Allá por noviembre de 2022, unos ordenadores rusos escaneaban subrepticiamente ordenadores estadounidenses cuando tropezaron con una trampa: una red de 400 servidores virtuales con direcciones IP que parecían pertenecer a empresas y organizaciones reales. Salvo que se trataba de señuelos colocados por Coalition, una empresa de tecnología financiera con sede en San Francisco que combina una de las industrias más antiguas del mundo –la de los seguros– con técnicas de vanguardia para detectar ciberamenazas. «No hay ninguna razón legítima para que nadie intente conectarse a ninguno de esos servidores», afirma el director ejecutivo y cofundador de Coalition, Joshua Motta, un ex analista de la CIA de 40 años.
Coalition vio que los intrusos estaban sondeando la presencia de MOVEit, un programa utilizado para transferir archivos de gran tamaño, que a menudo contienen información confidencial. Envió un correo electrónico a cuatro de sus clientes de ciberseguros que tenían MOVEit instalado en el perímetro exterior de sus redes, instándoles a poner el software detrás de una red privada virtual.
Seis meses después, Progress Software, la empresa de Massachusetts que vende MOVEit, anunció que tenía una vulnerabilidad crítica y publicó un parche. Pero la infame banda rusa de ransomware Clop ya había explotado el fallo para introducirse profundamente en las redes de algunas organizaciones y estaba segura de exigir un pago para no filtrar los datos robados. Coalition escaneó de nuevo a sus clientes y vio que 19, con ingresos que oscilaban entre los 10 y los 1.000 millones de dólares, utilizaban ahora el programa. Les envió un correo electrónico urgente diciéndoles que aplicaran el parche MOVEit. En el plazo de un mes, 14 lo habían hecho.
Esta vigilancia parece haber dado sus frutos. Hasta ahora, ninguno de los 85.000 clientes de Coalition ha presentado una reclamación relacionada con MOVEit. No está nada mal, teniendo en cuenta que, al parecer, miles de organizaciones y más de 90 millones de particulares vieron expuestos sus datos corporativos o personales por el fallo.
Desde 2017, Coalition y su competidor más cercano, At-Bay, también con sede en San Francisco, han estado reinventando la forma en que se suscriben y gestionan los seguros cibernéticos, en particular para los clientes pequeños y medianos. Las aseguradoras de la vieja línea parecían irremediablemente fuera de contacto, enviando a los posibles clientes formularios con preguntas tan básicas como si tenían instalado un software antivirus. Las recién llegadas, por el contrario, escaneaban los sistemas de los clientes potenciales como lo haría un hacker. A veces exigían actualizaciones de seguridad específicas antes de acceder a asegurarles. Otras veces, simplemente los rechazaban. «Dejaremos que AIG o Chubb se queden con usted», dice el director general y cofundador de At-Bay, Rotem Iram, un veterano de 43 años de una de las unidades de ciberinteligencia militar de élite de Israel.
Motta dice que Coalition rechazó la cobertura de un distrito escolar de Texas en 2020 porque sus análisis de suscripción mostraron que algunas de sus direcciones IP «hablaban con la infraestructura de mando y control de un conocido grupo de piratas informáticos». Cuando el distrito volvió a solicitar la cobertura cinco meses después, añade, Coalition se enteró de que, en el ínterin, había sido pirateado y había presentado una reclamación de 2 millones de dólares con otra aseguradora que no había sido tan inteligente a la hora de suscribir.
Incluso después de que Coalition o At-Bay acepten a un cliente, siguen escaneándolo y enviándole alertas para controlar tanto su propio riesgo como el de sus clientes. En efecto, las pequeñas empresas que tradicionalmente no han pagado por servicios de ciberseguridad independientes, pero que están dispuestas a desembolsar por un seguro, obtienen ambas cosas, les guste o no. Iram describe una batalla constante para hacer que los clientes se tomen en serio el riesgo. «A la gente no le importa la seguridad», se queja. «Cuando trabajas en seguridad durante demasiado tiempo, piensas que a todo el mundo le importa igual que a ti. Pero a nadie le importa». Si un cliente insiste en instalar un software que es notoriamente propenso a las brechas, dice, At-Bay le amenazará con duplicar sus primas de seguro.
Riesgo y recompensa
Las pérdidas por ciberataques se dispararon al comienzo de la pandemia, lo que provocó grandes aumentos tanto en la demanda como en el precio de los ciberseguros estadounidenses.
Esa combinación de escrutinio, vigilancia y jawboning ha permitido a las dos fintech cobrar primas más bajas, ganándose el favor de los corredores de seguros y un hueco en el mercado. Ha ayudado, por supuesto, que el cibernético fuera un nicho más o menos nuevo cuando entraron en el mercado, y que tanto los ciberataques como la demanda de seguros contra ellos se dispararan durante la pandemia. Las primas totales de los seguros cibernéticos en Estados Unidos se dispararon de menos de 1.000 millones de dólares en 2012 a unos 11.000 millones en 2023, según la empresa de análisis CyberCube, con sede en San Francisco.
