El uso de la IA está cambiando lo que las empresas pagan por los seguros de ciberseguridad
Julio de 2025. McDonald’s tuvo un problema inesperado en su menú, relacionado con McHire, su plataforma impulsada por IA utilizada para reclutar y seleccionar candidatos. El sistema, desarrollado por Paradox.ai, presentaba un fallo de seguridad básico: el backend para los operadores de restaurantes aceptaba “123456” como nombre de usuario y contraseña, y carecía de autenticación multifactorial. Como resultado, los datos personales de unos 64 millones de solicitantes quedaron en riesgo. Por suerte, el fallo fue descubierto por los investigadores de seguridad Ian Carroll y Sam Curry, quienes informaron de inmmediato a la empresa.
Las prisas de las empresas por implementar herramientas de IA sin auditarlas por completo hacen que estos incidentes no sean para nada infrecuentes. Según un informe de IBM, la adopción de la IA avanza más rápido que la seguridad y la gobernanza asociadas a esta tecnología. El año pasado, el 13% de las organizaciones informó de incidentes relacionados con modelos o aplicaciones de IA, mientras que otro 8% afirmó que ni siquiera sabía si esos sistemas se habían visto comprometidos.
Y las aseguradoras lo saben. Muchas han endurecido la redacción de sus pólizas, aumentado las primas y establecido exclusiones explícitas para determinados incidentes relacionados con la IA, en un esfuerzo por limitar la exposición a riesgos que todavía no se comprenden plenamente. Una encuesta realizada por Delinea revela que el 42% de los encuestados afirma que sus pólizas de ciberseguro incluyen ahora exclusiones relacionadas con el uso indebido y la responsabilidad derivados de la IA.
Sin embargo, el panorama no es del todo unilateral. Las aseguradoras también están recompensando las defensas más sólidas: el 86% de las organizaciones afirma haber recibido descuentos o créditos en las primas por utilizar herramientas de seguridad basadas en IA que refuerzan su postura de seguridad.
Por consiguiente, “la IA es tanto un riesgo como una oportunidad”, afirma Nate Spurrier, vicepresidente de seguros y estrategia de asesoramiento de GuidePoint Security.
Las aseguradoras de ciberseguridad cambian su forma de evaluar el riesgo
A medida que la IA se integra cada vez más en las operaciones empresariales y es explotada de forma creciente por los atacantes, las aseguradoras de ciberseguridad se replantean cada vez más la forma en que evalúan el riesgo. Muchas dejan atrás ya los cuestionarios con casillas de verificación y las autodeclaraciones, y ahora solicitan pruebas de que los controles de seguridad se supervisan, prueban y aplican de forma activa. Según el informe de Delinea, el 77% de las aseguradoras exige ahora revisiones formales por parte de los equipos internos de seguridad y TI antes de emitir o renovar la cobertura, frente al 56% de hace un año.
Pero incluso esas revisiones ya no son suficientes por sí solas.
Michael Phillips, director de suscripción de carteras globales de ciberseguros de Coalition, sostiene que “las principales aseguradoras de ciberseguridad han pasado de los formularios de solicitud puntuales a la evaluación continua de la superficie de ataque y de los controles de una organización”.
Además de suscribir y liquidar siniestros, Coalition también incluye servicios de ciberseguridad dentro de sus ofertas de ciberseguros. Los asegurados obtienen acceso a herramientas que supervisan continuamente los sistemas conectados a Internet en busca de vulnerabilidades y alertas, además de recibir orientación de expertos e información sobre amenazas. El objetivo es reducir la frecuencia y la gravedad de los siniestros, vinculando directamente la postura de seguridad de una empresa con su cobertura de seguro.
Y teniendo en cuenta que la IA afecta a numerosos aspectos de las operaciones empresariales modernas, ese mayor escrutinio se extiende ahora a la forma en que las empresas utilizan y gestionan la tecnología.
