Colombia es el tercer país de Latinoamérica con mayor número de ataques cibernéticos. ¿Cómo proteger a empresas y personas en un contexto en el que diariamente nace o se mejora una tecnología? Aseguradoras se juegan un capítulo clave en su operación. Así le va al país en el proceso.

En el tumultuoso reino de la era digital, donde cada pulsación de una tecla contiene tanto la promesa de la transformación, como la sombra amenazante de exponerse a los cibercriminales, no son pocas las organizaciones que incrementalmente están siendo expuestas a situaciones como el secuestro de datos.

Microsoft reportó que cada segundo en el mundo ocurren 921 ataques a contraseñas y sistemas de seguridad, un 74% más que en 2022. Los delitos cibernéticos causan estragos no solo a las personas, sino también a empresas y gobiernos. Lo más alarmante es que el costo de estos incidentes alcanza los 1.141 millones de dólares por minuto.

Colombia está en el centro del problema. Según cifras de la multinacional Fortinet, el país está en el top tres de naciones de Latinoamérica que son víctimas de más ciberataques. Se ubica solo detrás de México (85.000 millones) y Brasil (31.500 millones), con 6.300 millones de intentos de ataques.

En medio de ese panorama, la ciberseguridad está captando un bocado cada vez mayor de los presupuestos de compañías de todos los tamaños y latitudes. Una encuesta de Kaspersky halló que en 2022 las grandes empresas en Latinoamérica destinaron en promedio 7,5 millones de dólares a este asunto, de los US$12,5 millones que invirtieron en TI. Las pequeñas y medianas empresas, por su parte, invirtieron en promedio US$350.000 en seguridad digital de los US$750.000 destinados a TI.

Las cifras dejan en evidencia que a medida que el espectro de las amenazas cibernéticas se amplía, las organizaciones se están dando cuenta de que su vulnerabilidad no es un destino irrevocable, sino un riesgo que se puede mitigar. Entre las estrategias para calmar las ansiedades hay un elemento en la gestión de riesgos que está ganando protagonismo: las pólizas de seguros cibernéticos.

En el caso de Colombia, el reporte ‘Lumu Advisory’, de la firma Lumu Technologies, alertó que solo en 2022 el país registró un incremento del 133% frente a 2021 en el número de organizaciones afectadas por ataques de secuestro de datos –conocidos como ransomware– que están orientados a crear interrupciones de las operaciones al tiempo que les permiten a los atacantes monetizar el compromiso de las redes a través de distintos tipos de software malintencionado.

Y los ejemplos de este fenómeno no faltan. En los últimos meses, por culpa de estos ataques, colapsaron operaciones de compañías del tamaño de la firma de servicios de salud Keralty –afectando a los usuarios de Sanitas y Colsanitas–, la empresa de energía EPM e instituciones públicas como el Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima). De acuerdo con el Centro Cibernético Policial, en 2022 hubo más de 54.000 denuncias de delitos cibernéticos, frente a las 11.223 que hubo en 2021.

Los casos han tenido en común que generan crisis que las compañías han atendido sobre la marcha, pues estas son amenazas desconocidas que apenas se están materializando. “Si bien el blanco de los eventos son las empresas y pymes, los hogares no están excluidos porque desde un virus hasta el cyberbullying son temas muy frecuentes”, explica Álvaro Carrillo, presidente Seguros Bolívar.

La compañía es uno de los jugadores locales que ha puesto en marcha productos contra estos nuevos riesgos. Además del seguro para pymes, que cubre investigación de ataques, recuperación de información, resarciendo falta de ingresos e indemnizando a terceros afectados, Seguros Bolívar prueba otra póliza enfocada en hogares, que en su versión completa acompaña casos de acoso, matoneo, intimidación, difamación, invasión de privacidad y amenazas de violencia, cambiando o reparando dispositivos que sean afectados, con reembolso de gastos.

“Para el mundo del hogar, son pólizas relativamente nuevas. Dado que la cantidad de ataques cibernéticos está en aumento, se produce la necesidad en el mercado de soluciones para la tranquilidad de los hogares y empresas en el mundo digital”, añade Carrillo.

Una tendencia similar se está viendo en HDI Seguros, que tiene en el país un seguro Cyber que promete proteger a sus asegurados contra los riesgos cibernéticos a los que pueden estar expuestos en el uso de internet, aplicaciones, transacciones virtuales y transmisión de información personal en medios digitales e informáticos. Este cuenta con 3.800 pólizas activas, que abarca a 15.000 usuarios protegidos.

“En un mundo cada vez más hiperconectado y con más entornos digitales robustos, donde la ciberdelincuencia está en constante evolución, es crucial tomar medidas para proteger a nuestros asegurados digitalmente”, sostiene Nelson Suárez, líder de producto ciber de HDI Seguros Colombia.

Desde HDI su enfoque a través del seguro Cyber Personas ha sido atender situaciones como robo de fondos, robo de identidad, restauración de datos y descontaminación de malware, compras en línea, extorsión cibernética, cyber bullying, cyber stalking, pérdida reputacional, reposición de hardware, ventas en línea y responsabilidad por violación de privacidad y seguridad de datos. Adicionalmente brindamos a nuestros clientes servicios de asistencia preventiva y asistencia post incidente a través de técnicos expertos”, explica.

A estas dos propuestas se suma la multinacional Chubb Seguros, que en el país ofrece una póliza para la gestión de riesgos cibernéticos que apoya a las empresas en la mitigación de daños propios y su responsabilidad ante terceros. Su cobertura incluye falta de disponibilidad de los datos, violación de privacidad de datos personales o información confidencial, e interrupción del negocio por afectaciones en los sistemas. Además, tiene en cuenta los gastos de expertos necesarios para responder al incidente.

