la suscripción de ciberseguros, un mercado con un volumen de negocio de 500 millones en España (9.500 millones en el mundo) y crecimientos sostenidos de dos dígitos, que se concreta en nuestro país en 15 productos de otras tantas aseguradoras que, ante los nuevos y más sofisticados riesgos, han elevado sus primas de media en un 35% en 2020 y un 32% en 2021.

De los 17 ciberataques identificados en el estudio Escudos 2021 de Exsel, que aplica la misma metodología que Agers en su Estudio de pólizas de ciber riesgos del mercado español, ninguna aseguradora activa la póliza de ciberseguros en todas ellas -incluso restringiéndola a sistemas de información propios-; una sola entidad, Exsel, la activa en 16 hechos, dos en 15, y otras dos en 14. 

Los actos incorrectos en la prestación de servicios TI, los daños de información por destrucción del hardware y las amenazas de ciberextorsión son los siniestros menos cubiertos, y la violación de datos personales el único siniestro que cubren los ciberseguros españoles en más del 50% de los casos (51%).

De las 29 coberturas y servicios analizados ofrecidas por los ciberseguros españoles en los 17 ataques que potencialmente activan la póliza, la práctica totalidad de la industria de ciberseguros desatiende o infraasegura las relacionadas con la ingeniería social. Los actos incorrectos cometidos a consecuencia de un ciberataque, tanto los que llevan una brecha de seguridad, como los originados cuando una empresa es hackeada, como, por ejemplo, el robo fraudulento de fondos a través de una suplantación de identidad o el engaño a un empleado del asegurado (phishing, fraude del CEO, etc) cuentan con un 13% de coberturas medias.

De las apenas tres aseguradoras en España que ofrecen la cobertura de fraude por transacción o retirada de fondos (ciberdelito), las que lo hacen incluyen sublímites muy bajos, salvo Escudo Ciber, de Exsel, ciberseguro dedicado específicamente a las pymes, que incluye todas las coberturas del mercado por defecto y la misma franquicia general para todas, que viene de serie con un sublímite de 100.000€ para esta cobertura, ofreciendo la definición más amplia de la ingeniería social. Es, de hecho, el único producto de los analizados que cubre daños reclamados y gastos de defensa en los casos de uso no autorizado de la red de telecomunicaciones y modificaciones de precios por un ciberataque, y la única que cubre los actos incorrectos en la prestación de servicios TI si son a consecuencia de un hackeo.