Las aseguradoras de daños y accidentes se encuentran en una situación bastante singular en el ámbito de la ciberseguridad. Se dedican a evaluar riesgos. Establecen requisitos de seguridad como condiciones para la cobertura y saben mejor que nadie lo que cuesta una filtración de datos.

Sin embargo, en lo que respecta a sus propias defensas cibernéticas, siguen existiendo lagunas importantes.

Esa es la conclusión principal de «Cybersecurity for Insurers: Squaring Safety with Service», un nuevo informe publicado por el Insurance Information Institute (Triple-I) en colaboración con Fenix24. El estudio se basa en conversaciones estructuradas con ejecutivos del sector de los seguros, comparando sus prácticas con las mejores prácticas y los controles de seguridad que exigen a sus propios asegurados.

¿Cuál es la conclusión? Las aseguradoras han realizado inversiones importantes en ciberseguridad. Pero «importantes» no significa «suficientes».

Dónde están las lagunas

El informe señaló los puntos fuertes en varios ámbitos, así como las áreas que podrían suponer un riesgo para las aseguradoras.

Las pruebas de recuperación son demasiado limitadas. La mayoría de las aseguradoras implementan copias de seguridad inmutables e informan de que cumplen los objetivos de tiempo de recuperación para sus sistemas de mayor nivel. Sin embargo, esas pruebas suelen realizarse en un único sistema en condiciones ideales, y no en toda la red ni bajo la presión de un incidente real. Esa brecha entre una prueba controlada y un incidente real de ransomware es lo que acaba hundiendo a las organizaciones.

Como señaló Mark Grazman, director ejecutivo de Fenix24: «La mayoría de las organizaciones han probado sus planes de recuperación ante desastres naturales o interrupciones informáticas habituales, pero no ante ataques de ransomware. Comprender lo que ocurre realmente en un escenario de ransomware es fundamental para diseñar una resiliencia auténtica. No son solo las copias de seguridad las que están en peligro. Los atacantes se centran sistemáticamente en destruir la infraestructura, incluyendo Active Directory, los sistemas de identidad, las máquinas virtuales, los hipervisores e incluso las comunicaciones básicas, como el correo electrónico». La planificación de la resiliencia requiere comprender la capacidad de supervivencia de las copias de seguridad, la arquitectura para la rehidratación y la integridad, junto con una inteligencia integral de los activos, la priorización de las aplicaciones críticas para el negocio y sus dependencias asociadas. La resiliencia es alcanzable si se sabe qué diseñar, y ese es el poder de los conocimientos de Fenix24».

La autenticación sigue presentando puntos débiles. Todas las aseguradoras participantes utilizan sistemas corporativos de gestión de contraseñas y exigen que estas cumplan requisitos estrictos de complejidad. Todas exigen la autenticación multifactorial para las cuentas administrativas, pero algunas siguen permitiendo la autenticación multifactorial basada en SMS y correo electrónico. Se trata de dos métodos que los ciberdelincuentes aprovechan habitualmente. Aunque las herramientas están implementadas, la configuración no es lo suficientemente rigurosa.

El ritmo de aplicación de parches es demasiado lento. Todos los participantes realizan pruebas de penetración, incluyendo escenarios de ingeniería social dirigidos al personal del servicio de asistencia técnica. Solo alrededor de la mitad aplica parches de seguridad mensualmente, lo que resulta insuficiente en un entorno en el que los atacantes aprovechan las vulnerabilidades recién descubiertas a las pocas horas o días de su divulgación pública.

Los controles de navegación implican una serie de compensaciones. La mayoría de las aseguradoras aplican filtros DNS y bloquean la transferencia de archivos entre pares y el correo electrónico basado en web. Todos estos son controles eficaces, pero algunas también utilizan el túnel dividido para las VPN, lo que desvía parte de la navegación por Internet fuera del cifrado. Esto mejora la experiencia del usuario, pero aumenta la exposición a ataques de phishing, malware e interceptación.

La preparación por encima de la perfección

El informe deja claro algo que llevamos años repitiendo: no existe una solución de seguridad «perfecta». La búsqueda de esa solución genera una falsa sensación de seguridad. Lo que distingue a las organizaciones resilientes de las vulnerables es la preparación sistémica, las capacidades de recuperación contrastadas y el compromiso de la organización con la mejora continua.

Las aseguradoras, al igual que cualquier otra empresa, deben encontrar un equilibrio entre la seguridad, la facilidad de uso y el rendimiento operativo. Esa es la realidad. Sin embargo, el informe deja claro que la brecha entre «tenemos copias de seguridad» y «podemos recuperarnos de un ataque de ransomware» sigue siendo peligrosamente amplia, incluso entre las empresas que evalúan precisamente este riesgo para sus clientes.

El mercado de los seguros cibernéticos está creciendo. Las amenazas crecen aún más rápido.

El mercado de los seguros cibernéticos alcanzó los 15 300 millones de dólares en primas netas suscritas en 2024, y se prevé que alcance los 16 300 millones de dólares en 2025. El ransomware sigue siendo uno de los principales factores que provocan pérdidas aseguradas, y la interrupción de la actividad empresarial representa aproximadamente la mitad del coste medio de 1 millón de dólares asociado a estos incidentes.

Si las aseguradoras no logran restablecer sus propios sistemas con rapidez, no podrán atender a los asegurados que cuentan con ellas.

La recuperación es lo que marca la diferencia

Las conclusiones de este informe confirman lo que Fenix24 observa a diario en primera línea. Las organizaciones invierten en medidas de seguridad. Adquieren las herramientas, realizan las pruebas y cumplen con los requisitos. Pero cuando un atacante logra colarse (y lo hará), la pregunta es: ¿podrás recuperarte?

Descargar el informe completo: Ciberseguridad para aseguradoras: conciliar seguridad y servicio para conocer la situación actual del sector, cuáles son las carencias y qué se necesita para subsanarlas.