Las pólizas suelen cubrir la reparación, la investigación, la pérdida de negocio y los costes legales relacionados con todo, desde ataques de ransomware y esquemas de compromiso de correo electrónico empresarial (en los que los delincuentes engañan a alguien para que pague una factura falsa) hasta infracciones de privacidad.
Motta ofrece este escalofriante ejemplo: en 2020, utilizando el inicio de sesión de un solo empleado, un hacker fue capaz de moverse lateralmente dentro de los sistemas informáticos de una destilería de Kansas y cerrar toda la operación. «Las juntas que sellaban los distintos equipos donde se transportaba el fluido se secaron y agrietaron», afirma Motta, causando daños materiales. Coalition y sus reaseguradores pagaron finalmente unos 2 millones de dólares por el siniestro de la empresa, incluyendo casi 1 millón en ingresos perdidos, 600.000 dólares en rescate para volver a estar en línea y los honorarios de abogados y expertos en forense digital. La empresa había comprado una póliza con un límite de 10 millones de dólares y había estado pagando sólo 21.000 dólares en primas al año, con una franquicia de 25.000 dólares.
Hoy en día, una póliza de este tipo costaría al menos 120.000 dólares, y mucho más para una empresa con controles de seguridad deficientes. Pero puede que los precios por fin se estén nivelando. Después de casi tres años de fuertes subidas, las primas medias descendieron en realidad alrededor de un 20% en 2023, a medida que más aseguradoras entraban en el mercado y muchos clientes endurecían sus defensas. A pesar de los precios más bajos, Coalition suscribió más de 630 millones de dólares en primas brutas el año pasado, un 15% más que en 2022, mientras que At-Bay suscribió 301 millones de dólares, un 20% más. Se trata, de nuevo, de primas brutas: Coalition retiene sólo el 10% del riesgo y At-Bay el 20%. El resto del riesgo y una gran parte de las primas se traspasan a grandes aseguradoras y reaseguradoras como Swiss Re y Munich Re. Los ingresos netos del año pasado fueron de casi 300 millones de dólares en Coalition y de más de 110 millones en At-Bay.
Aunque ninguna de las dos startups es aún rentable, su crecimiento destaca en el agitado sector de las fintech. Ambas tienen aún dinero en el banco, pero si necesitaran reunir más capital pronto, probablemente tendrían que aceptar un recorte de valoración dado el estado de la industria. La última vez que Coalition recaudó fondos fue en 2022, con una valoración de 5.000 millones de dólares, lo que hace que la participación de Motta, superior al 20%, valga algo menos de 1.000 millones, según nuestras estimaciones.
Ni Coalition ni At-Bay han sufrido aún una pérdida catastrófica, lo que siempre es un riesgo inminente. Además, existe otra amenaza con la que se han topado otros innovadores de la tecnología financiera, incluidos los asesores robofinancieros: los grandes operadores tradicionales pueden imitar sus ideas y tal vez ganarle en su propio juego. David Lewison, líder nacional de práctica en la correduría de seguros Amwins, que suscribe 500 millones de dólares al año en primas de seguros cibernéticos para mercados pequeños y medianos, señala que Chubb y algunas otras aseguradoras establecidas han hecho ahora de los escaneos de red una parte estándar de sus evaluaciones de riesgos. Pero, según su experiencia, Coalition, At-Bay y Corvus fueron las primeras y han sido las más agresivas a la hora de escanear activamente en busca de puntos débiles y llamar la atención de sus clientes sobre los problemas.
¿Corvus? Es una tercera fintech de ciberseguros fundada en 2017. Travelers la adquirió a principios de 2024 por 435 millones de dólares, un fuerte descuento respecto a los 750 millones de dólares en los que se valoró en una captación de fondos en 2021, pero dos veces y media los 170 millones de dólares que los inversores habían vertido en ella.
Incluso sentado en la mesa de conferencias de la sede central de At-Bay en San Francisco, Iram, de 1,80 metros de estatura, sobresale por encima de sus empleados. En esta mañana de enero le están informando sobre el impacto de «Citrix Bleed», una vulnerabilidad relacionada con la tecnología de acceso remoto de Citrix que ésta reveló y para la que emitió un parche el 10 de octubre de 2023. Después de que investigadores de terceros descubrieran cómo podía explotarse, los ingenieros de At-Bay, todos ellos con sede en Tel Aviv, se apresuraron a crear un código para determinar qué clientes tenían más probabilidades de convertirse en víctimas. Terminaron en dos días, identificaron a 345 clientes (de 35.000) que utilizaban el producto y se pusieron en contacto individualmente con los 70 de mayor riesgo, al tiempo que instaban a los 345 a aplicar el parche de Citrix. En seis semanas, 334 lo habían hecho.