Sin embargo, la oferta local de estos servicios sigue siendo reducida. Aunque la demanda ha crecido en el último año, otras grandes aseguradoras consultadas por Forbes Colombia explicaron que, si bien ya son muy fuertes en el mercado internacional en materia de ciberseguridad, no han desarrollado esta oferta en el país porque el interés por parte de empresas y personas continúa siendo muy incipiente y porque existen importantes retos para las aseguradoras entorno a la cobertura de la ciberseguridad.

“Uno de los mayores retos es el alto índice de siniestralidad que tiene el país. El Centro Cibernético de la Policía Nacional detalló que el mayor tipo de ataque en Colombia en 2022 fue la suplantación de correo corporativo y cada ataque de ese tipo deja una pérdida aproximada de 380.000 millones de pesos”, explica Fabio Cabral, presidente de Chubb Seguros Colombia.

Un renglón difícil de escribir

La suplantación de identidad, los correos invitando a hacer clic en enlaces basura –phishing– y mensajes de texto suplantando entidades financieras son solo algunas de las muchas caras que tiene el riesgo cibernético. Lo más difícil a la hora de identificarlo es que todos los días cambia, por lo que tanto empresas como personas juegan un rol importante a la hora de prevenirlo. Las aseguradoras, en su camino por atender estas amenazas, han lanzado una alerta sobre los mínimos que los usuarios finales deben cumplir para poder ser cubiertos.

“Ya el sector ha tenido que incorporar algunos requerimientos de base que nos permitan dar cuenta de que existe un trabajo de prevención importante”, puntualiza Cabral de Chubb Seguros.

Un informe de la firma Marsh reúne algunos de los puntos más importantes entre los que destacan: tener controles mínimos como un múltiple factor de autenticación para accesos remotos, contar con copias de respaldo probadas y seguras y segmentar la red, entre otros.

Para garantizar que la operación sea viable, las pólizas por su parte han incluido limitaciones para las pérdidas generadas por el ransomware y han determinado topes en cierta clase de eventos que podrían afectar a tantas organizaciones en el mundo, que la transferencia al mercado asegurador resultaría imposible de atender.

Marsh también destaca que en el primer trimestre del 2023 los precios de las pólizas de seguros cibernéticos aumentaron al menos 15% en Latinoamérica, un poco más que el promedio de otros tipos de pólizas. Una de las razones principales tiene que ver con el riesgo generalizado que representa la región en materia de conectividad, incertidumbre política, terrorismo y alto costo anual total en el cubrimiento de siniestros. “El nivel de ciberataques en la región seguirá siendo un factor importante en el apetito del mercado”, detalla el reporte.

Desde Boston Consulting Group (BCG) se ha hecho el llamado a tener en cuenta que el país y la región viven en alerta en materia de ciberseguridad. Desde 2020, la pandemia, el trabajo remoto y la globalización de las compañías –que cada vez contratan más colaboradores en otras naciones– convirtieron a la región en foco de los ciberdelincuentes, que discriminan a los países por su bajo nivel de conectividad y desarrollo de tecnologías para protegerse de los ataques. El camino por ahora será destinar más recursos económicos y humanos a la prevención.

Pero a la dificultad de este panorama se suma la escasez de profesionales en ciberseguridad dentro de las empresas. La demanda por personal con estas habilidades ha crecido en promedio un 35% en el último año, de acuerdo con cifras de Microsoft. Se espera que para 2025 haya más de 3,5 millones de vacantes laborales para personal de este tipo, lo que significa un aumento del 350% en un periodo de ocho años.

En Colombia esa demanda ha incrementado un 32% en el último año. La firma Tata Consultancy Services reportó que cuatro de cada diez encuestados tienen dificultades para contratar o retener el talento experto en ciberseguridad, mientras que PageGroup incluyó esta profesión entre las más demandadas por el mercado nacional, con salarios entre los 7 y los 25 millones de pesos mensuales.

En materia de política pública la situación ya es prioridad. Aunque la propuesta de crear una Agencia de Seguridad Digital para el país fracasó durante la discusión del Plan Nacional de Desarrollo, por no alcanzar los votos necesarios para su aprobación, el consejero de la Transformación Digital, Saúl Kattan, anunció que el gobierno nacional buscará nuevas estrategias para establecer una Agencia de Ciberseguridad en el país.

“Estamos trabajando para apoyar y contribuir para fortalecer la seguridad digital en un mundo donde los ataques siguen en aumento. Han atacado muchas entidades del sector público y privado, por lo que debemos estar preparados para gestionar de forma adecuada estos ataques. Es necesario insistir en protocolos y llevar a cabo las mejores prácticas”, destacó Kattan durante su participación en la reunión de Consejos de Ciberseguridad regional.

Del lado del Ministerio de las TIC, la cartera anunció que destinará 70 mil millones de pesos para crear un Centro de Innovación Bios, que permita formar a colombianos en ciberseguridad, “lo que ayudará a convertir a Colombia en potencia mundial de la materia”, según explicó el ministro TIC Mauricio Lizcano. La sede para la puesta en marcha del proyecto sería Manizales.

Las dos propuestas buscan resolver una necesidad que se irá haciendo más grande con los días, porque la innovación tecnológica, así como la capacidad de los ciberdelincuentes, no para.

Siga la información de tecnología en nuestra sección especializada