En noviembre de 2022, las computadoras rusas escaneaban subrepticiamente computadoras estadounidenses cuando tropezaron con una trampa: una red de 400 servidores virtuales con direcciones IP que parecían pertenecer a empresas y organizaciones reales. Excepto que se trataba de señuelos creados por Coalition, una fintech con sede en San Francisco que combina una de las industrias más antiguas del mundo (los seguros) con técnicas de vanguardia para detectar ciberamenazas. “No hay ninguna razón legítima para que alguien intente conectarse a cualquiera de esos servidores”, dice el director ejecutivo y cofundador de Coalition, Joshua Motta, un ex analista de la CIA de 40 años.

Cioalition vio que los intrusos estaban investigando la presencia de MOVEit, un programa utilizado para transferir archivos grandes, que a menudo contienen información confidencial. Envió un correo electrónico a cuatro de sus clientes de seguros cibernéticos que tenían MOVEit instalado en el perímetro exterior de sus redes, instándolos a colocar el software detrás de una red privada virtual.

Seis meses después, Progress Software, la empresa de Massachusetts que vende MOVEit, anunció que tenía una vulnerabilidad crítica y emitió un parche. Pero la infame banda rusa de ransomware Clop ya había explotado la falla para profundizar en las redes de algunas organizaciones y seguramente exigiría un pago para no filtrar datos robados. Coalition volvió a escanear a sus clientes y vio que 19, con ingresos que oscilaban entre 10 millones de dólares y 1.000 millones de dólares, estaban utilizando el programa. Envió un correo electrónico urgente diciéndoles que aplicaran el parche MOVEit. En un mes, 14 lo habían hecho.

Esa vigilancia parece haber dado sus frutos. Hasta ahora, ninguno de los 85.000 clientes de Coalition ha presentado un reclamo relacionado con MOVEit. No está mal, considerando que miles de organizaciones y más de 90 millones de personas supuestamente vieron sus datos corporativos o personales expuestos por la falla.

El director ejecutivo de At-Bay, Rotem Iram, dice que las empresas de software no son lo suficientemente responsables por sus propios agujeros de seguridad, lo que deja a las pequeñas empresas a su suerte. “Hemos creado este entorno en el que está bien crear productos que apenas funcionan, luego enviarlos y dejar que los atacantes hagan las pruebas por nosotros”. CODY PICKENS PARA FORBES

Desde 2017, Coalition y su competidor más cercano, At-Bay, también con sede en San Francisco, han estado reinventando la forma en que se suscriben y gestionan los seguros cibernéticos, especialmente para clientes pequeños y medianos. Las aseguradoras tradicionales parecían totalmente desconectadas y enviaban a sus clientes potenciales formularios con preguntas tan básicas como si tenían instalado un software antivirus. Los recién llegados, por el contrario, escanearon los sistemas de los clientes potenciales como lo haría un hacker. A veces requerían mejoras de seguridad específicas antes de aceptar asegurarlos. Otras veces, simplemente los rechazaron. “Dejaremos que AIG o Chubb te tengan”, dice el director ejecutivo y cofundador de At-Bay, Rotem Iram, un veterano de 43 años de una de las unidades de élite de ciberinteligencia militar de Israel.

Motta dice que Coalition rechazó la cobertura de un distrito escolar de Texas en 2020 porque sus escaneos de suscripción mostraron que algunas de sus direcciones IP “estaban hablando con la infraestructura de comando y control de un conocido grupo de piratas informáticos”. Cuando el distrito volvió a presentar la solicitud cinco meses después, añade, Coalition se enteró de que, mientras tanto, había sido pirateado y había presentado una reclamación de 2 millones de dólares a otra aseguradora que no había sido tan inteligente en la suscripción.

Incluso después de que Coalition o At-Bay aceptan un cliente, siguen escaneándolo y enviando alertas para controlar tanto su propio riesgo como el de los clientes. En efecto, las pequeñas empresas que tradicionalmente no han pagado por servicios de ciberseguridad independientes pero que están dispuestas a pagar por un seguro obtienen ambos, les guste o no. Iram describe una batalla constante para que los clientes tomen el riesgo en serio. “A la gente no le importa la seguridad”, se queja. “Cuando trabajas en seguridad durante demasiado tiempo, piensas que a todos les importa igual que a ti. Pero a nadie le importa”. Si un cliente insiste en instalar software que es notoriamente propenso a sufrir infracciones, afirma, At-Bay amenazará con duplicar sus primas de seguro.