La aplicación oportuna del parche es crucial; después de que Citrix señalara la vulnerabilidad, grupos de piratas informáticos con nombres como Lockbit, Medusa y Alphv empezaron a apilarse. Hasta ahora, se ha culpado a Citrix Bleed de brechas en empresas como Boeing, Toyota Financial Services e ICBC, el enorme banco estatal chino. En diciembre, el servicio de Internet Xfinity de Comcast notificó a 36 millones de clientes que sus nombres de usuario, fechas de nacimiento, preguntas de seguridad y partes de sus números de la Seguridad Social podían haber quedado expuestos. Pero sólo cinco empresas han presentado reclamaciones por Citrix Bleed ante At-Bay, y espera que las pérdidas totales sean inferiores a 2 millones de dólares.
«Todo es malo en nuestro mundo, pero esto es de riesgo medio a bajo», concluye Iram, sobre todo si se compara con una vulnerabilidad en los servidores físicos de correo electrónico de Microsoft, que afectó al 10% de los clientes de At-Bay en 2022 y provocó más de 10 millones de dólares en pérdidas.
Iram ha tenido mucho que relativizar desde el ataque de los terroristas de Hamás a Israel el 7 de octubre y la posterior invasión israelí de Gaza. «Todo ha sido increíblemente traumático para nosotros», afirma. Una quinta parte de sus 110 empleados israelíes han sido movilizados para luchar, lo que ha obligado a aparcar algunos proyectos de menor prioridad mientras otros trabajadores se afanan por recoger el testigo.
El director general comenzó su propio servicio militar obligatorio a los 18 años y fue asignado a la unidad 8200 del Cuerpo de Inteligencia israelí, famosa por producir estrellas de la ciberseguridad, entre ellos los empresarios multimillonarios Gil Shwed, director general y cofundador de Check Point Software, y Assaf Rappaport, director general y cofundador de Wiz, un equipo de seguridad en la nube. Iram permaneció en la unidad durante cinco años, acabando como capitán, con 300 personas a sus órdenes. Después fue a la Universidad Hebrea de Jerusalén para obtener un título en ingeniería informática, empleos en ingeniería de software y como consultor de McKinsey, un MBA en Harvard y un periodo dirigiendo la práctica de ciberseguridad de la empresa de asesoramiento sobre riesgos globales con sede en Nueva York K2 Intelligence (ahora K2 Integrity).
En 2016, dejó K2 y empezó a trabajar en su startup con tres cofundadores y un poco de respaldo de HSB, una unidad de Munich Re centrada en la tecnología. At-Bay se lanzó formalmente en 2017 con financiación inicial de Lightspeed Venture Partners, entre otros. Cuando una oleada de ataques de ransomware en 2020 llevó a muchos transportistas establecidos a reducir sus límites de cobertura y aumentar los precios, At-Bay pisó el acelerador. «Todos los demás salieron corriendo», afirma Iram. Las primas brutas se sextuplicaron, pasando de 20 millones de dólares en 2020 a 120 millones en 2021. Hasta ahora, el enfoque de At-Bay de dar prioridad a la tecnología le ha ayudado a mantener bajas las pérdidas; su índice de pérdidas incurridas para 2022 (el año más reciente con datos significativos, dado que las reclamaciones tardan meses en materializarse) fue del 29%, en comparación con una media del 45% para las 20 principales aseguradoras cibernéticas domiciliadas en EE.UU.
En la actualidad, At-Bay se centra cada vez más en la creación de software de seguridad para agrupar con sus seguros. Una herramienta de supervisión de vulnerabilidades viene de serie con sus pólizas. Recientemente ha añadido un producto gestionado de detección y respuesta que comienza en unos 5.000 dólares al año y se conecta a los sistemas internos de los clientes, supervisa sus ordenadores físicos y ofrece un servicio de atención al cliente dedicado a la detección de amenazas.
Aunque deseoso de ampliar su oferta de software de seguridad, Iram ha resistido la tentación de ampliar los productos de seguros de At-Bay, una tentación a la que Motta ha cedido. Hasta ahora, At-Bay ha recaudado 292 millones de dólares en dinero de inversores, consiguiendo una valoración de 1.400 millones de dólares en su última recaudación de fondos a mediados de 2021. Dice que aún tiene casi 200 millones de dólares en el banco.
