En el vasto y a menudo soporífero universo de las finanzas corporativas, el seguro ocupa un lugar peculiar. Es ese contrato que nadie quiere leer, que se paga con la esperanza de no usarlo nunca, y que, en el momento de la verdad, se convierte en el único documento capaz de salvar el balance de una empresa o de hundirla en la miseria de la letra pequeña. Como corredores de seguros, nuestra misión trasciende la mera intermediación; somos los traductores de un lenguaje arcano diseñado para medir el miedo y ponerle precio. No vendemos papel; vendemos la certeza de que, cuando la Ley de Murphy decida organizar una fiesta en tu fábrica, no seas tú quien pague las bebidas.
Con este ánimo en mente, empiezo una nueva serie de artículos que, tal vez, puedan ayudarte a ti, Asegurado, a mirar de otro modo la protección que ofrece el Seguro.
Ciberprotección: El “triángulo de las bermudas” digital y la cláusula de guerra
La nueva frontera del riesgo:
Si crees que tu mayor riesgo es que se incendie la fábrica, es que no has mirado tu servidor últimamente. El ciberriesgo ha dejado de ser una amenaza futurista propia de películas de ciencia ficción para convertirse en la pesadilla recurrente del director financiero un martes cualquiera. Pero ¿qué cubre realmente un seguro de ciberprotección? Aquí es donde la mayoría de las empresas patinan. No se trata solo de recuperar datos o de limpiar un disco duro; se trata de sobrevivir a la extorsión, a la parálisis operativa y al escarnio público que supone tener que admitir ante tus clientes que sus datos bancarios están a la venta en la Dark Web.
El mercado asegurador ha sufrido una convulsión tectónica con el auge del ransomware o secuestro de datos. En años recientes, aseguradoras globales como AXA XL reportaron que más del 60% de sus siniestros cibernéticos provenían de ransomware e ingeniería social, con rescates que alcanzaron las ocho cifras. Esto ha endurecido el mercado, transformando las pólizas de “todo riesgo cibernético” en contratos llenos de especificidades técnicas que requieren una lectura con lupa de gran aumento y un diccionario de términos informáticos al lado.
El caso NotPetya y la batalla de la cláusula de exclusión de guerra
Para entender la sofisticación extrema de este seguro y cómo la geopolítica puede arruinar tu reclamación, es imperativo analizar el caso Merck & Co. v. Ace American Insurance Company. En junio de 2017, el malware NotPetya, atribuido a actores estatales rusos en el contexto del conflicto con Ucrania, infectó 40.000 ordenadores del gigante farmacéutico Merck. Las pérdidas ascendieron a la friolera de 1.400 millones de dólares.
Cuando Merck acudió a su aseguradora, esta rechazó el siniestro invocando la “Cláusula de Exclusión de Guerra” (War Exclusion Clause). El argumento de la aseguradora era, cuanto menos, creativo: alegaron que, al ser un ataque perpetrado por un estado nación (Rusia) contra otro (Ucrania), se trataba de un acto de guerra hostil, un riesgo tradicionalmente excluido de las pólizas de daños estándar. Merck, por su parte, argumentó que era una empresa civil en tiempos de paz y que no tenía por qué sufrir los daños colaterales de una ciberguerra no declarada.
En una sentencia histórica de enero de 2022, un tribunal de Nueva Jersey falló a favor de Merck. El juez razonó que ningún tribunal había aplicado anteriormente una exclusión de guerra a un ataque de malware y que las aseguradoras, conociendo la prevalencia de los ciberataques, deberían haber redactado la exclusión con mayor claridad si pretendían excluir actos cibernéticos de estados nación. La sentencia subrayó que el lenguaje de la exclusión de guerra se refería a formas tradicionales de conflicto bélico, no a código malicioso.
Este caso demuestra que la redacción de la cláusula de “ciberterrorismo” y “ciberoperaciones estatales” es crítica. Una póliza robusta debe diferenciar explícitamente entre una guerra cinética tradicional (tanques y misiles) y una ciberguerra, cubriendo esta última salvo declaración formal de hostilidades. Si tu póliza actual tiene una exclusión de guerra genérica y ambigua, estás jugando a la ruleta rusa con tu patrimonio digital.
Arquitectura de la póliza: Las tres capas de protección
Un seguro de ciberprotección de alto nivel no es un producto monolítico, sino que debe estructurarse en tres capas fundamentales para ser efectivo:
- Respuesta a Incidentes (first party): Es la “ambulancia digital”. Incluye forense informático (para saber por dónde entraron y si siguen dentro), asesoramiento legal (para cumplir con el RGPD y notificar a la Agencia Española de Protección de Datos en las 72 horas preceptivas), y gestión de crisis (relaciones públicas para controlar la narrativa y evitar que tus clientes huyan despavoridos).
- Responsabilidad Civil (third party): Cubre las indemnizaciones por filtración de datos de terceros y los gastos de defensa. En un entorno donde la privacidad es sagrada, las demandas colectivas por pérdida de datos de tarjetas de crédito pueden ser devastadoras
- Pérdida de beneficios cibernética: El lucro cesante derivado de la caída del sistema. Aquí es vital definir el “Período de Indemnización” y el “Tiempo de Espera” (franquicia temporal), que suele ser de 12 a 24 horas antes de que la cobertura se active. Si tu sistema cae 10 horas y tu franquicia es de 12, no cobras nada.
Medidas de seguridad exigibles (o el “no pasarán” de las aseguradoras)
Las aseguradoras ya no aseguran “a ciegas”. Han aprendido la lección y ahora exigen un nivel de higiene digital que muchas PYMES no tienen. Si no cuentas con lo siguiente, muchas compañías ni siquiera te cotizarán:
- Autenticación Multifactor (MFA): Sin esto, la puerta está abierta.
- Backups Inmutables: Copias de seguridad que no puedan ser cifradas por el ransomware. Si el virus encripta también el backup, es jaque mate.
- Gestión de Parches (Patch Management): La falta de actualización de software es una causa frecuente de rechazo de siniestros por “falta de medidas de seguridad razonables”.
Por Ramón de Urquía