RIESGO Y RECOMPENSA

Las pérdidas por ciberataques se dispararon al comienzo de la pandemia, lo que provocó grandes aumentos tanto en la demanda como en el precio de los seguros cibernéticos en Estados Unidos.

Esa combinación de selección, vigilancia y presión ha permitido a las dos fintech cobrar primas más bajas, ganándose el favor de los corredores de seguros y un punto de apoyo en el mercado. Por supuesto, ayudó el hecho de que la cibernética era un nicho nuevo cuando ingresaron al mercado, y que tanto los ciberataques como la demanda de seguros contra ellos se dispararon durante la pandemia. Primas totales de seguro cibernético en Estados Unidos se disparó de menos de mil millones de dólares en 2012 a unos 11 mil millones de dólares estimados en 2023, según la firma de análisis CyberCube, con sede en San Francisco.

Las políticas generalmente cubren remediación, investigación, pérdida de negocios y costos legales relacionados con todo, desde ataques de ransomware y esquemas de compromiso de correo electrónico empresarial (en los que los delincuentes engañan a alguien para que pague una factura falsa) hasta infracciones de privacidad.

CODY PICKENS PARA FORBES


Motta ofrece este escalofriante ejemplo: en 2020, utilizando el inicio de sesión de un solo empleado, un pirata informático pudo moverse lateralmente dentro de los sistemas informáticos de una destilería de Kansas y cerrar toda la operación. “Las juntas que sellaban los diferentes equipos donde se transportaba el fluido se secaron y agrietaron”, dice Motta, causando daños a la propiedad. Coalition y sus reaseguradoras finalmente pagaron alrededor de 2 millones de dólares por el reclamo de la compañía, incluido casi 1 millón de dólares en ingresos perdidos, 600.000 dólares en rescate para volver a estar en línea y honorarios de abogados y expertos forenses digitales. La empresa había comprado una póliza con un límite de 10 millones de dólares y había estado pagando sólo 21.000 dólares en primas al año, con un deducible de 25.000 dólares.

Hoy en día, una política de Coalición de este tipo costaría al menos 120.000 dólares, y mucho más para una empresa con controles de seguridad deficientes. Pero es posible que los precios finalmente se estén estabilizando. Después de casi tres años de fuertes aumentos, las primas promedio en realidad disminuyeron alrededor del 20% en 2023, a medida que más aseguradoras ingresaron al mercado y muchos clientes endurecieron sus defensas. A pesar de los precios más bajos, Coalition emitió más de 630 millones en primas brutas el año pasado, más del 15% desde 2022, mientras que At-Bay emitió 301 millones, un 20% más. Esas son, nuevamente, primas brutas: Coalition retiene solo el 10% del riesgo y At-Bay se queda con el 20%. El resto del riesgo y una gran parte de las primas se transfieren a grandes compañías y reaseguradoras como Swiss Re y Munich Re. Los ingresos netos el año pasado fueron de casi 300 millones de dólares en Coalition y más de 110 millones de dólares en At-Bay.

Si bien ninguna de las startups es aún rentable, su crecimiento se destaca en el sector fintech en dificultades, lo que les valió un lugar en el cuadro de honor Fintech 50 2024 de Forbes, que se publicará el 13 de febrero. Ambos todavía tienen dinero en el banco, pero si necesitaran recaudar más capital pronto, probablemente tendrían que aceptar un recorte de valoración dado el estado de la industria. La última vez que Coalition recaudó fondos con una valoración de 5.000 millones de dólares fue en 2022, lo que hace que la participación de más del 20% de Motta valga un poco menos de 1.000 millones de dólares, según nuestras estimaciones.

Ni la Coalición ni At-Bay han sufrido todavía una pérdida catastrófica, lo que siempre es un riesgo inminente. Además, hay otro tema con el que se han topado otros innovadores de fintech, incluidos los robo-asesores financieros: los grandes titulares pueden imitar sus ideas y tal vez ganarle en su propio juego. David Lewison, líder nacional de práctica en la correduría de seguros Amwins, que suscribe 500 millones de dólares al año en primas de seguros cibernéticos para mercados pequeños y medianos, señala que Chubb y algunas otras aseguradoras establecidas ahora han hecho de los escaneos de redes una parte estándar de sus evaluaciones de riesgos. Pero, dice, según su experiencia, Coalition, At-Bay y Corvus fueron los primeros y han sido los más agresivos en buscar activamente debilidades y llamar la atención de sus clientes sobre los problemas.

