“
Uno de los mensajes que Warren Buffett y el principal ejecutivo de seguros de Berkshire Hathaway, Ajit Jain, enviaron a los inversores durante la reciente reunión anual de accionistas de la compañía en Omaha fue que el seguro cibernético, aunque actualmente es rentable, aún tiene demasiadas incertidumbres y riesgos para que Berkshire, un gran jugador en el mercado de seguros, se sienta completamente cómodo en su suscripción.
El seguro cibernético se ha convertido en un producto “muy de moda”, dijo Jain en la reunión anual. Y ha sido un negocio rentable para las aseguradoras, al menos hasta la fecha. Describió la rentabilidad actual como “bastante alta”: al menos el 20% del total de primas termina en los bolsillos de las aseguradoras. Pero en Berkshire, el mensaje que se envía a los agentes es de precaución. Una razón fundamental es la dificultad para evaluar cómo las pérdidas de un solo suceso no se convierten en una agregación de posibles pérdidas cibernéticas. Jain dio el ejemplo hipotético de cuando la plataforma de un importante proveedor de servicios en la nube “se paraliza”.
“Ese potencial de agregación puede ser enorme, y no poder tener un margen para el peor de los casos es lo que nos asusta”, dijo.
“No hay lugar donde ese tipo de dilema entre en juego más que en el cibernético”, dijo Buffett. “Puedes tener una agregación de riesgos que nunca soñaste, tal vez peor que algún terremoto ocurriendo en algún lugar”.
Berkshire está en el negocio del seguro cibernético
Los analistas de la industria generalmente dicen que aunque algo de la precaución de Berkshire es justificada, el estado general del mercado de seguros de ciberseguridad se está estabilizando a medida que se vuelve rentable. Y Gerald Glombicki, director senior del grupo de seguros de Fitch Ratings en Estados Unidos, señala que a pesar de la precaución de Warren Buffett, Berkshire Hathaway está emitiendo pólizas de ciberseguridad. Según el análisis de Fitch, Berkshire Hathaway es el sexto emisor más grande de tales pólizas. Chubb, en el que Berkshire recientemente reveló una gran inversión, y AIG son los más grandes.
“En este momento, el seguro de ciberseguridad sigue siendo un modelo de negocio viable para muchas aseguradoras”, dijo Glombicki. Aún es un mercado pequeño, representando solo el 1% de todas las pólizas emitidas, según Glombicki. Debido a que el negocio de ciberseguridad es tan pequeño, brinda a las compañías de seguros la libertad de implementar varias políticas para ver qué está funcionando y qué no, sin una tremenda exposición.
Berkshire, al igual que Chubb y AIG, declinaron hacer comentarios.
“Hay un elemento de imprevisibilidad que es muy inquietante, y entiendo de dónde viene [Buffett], pero creo que es realmente difícil evitar totalmente el riesgo cibernético”, dijo Glombicki \”Pero añadió que aún no ha habido litigios significativos que asignen culpabilidad o pongan a prueba los límites de las pólizas, y hasta que los tribunales escuchen algunos casos de culpabilidad, algunas aseguradoras pueden proceder con más precaución.
‘Podría quebrar la compañía’, dice Buffett
Los principales ejecutivos de Berkshire, Warren Buffett (L), Greg Abel (C) y Ajit Jain (R) durante la Reunión Anual de Accionistas de Berkshire Hathaway en Omaha, Nebraska el 4 de mayo de 2024.
CNBC
El problema de escribir muchas pólizas, incluso con un límite de $1 millón por póliza, es que si un “único evento” resulta afectando a 1,000 pólizas. “Has escrito algo por lo que de ninguna manera estamos obteniendo el precio adecuado, y podría quebrar la compañía”, dijo Buffett.