Para Spurrier, “las compañías de seguros quieren saber cómo utilizan la IA los asegurados y los solicitantes dentro de su organización: qué controles se han implantado, cómo se utiliza la IA y para qué tareas específicas, quién está autorizado a utilizarla y si se trata simplemente de una herramienta de eficiencia o de una parte fundamental de la solución final que se ofrece a los clientes”.
Cambios en la cobertura y la redacción
Ahora que la IA está en todas partes, las aseguradoras no dudan en reescribir sus contratos para ser mucho más específicas sobre qué cubren y qué no. Algunas han introducido cláusulas afirmativas sobre la IA; otras han añadido exclusiones, ya que los riesgos asociados a esta tecnología pueden ser impredecibles y potencialmente a gran escala, y las aseguradoras no quieren verse expuestas a pérdidas que no pueden valorar con precisión.
De todas formas, redactar el lenguaje adecuado para una tecnología en rápida evolución es una tarea compleja.
A juicio de Spurrier, “en este momento, las aseguradoras no disponen de suficientes datos sobre siniestros para comprender plenamente qué lenguaje y qué componentes del riesgo asociado a la IA deben abordarse, por lo que algunas aseguradoras están recurriendo a exclusiones amplias por precaución”.
Sin embargo, esa precaución puede resultar perjudicial para las organizaciones.
“La IA es ahora un componente habitual de los ciberataques exitosos, y no siempre es fácil discernir qué ha sido creado por la IA y qué no”, afirma Phillips, quien añade: “Si una póliza excluye cualquier pérdida relacionada con la IA, una aseguradora podría argumentar que una reclamación clásica por ransomware queda fuera de su ámbito de aplicación simplemente porque se utilizó la IA como parte del proceso de ataque”.
El problema se ve agravado por la evolución de las pólizas. Muchas se redactaron antes de la generalización de la IA generativa. Posteriormente, las aseguradoras añadieron cláusulas relacionadas con la IA, incorporando nuevos términos a contratos antiguos. Este enfoque fragmentado puede generar confusión.
Según Philips, “si esa redacción no se explica con claridad, los asegurados pueden suponer que tienen la misma protección que antes, pero no es así”.
Las empresas y sus corredores deben leer atentamente el texto de la póliza y analizar cómo funcionaría en la práctica. Eso significa discutir con sus corredores escenarios específicos relacionados con la IA antes de la renovación y evaluar cómo podrían afectar a los diferentes tipos de cobertura.
A juicio de Spurrirer, “un escenario puede no afectar a algunas líneas de seguro y luego aparecer como excluido en otra. El momento de aclarar la cobertura relacionada con la IA no es durante una reclamación, sino durante la renovación y otros escenarios previos al incidente”.
Reducir los costes para las empresas
Algunas empresas que demuestran contar con una buena postura de seguridad pueden reducir sus costes de seguro. Para ello, deben demostrar que utilizan herramientas basadas en IA para detectar anomalías de forma temprana o reducir los tiempos de respuesta de horas a minutos.
Purrier sostiene que “para las aseguradoras, eso significa reclamaciones más pequeñas y una recuperación más rápida”.
Por lo general, se ofrecen descuentos a las empresas que cuentan con una seguridad sólida las 24 horas del día.
Y añade ahora: “Las soluciones de detección como EDR (detección y respuesta en endpoints) son ahora muy demandadas por las compañías de seguros, y el siguiente paso es supervisar continuamente las alertas generadas para poder actuar con rapidez”.
En un futuro próximo, las defensas basadas en IA pueden convertirse en obligatorias para acceder a cobertura, al igual que hoy lo son la autenticación multifactorial y las herramientas de detección y respuesta en endpoints. Esto significa que las empresas que se queden atrás podrían encontrarse en desventaja.
“Si se depende de sistemas heredados, hay que esperar primas más altas o una cobertura limitada”, dice Nate Spurrier para concluir este reportaje.
(computerworld.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