¿Corvo? Se trata de una tercera fintech de seguros cibernéticos fundada en 2017. Travelers la adquirió a principios de 2024 por 435 millones de dólares, un gran descuento respecto de los 750 millones de dólares en los que estaba valorada en una recaudación de fondos de 2021, pero dos veces y media los 170 millones de dólares que habían invertido los inversores. él.

Incluso mientras está sentado en la mesa de conferencias en la sede de At-Bay en San Francisco, Iram, de seis pies cuatro de altura, domina a sus empleados. Esta mañana de enero, le están informando sobre el impacto de “Citrix Bleed”, una vulnerabilidad relacionada con la tecnología de acceso remoto de Citrix que reveló y para la que emitió un parche el 10 de octubre de 2023. Después de que investigadores externos descubrieran cómo podría ser explotado, los ingenieros de At-Bay, todos con sede en Tel Aviv, se apresuraron a crear un código para determinar qué clientes tenían más probabilidades de convertirse en víctimas. Terminaron en dos días, identificaron a 345 clientes (de 35.000) que usaban el producto y se pusieron en contacto individualmente con los 70 de mayor riesgo, mientras simultáneamente instaban a los 345 a aplicar el parche de Citrix. En seis semanas, 334 lo habían hecho.

CODY PICKENS PARA FORBES

La aplicación oportuna de parches es crucial; después de que Citrix señaló la vulnerabilidad, comenzaron a acumularse grupos de hackers con nombres como Lockbit, Medusa y Alphv. Hasta ahora, se ha culpado a Citrix Bleed de infracciones en empresas como Boeing, Toyota Financial Services e ICBC, el enorme banco estatal de China. En diciembre, el servicio de Internet Xfinity de Comcast notificó a 36 millones de clientes que sus nombres de usuario, fechas de nacimiento, preguntas de seguridad y partes de sus números de Seguro Social podrían haber sido expuestos. Pero sólo cinco empresas han presentado reclamaciones por Citrix Bleed ante At-Bay, y se espera que las pérdidas totales sean inferiores a 2 millones de dólares.

“Todo está mal en nuestro mundo, pero “esto es un riesgo medio a bajo”, concluye Iram, particularmente si se compara con una vulnerabilidad en los servidores físicos de correo electrónico de Microsoft, que afectó al 10% de los clientes de At-Bay en 2022 y provocó pérdidas de más de 10 millones de dólares.

Iram ha tenido mucho que poner en perspectiva desde el ataque de los terroristas de Hamas el 7 de octubre contra Israel y la posterior invasión israelí de Gaza. “Todo ha sido increíblemente traumático para nosotros”, afirma. Una quinta parte de sus 110 empleados israelíes se han movilizado para luchar, lo que ha obligado a archivar algunos proyectos de menor prioridad mientras otros trabajadores luchan por tomar el relevo.

El director ejecutivo comenzó su propio servicio militar obligatorio a los 18 años y fue asignado a la unidad 8200 de la Corporación de Inteligencia Israelí, famosa por producir estrellas de la ciberseguridad, incluidos los empresarios multimillonarios Gil Shwed, director ejecutivo y cofundador de Check Point Software, y Assaf Rappaport, director ejecutivo. y cofundador de Wiz, un equipo de seguridad en la nube. Iram permaneció en la unidad durante cinco años y terminó como capitán, con 300 personas a su cargo. Luego fue a la Universidad Hebrea de Jerusalén para obtener un título en ingeniería informática, trabajos en ingeniería de software y como consultor de McKinsey, un MBA de Harvard y un período dirigiendo la práctica de ciberseguridad de la firma de asesoría de riesgos globales K2 Intelligence (ahora K2 Integrity), con sede en Nueva York. ).