Si utiliza un ordenador y una conexión a Internet, enhorabuena, «tiene un riesgo cibernético», dice Motta, cuyos clientes van desde consultas médicas a equipos de la NFL, fabricantes de salsa picante y empresas emergentes de criptomonedas. Está sentado en la oficina de su casa, en el elegante barrio de Pacific Palisades, en Los Ángeles, con vistas al océano. No menos de seis carteles fuera de su valla anuncian vigilancia y seguridad 24 horas al día, 7 días a la semana. «Es como Fort Knox», dice. La autoprotección es un hecho necesario en esta línea de trabajo. Cuando alguien acepta un trabajo en Coalition o en At-Bay y lo anuncia en LinkedIn, suele ser bombardeado con mensajes de texto de phishing que pretenden ser de su nuevo director general.
Motta creció en un suburbio de Kansas City y se enganchó pronto a Internet gracias a dos tíos que trabajaban en tecnología de redes. A los 12 años, ya construía sitios web para agentes inmobiliarios locales. A los 15, tenía un trabajo de verano de programación de 15 dólares la hora en Microsoft, que quedó impresionada por el software de carrito de la compra que había creado para DogToys.com y otros. Mientras se especializaba en estudios internacionales en la Universidad de Chicago, consiguió un trabajo de analista a tiempo parcial en la CIA, donde estudió las campañas de piratería informática de los adversarios de Estados Unidos. Después de graduarse, probó con la banca de inversión en Goldman Sachs en Londres, hizo breves temporadas en capital privado y capital riesgo y luego, en 2011, se convirtió en el vigésimo empleado de Cloudflare, la empresa de seguridad de infraestructuras de Internet.
En 2016, cofundó Redacted con Max Kelly, ex director de seguridad de Facebook, y John Hering, fundador de la empresa de seguridad Lookout. Pero mientras Kelly quería crear tecnología de seguridad para grandes empresas, Motta estaba centrado en los seguros. Así que Hering y Motta convirtieron Coalition en su propia empresa; inversores como Vy Ventures, Ribbit Capital y Valor les respaldaron con 10 millones de dólares de financiación. Coalition anunció su nacimiento el 5 de diciembre de 2017, tres semanas después del lanzamiento de At-Bay.
Desde el primer día, Motta posicionó a Coalition para crecer más rápido que At-Bay. Ambas empresas tenían una gran tecnología, precios bajos y una suscripción rápida. Motta añadió un ingrediente humano crítico: contrató a veteranos del sector de los seguros que ya tenían relaciones con los corredores independientes que venden la mayoría de los seguros para empresas. Eso le ayudó a capitalizar más rápidamente el aumento de la demanda de 2020.
Motta también fue más agresivo a la hora de aprovechar la financiación de riesgo que inundó la tecnología financiera durante la pandemia: a mediados de 2020, Coalition había recaudado 770 millones de dólares. Pero este gran bote también permitió cometer un gran error. Rebosante de efectivo de capital riesgo, en 2021 Coalition pagó 200 millones de dólares para adquirir Attune, una aseguradora con sede en Nueva York y un mercado digital que daba servicio a 15.000 corredores que vendían pólizas de todo tipo para pequeñas empresas, desde responsabilidad profesional e indemnización laboral hasta seguros contra inundaciones. El libro de seguros de Attune ya estaba perdiendo dinero, y después de que el huracán Ian azotara Florida en septiembre de 2022, sus finanzas empeoraron. Después de sólo 15 meses, Motta vendió Attune. La coalición no dirá por cuánto se vendió, pero según una fuente familiarizada con el trato, fue con fuertes pérdidas. Motta, en su defensa, señala que como parte de la venta, Coalition se aseguró los derechos para convertirse en el vendedor exclusivo de seguros cibernéticos en la plataforma de Attune, que ahora insiste en que era su objetivo principal en primer lugar.
Coalition también se ha expandido lateralmente hacia otro nicho de seguros: la cobertura de responsabilidad civil para directores y funcionarios. «La idea es convertirse en el proveedor de seguros dominante para una empresa digital», afirma Motta, y añade que ofrecer múltiples productos también hace que Coalition sea más atractiva para los corredores.
Hay un reto sistémico mayor al que se enfrentan tanto Coalition como At-Bay. A pesar del rápido crecimiento de los seguros cibernéticos en los últimos años, algunos conocedores del sector cuestionan su sostenibilidad. Temen que los esquemas de piratería informática cambien con demasiada rapidez como para evaluar el riesgo de forma fiable y que la mayoría de los clientes sigan sin estar preparados, lo que hace surgir el espectro de un acontecimiento catastrófico que cause daños por valor de decenas de miles de millones de dólares.
Por supuesto, si las aseguradoras de viejo cuño tienen un año horrible en materia cibernética, otras partes de su negocio podrían proporcionarles un colchón. Las nuevas empresas no pueden permitirse ese lujo. «Hay una cosa real que se llama tener cicatrices por perder dinero. Y admito que no tengo muchas de esas cicatrices», dice Iram. «Intento rodearme de gente que haya desarrollado esas cicatrices, porque hay una intuición y una perspectiva que desarrollas cuando has hecho esto durante 25, 30 años».