El seguro cibernético ya no es algo que las empresas puedan comprar y olvidar. A medida que el ransomware, el phishing, la vulneración del correo electrónico empresarial y los ataques asistidos por IA se vuelven más comunes, las aseguradoras están cambiando su papel. No sólo pagan reclamaciones después de un incidente. Ahora están decidiendo, en primer lugar, si una organización es lo suficientemente segura como para asegurarla.
La lección es clara en la ciudad de Hamilton, Ontario. En febrero de 2024, la ciudad sufrió un ataque de ransomware que interrumpió los servicios en todo el municipio. Hamilton se negó a pagar el rescate de 18,5 millones de dólares y restableció los servicios esenciales en 48 horas, pero algunos sistemas siguieron afectados durante semanas. Un año después, su proveedor de seguros cibernéticos negó el reclamo de la ciudad después de que los investigadores descubrieron que varios departamentos no habían implementado la autenticación multifactor para los trabajadores que acceden a los sistemas internos.
Ese detalle importaba. Según se informa, la política decía que la cobertura podría anularse si la infracción estuviera relacionada con la falta de controles de seguridad básicos, incluido MFA. En otras palabras, el seguro no reemplazó a la seguridad. La experiencia de la ciudad demostró que la cobertura depende de si una organización puede demostrar que siguió los estándares mínimos requeridos por la aseguradora.
Este se está convirtiendo en el nuevo modelo de ciberseguro. Las aseguradoras están pasando de la suscripción pasiva a la evaluación de seguridad activa. Quieren saber si una empresa cuenta con MFA, detección y respuesta de endpoints, registro, fechas límite de parches, copias de seguridad probadas, segmentación, capacitación de empleados y procedimientos de respuesta a incidentes. Una empresa que no pueda mostrar evidencia de estos controles puede enfrentar primas más altas, una cobertura más limitada o un rechazo total.
El momento no es casual. Los ciberataques son cada vez más fáciles de lanzar y más difíciles de contener. La IA generativa ha reducido la barrera de las habilidades para los atacantes, haciendo que los correos electrónicos de phishing sean más convincentes y permitiendo ataques a mayor escala. La vulneración del correo electrónico empresarial sigue siendo una de las fuentes más comunes de reclamaciones porque se dirige a personas, no sólo a sistemas. Incluso las organizaciones con sólidas herramientas perimetrales pueden quedar expuestas si se engaña a los empleados, se confía demasiado en las identidades o se aplican controles de manera inconsistente.
Por eso ahora son importantes las auditorías dirigidas por las aseguradoras. Obligan a las empresas a tratar la ciberseguridad como un requisito comercial mensurable. Los equipos de seguridad deben documentar los controles, demostrar que los sistemas están monitoreados, realizar ejercicios, mantener evidencia para las renovaciones y demostrar que se está reduciendo el riesgo. Esto puede resultar frustrante, pero también crea disciplina. Para muchas organizaciones, especialmente las pequeñas y medianas empresas, los requisitos de seguro pueden ser el impulso que finalmente consiga financiar e implementar controles básicos.
Los cortafuegos siguen siendo importantes, pero no suficientes. Un firewall puede monitorear el tráfico, bloquear el acceso sospechoso y reducir la exposición en el borde de la red. Pero no puede eliminar el riesgo. Las configuraciones erróneas, el robo de credenciales, las vulnerabilidades de día cero, los ataques a la cadena de suministro, las amenazas internas y los errores humanos aún pueden provocar infracciones. Incluso las defensas técnicas sólidas no pueden cubrir automáticamente el daño legal, financiero, operativo y de reputación que sigue a un ataque exitoso.
Aquí es donde el ciberseguro todavía tiene valor. Cuando una política responde, puede financiar investigaciones forenses, asesoramiento legal, apoyo en relaciones públicas, negociación de rescates, servicios de recuperación y pérdidas por interrupción de negocios. Las aseguradoras también pueden brindar acceso a socios de respuesta a incidentes examinados que muchas empresas tendrían dificultades para encontrar rápidamente durante una crisis. En caso de incumplimiento grave, esa coordinación puede reducir el tiempo de inactividad y limitar el daño total.
Pero las empresas no deben dar por sentado que se pagarán todas las reclamaciones. Los rechazos de reclamos a menudo ocurren debido a tergiversaciones, exclusiones, riesgos no revelados o incumplimiento de las condiciones de la póliza. Si una organización dijo que tenía MFA en todas partes pero no lo hizo, o afirmó haber probado copias de seguridad que nunca fueron validadas, la aseguradora puede impugnar el reclamo. La póliza ya no es sólo un documento financiero. Es un contrato de seguridad.
El resultado más amplio es que las compañías de seguros se están convirtiendo en reguladores informales de ciberseguridad. Están estableciendo estándares mínimos mediante suscripción y renovaciones, especialmente para organizaciones que carecen de programas de seguridad maduros. Es probable que esto continúe a medida que las amenazas impulsadas por la IA aumenten aún más y las aseguradoras intenten controlar su propia exposición.
El seguro cibernético sigue siendo importante. Pero debería tratarse como parte de una estrategia de riesgo, no como un sustituto de la seguridad. Las organizaciones mejor posicionadas para beneficiarse del seguro serán aquellas que puedan demostrar que han hecho lo básico: proteger identidades, monitorear sistemas, parchear rápidamente, capacitar a los empleados, realizar copias de seguridad de datos críticos y probar sus planes de respuesta antes de que lo hagan los atacantes.
