De manera lenta pero segura, los investigadores están comenzando a adaptar las herramientas de modelos de catástrofes que han ayudado a las compañías de seguros y los asegurados a cuantificar los riesgos que surgen de los desastres naturales para utilizarlas en otro problema preocupante: los riesgos cibernéticos.

Scott Stransky, gerente y principal científico en el grupo de investigación y modelado de AIR Worldwide Corp., con sede en Boston, manifestó que su compañía espera tener un modelo de riesgos cibernéticos listo para consumo general dentro de dos a tres años.

Al hablar en el décimo simposio anual realizado en Chicago por el broker Hays Companies, con sede en Minneapolis, el señor Stransky dijo: “Tenemos un prototipo de modelo cibernético disponible en la actualidad, y esperamos poder realizar un lanzamiento general en 2018”.

Según el señor Stransky, uno de los principales desafíos a la hora de diseñar un modelo probabilístico es la dificultad de recopilar suficientes datos importantes. Además, agregó que “a diferencia de los huracanes, respecto de los cuales hay datos de seguimiento de las tormentas disponibles en forma general, los datos cibernéticos pueden ser escasos, debido a que las compañías no quieren revelar que han sufrido violaciones de datos”.

Para poder superar este desafío, AIR se está asociando con fuentes de datos externas, incluidas aquellas propiedad de su sociedad controlante, Verisk Inc., y con compañías de seguros, que pueden proporcionar datos sobre reclamos a través de acuerdos de no divulgación.

Los modeladores necesitan tomar en cuenta escenarios sin precedentes, afirmó el señor Stransky, eventos a los que denominó “el equivalente cibernético del huracán Andrés”.

Agregó además que los posibles “eventos ciber Andrés” (Cyber Andrews) incluyen un ataque a la red de energía eléctrica, al sistema de control del tránsito aéreo o a uno de los principales proveedores de computación en la nube”. Otro de los principales candidatos para un ataque sería uno de los procesadores de tarjetas de crédito más importantes, como, por ejemplo, MasterCard Inc. o Visa Inc.

Stransky también indicó que “sólo hay unos pocos procesadores de pago, de modo que, en lugar de atacar empresas minoristas, los piratas informáticos podrían atacar un sólo procesador de pagos y quizás obtener datos críticos del 20% de las empresas minoristas de los EE.UU. de una sola vez”. “Éste es un ejemplo agudo de la acumulación de riesgos».