Manuel Carpio, Director de Ciberseguridad en Armatum (Abai Group)

La ciencia actuarial es una disciplina que aplica métodos matemáticos y estadísticos con el objetivo de formalizar seguros para todo, desde accidentes automovilísticos hasta abducciones extraterrestres.

Muchos productos de seguros contemporáneos, como los de automóviles, de hogar, de incendio o de vida, cuentan hoy con abundante información histórica, lo que permite depurar la prima que se paga por la póliza, en un sano ejercicio de competencia entre competidores del mercado asegurador.

Sin embargo, desde los primeros contratos de seguro marítimo celebrados en el s. XV, muchos productos de seguros se han emitido sin datos históricos, tablas actuariales o incluso buena información. Algunos ejemplos:

• Seguro de automóvil: La primera póliza de seguro de automóvil se emitió en 1898. Hasta ese momento, las empresas solo aseguraban carruajes tirados por caballos y los actuarios utilizaron estos datos para fijar el precio a algo tan insólito como un automóvil.
• Partes del cuerpo de celebridades: Las noticias en la prensa sensacionalista sobre el seguro de las piernas de Cristiano Ronaldo o de las cuerdas vocales de Bruce Springsteen han desarrollado este negocio extendiendo este tipo de pólizas a muchos otros estratos de profesiones liberales.
• Eventos desconocidos o poco probables: Los seguros de cancelación de bodas, de reputación, o de fenómenos paranormales, por nombrar algunos, son también un gran ejemplo de cómo los actuarios pueden valorar eventos poco comunes. 

Los seguros de computadoras se concibieron por primera vez en la década de 1970. Los datos sobre siniestros eran escasos, pero aun así las compañías comercializadoras podían ganar dinero. Se fijaban precios iniciales basándose en estimaciones de eventuales daños al equipamiento, accidentales o causados por la naturaleza, que era por entonces la cobertura habitual de la maquinaria, y los precios se fueron ajustando a medida que los datos sobre reclamaciones estuvieron disponibles.

Pero desde hace algo más de una década, el entorno del ciberseguro ha cambiado drásticamente debido a:

• La digitalización acelerada de los procesos productivos de las empresas.
• La diversificación en el origen y el tipo de los riesgos, causados ahora también por acciones deliberadas de la mano del hombre.
• Las posibles pérdidas de los suscriptores, no solo propias sino también causadas a terceros, y no solo ya por daños a la infraestructura, sino también a bienes intangibles como la reputación de la marca.

Todo esto nos ha conducido a una situación paradójica: Por un lado, el mercado no está siendo atendido en su necesidad de mayores capacidades y de coberturas especiales. Por otro lado, algunas compañías de seguros advierten que, de continuar su tasa de crecimiento, los ciberataques dejarán de estar cubiertos. Como consecuencia, según Swiss Re, todo apunta a un crecimiento anual de las primas mundiales de ciberseguro del 20% hasta 2025. Para cerrar esta paradoja, siempre según esta aseguradora, “es necesario mejorar la calidad de los datos y su modelado para lograr precios más precisos. Los riesgos cibernéticos son difíciles de cuantificar debido a la falta de datos estandarizados y limitaciones de modelización” .

Esperar datos históricos “perfectos” es un ejercicio infructuoso e impedirá que el analista utilice los datos disponibles, por escasos o defectuosos que sean, para tomar mejores decisiones.

Para los nuevos riesgos, o poco frecuentes, suelen usar los mismos métodos de estimación desarrollados por los actuarios hace cientos de años, como también se usan en las ciencias sociales hasta la exploración de petróleo y gas. Se recopilan tantos datos históricos relevantes como sea posible (pueden ser datos adyacentes, como se hizo con el número de accidentes de carruajes tirados por caballos al fijar el precio de la primera póliza de automóvil) y se llevan a los expertos. Luego, los expertos aplican el razonamiento, el juicio crítico y su propia experiencia, para estimar la probabilidad de ocurrencia o fijar el precio del seguro.

Los datos estimados por expertos y codificados cuantitativamente no están mal. Por el contrario, son muy útiles cuando existe una profunda incertidumbre, datos escasos, datos costosos de adquirir o un riesgo nuevo y emergente.Existen herramientas y técnicas para hacer que la cuantificación del riesgo tecnológico no sólo sea posible, sino que también pueda brindar a cualquier empresa una ventaja competitiva. Por su debida diligencia profesional, no solo el actuario, sino además el Responsable de Seguridad de la Información y el Responsable de Riesgos de la empresa, tienen obligación de conocer estas metodologías, con el fin de encontrar el justiprecio de la prima del ciberseguro de la empresa.