Aunque algunos líderes destacados, como el ex jefe de Seguridad Nacional Michael Chertoff, quien ahora dirige una firma global de gestión de riesgos de seguridad, han pedido algún respaldo gubernamental en ciberseguridad de alguna manera, la mayoría de los expertos no creen que sea necesario en este momento. Glombicki dice que mientras los federales están analizando qué papel pueden desempeñar, es poco probable que intervengan hasta que un incidente lo provoque.
Cualquier intervención gubernamental “probablemente sucederá después de un ciberincidente grande y costoso”, dijo. “Después del 11 de septiembre, el gobierno creó un programa de riesgo terrorista. En ciber, aún no hemos visto un ataque de esa escala. Todavía estamos en la etapa de pensar en posibles enfoques”.
Los datos de seguros cibernéticos muestran crecimiento y confianza en el mercado
Aunque el número de pólizas de ciberseguridad que se emiten es pequeño ahora, los analistas no esperan que siga así.
“Las tarifas están disminuyendo, lo que muestra estabilidad en el mercado”, dijo Mark Friedlander, portavoz del Instituto de Información de Seguros. Según sus datos, se estima que las primas de ciberseguridad se duplicarán en la próxima década. En 2022, las primas totalizaron $11.9 mil millones. Para 2025, Friedlander dice, se espera que se dupliquen a $22.5 mil millones y aumenten a $33.3 mil millones para 2027.
“Este es claramente uno de los segmentos de seguros de más rápido crecimiento. Más empresas están emitiendo pólizas de ciberseguridad que nunca antes”, dijo Friedlander, atribuyendo la confianza entre las aseguradoras a una suscripción más sofisticada y a tarifas estabilizadoras. Citó una disminución del 6% en las tasas de seguros cibernéticos en el primer trimestre de 2024, después de una disminución del 3% en 2024, como una clara señal de que las aseguradoras se sienten más seguras al entrar en el negocio.
“La mayoría de los seguros comerciales como automóviles, hogar y vida han estado aumentando, por lo que la disminución es significativa. Es una señal de estabilidad y una disminución en la gravedad de los reclamos”, dijo Friedlander.
Y más aseguradoras están ingresando al mercado porque tienen las herramientas y datos para evaluar el riesgo. “Si puedes hacerlo a tasas sólidas, escribirás esa cobertura”, dijo Friedlander.
‘Estás perdiendo dinero’
Buffett y su principal teniente de seguros no están de acuerdo. Es el “costo de pérdida” del seguro: cuál podría ser el costo de los bienes vendidos potencialmente, lo que tiene a Berkshire en la cuerda floja con un movimiento más grande en el seguro cibernético. Jain dijo que las pérdidas se han “contenido bastante bien” hasta la fecha, no excediendo el 40 centavos en el dólar de la póliza en los últimos cuatro o cinco años, pero agregó, “no hay suficientes datos para poder confiar y decir cuál es tu verdadero costo de pérdida”.
Jain dijo que en la mayoría de los casos, los agentes de Berkshire son desalentados de emitir seguros cibernéticos, a menos que necesiten emitirlos para satisfacer necesidades específicas del cliente. Y aún si lo hacen, Jain les deja este mensaje: “No importa cuánto cobres, debes decirte a ti mismo que cada vez que emites una póliza de seguro cibernético, estás perdiendo dinero. Podemos discutir cuánto dinero estás perdiendo, pero la mentalidad debería ser que no estás ganando dinero con ello… Y luego deberíamos partir de ahí”.
Google Cloud dice que los riesgos se están exagerando
Hay una percepción de que el riesgo cibernético está cambiando rápidamente y, por lo tanto, es demasiado impredecible para asegurarlo de manera sistemática, dice Monica Shokrai, jefa de riesgos comerciales y seguros en Google Cloud. Pero agregó que la percepción no coincide con la realidad, y que en gran medida se puede gestionar el riesgo.
“No compartimos la misma visión que Warren Buffet sobre el tema”, dijo. En la opinión de Google, la mayoría de las pérdidas cibernéticas se pueden prevenir o mitigar a través de la higiene cibernética básica.
“Al comprender la seguridad, puedes llegar a un punto donde tus controles estén en un lugar mucho mejor, donde el riesgo sea más manejable”, dijo Shokrai. Mientras tanto, los ataques devastadores de los estados-nación, están en una categoría separada y han sido raros. Las aseguradoras ya se están vacunando a sí mismas contra el potencial riesgo al hacer exclusiones para ciertos eventos catastróficos. Muchas pólizas de ciberseguridad tienen exenciones de cobertura para ataques de estados-nación.
“Lo que intentan es mantenerse resilientes y solventes en caso de un evento generalizado; lo que han hecho para gestionarlo es poner exclusiones”, dijo Shokrai, e incluyen infraestructura crítica, guerra cibernética y otros eventos disruptivos generalizados.
Permanecen ambigüedades y subjetividades. ¿Qué pasa si alguien es víctima de un ciberataque de una banda con base en el extranjero que no está oficialmente relacionada con un estado-nación pero que puede haber recibido algún apoyo logístico secundario? ¿Puede una compañía de seguros invocar una exclusión de estado-nación? Shokrai dice que categorizar cómo atribuir un evento es tema de mucho debate entre compañías de seguros. “Es un gran debate entre compañías de seguros; es una distinción importante que necesita claridad”, dijo Shokrai.
Algunos expertos dicen que es la ambigüedad que rodea a los márgenes de la industria lo que ha asustado a inversores como Buffett y a jugadores de seguros como Berkshire. Pero hasta ahora, el negocio ha demostrado ser sólido en general. “Todavía es un modelo de negocio viable para muchas aseguradoras”, dijo Josephine Wolff, profesora asociada de política de ciberseguridad en la Escuela Fletcher de la Universidad Tufts, quien ha estado estudiando el mercado en evolución durante los últimos años. Pero añadió que la creencia de que el negocio es viable no significa que las cosas no estén cambiando constantemente, señalando la reciente oleada de ransomware en los últimos años que provocó grandes pagos por parte de las compañías de seguros, aunque notablemente aún no suficiente para hacer que el negocio sea no rentable para la mayoría de los emisores.
El seguro cibernético ayuda a hacer que todo el ecosistema sea más seguro, según Steve Griffin, cofundador de L3 Networks, un proveedor de servicios gestionados con sede en California que se especializa en ciberseguridad. Las pólizas requieren que las empresas cumplan ciertos estándares cibernéticos para obtener cobertura, y cuantas más empresas se inscriban en la cobertura, más seguro se vuelve todo el sistema. Y si una empresa sabe que se le negará un reclamo si no tiene algunas salvaguardias básicas de ciberseguridad en su lugar, eso actúa como un incentivo para ponerlas en práctica.
Berkshire cree que el negocio crecerá, simplemente no está seguro a qué costo. “Mi suposición es que en algún momento podría convertirse en un gran negocio, pero podría estar asociado con grandes pérdidas”, dijo Jain.
“Te diré que la mayoría de las personas quieren estar en cualquier cosa que esté de moda cuando emiten seguros. Y el cibernético es un tema fácil”, dijo Buffett. “Puedes escribir mucho sobre ello. A los agentes les gusta. Están recibiendo comisión por cada póliza que emiten…. Yo diría que la naturaleza humana es tal que la mayoría de las compañías de seguros se emocionarán mucho y sus agentes se entusiasmarán mucho, y es muy de moda e interesante, y como diría Charlie [Munger], puede ser veneno para ratas”.
Aunque Griffin entiende la precaución de Buffett, ve una brecha generacional en la perspectiva de riesgo, y es optimista sobre el sector de seguros cibernéticos.
“Probablemente Warren Buffet hubiera llamado al seguro de ciberseguridad una oportunidad cuando era más joven”, dijo.
” – keep HTML tags.