En 2016, dejó K2 y comenzó a trabajar en su startup con tres cofundadores y un poco de respaldo de HSB, una unidad de Munich Re centrada en la tecnología. At-Bay se lanzó formalmente en 2017 con financiación inicial de Lightspeed Venture Partners, entre otros. Cuando un aumento de los ataques de ransomware en 2020 llevó a muchos operadores establecidos a reducir sus límites de cobertura y aumentar los precios, At-Bay pisó el acelerador. “Todos los demás huyeron”, dice Iram. Las primas brutas se sextuplicaron de 20 millones de dólares en 2020 a 120 millones de dólares en 2021. Hasta ahora, el enfoque de At-Bay de priorizar la tecnología le ha ayudado a contener las pérdidas; su índice de pérdidas incurridas para 2022 (el año más reciente con datos significativos, dado que los siniestros tardan meses en realizarse) fue del 29%, en comparación con un promedio del 45% para las 20 principales aseguradoras cibernéticas domiciliadas en Estados Unidos.

Hoy en día, At-Bay se centra cada vez más en crear software de seguridad para combinar con sus seguros. Una herramienta de monitoreo de vulnerabilidades viene de serie con sus políticas. Recientemente agregó un producto administrado de detección y respuesta que comienza en aproximadamente 5,000 al año y se conecta a los sistemas internos de los clientes, incluido Microsoft 365, para evaluar mejor el riesgo; por ejemplo, permite a At-Bay ver si los empleados de una empresa usan autenticación multifactor para iniciar sesión.

Si bien está interesado en ampliar su oferta de software de seguridad, Iram ha resistido la tentación de ampliar los productos de seguros de At-Bay, atractivo al que Motta ha cedido. Hasta ahora, At-Bay ha recaudado 292 millones de dólares en dinero de inversores, obteniendo una valoración de 1.400 millones de dólares en su última recaudación de fondos a mediados de 2021. Dice que todavía tiene casi 200 millones de dólares en el banco.

Si usa una computadora y una conexión a Internet, felicidades, corre un riesgo cibernético”, dice Motta, cuyos clientes van desde consultorios médicos hasta equipos de la NFL, fabricantes de salsa picante y nuevas empresas de criptomonedas. Está sentado en la oficina de su casa en el elegante barrio de Pacific Palisades en Los Ángeles, con vista al océano. No menos de seis carteles fuera de su valla anuncian vigilancia y seguridad 24 horas al día, 7 días a la semana. “Es como Fort Knox”, dice. La autoprotección es un hecho necesario en la vida en esta línea de trabajo. Cuando alguien acepta un trabajo en Coalition o At-Bay y lo anuncia en LinkedIn, normalmente es bombardeado con mensajes de texto de phishing que pretenden ser de su nuevo director ejecutivo.

Motta creció en un suburbio de Kansas City y dos tíos que trabajaban en tecnología de redes lo engancharon temprano a Internet. A los 12 años, ya estaba creando sitios web para agentes inmobiliarios locales. A los 15 años, tenía un trabajo de programación de verano por 15 dólares la hora en Microsoft, que quedó impresionado por el software de carrito de compras que había creado para DogToys.com y otros. Mientras se especializaba en estudios internacionales en la Universidad de Chicago, consiguió un puesto de analista a tiempo parcial en la CIA, donde estudió las campañas de piratería informática de los adversarios de Estados Unidos. Después de graduarse, probó la banca de inversión en Goldman Sachs en Londres, trabajó brevemente en capital privado y capital de riesgo y luego, en 2011, se convirtió en el vigésimo empleado de Cloudflare, la empresa de seguridad de infraestructura de Internet.

En 2016, cofundó Redacted con Max Kelly, exdirector de seguridad de Facebook, y John Hering, fundador de la empresa de seguridad Lookout. Pero mientras Kelly quería desarrollar tecnología de seguridad para grandes empresas, Motta se centraba en los seguros. Así que Hering y Motta crearon Coalition y crearon su propia empresa; inversores como Vy Ventures, Ribbit Capital y Valor los respaldaron con 10 millones de dólares en financiación. Coalition anunció su nacimiento el 5 de diciembre de 2017, tres semanas después del lanzamiento de At-Bay.

Desde el primer día, Motta posicionó a Coalition para crecer más rápido que At-Bay. Ambas empresas tenían excelente tecnología, precios bajos y suscripción rápida. Motta añadió un ingrediente humano fundamental: contrató a veteranos de la industria de seguros que habían relaciones existentes con los corredores independientes que venden la mayoría de los seguros comerciales. Eso le ayudó a capitalizar más rápidamente el aumento de la demanda de 2020.

Motta también fue más agresivo a la hora de aprovechar la financiación de riesgo que inundó las fintech durante la pandemia: a mediados de 2022, Coalition había recaudado 770 millones de dólares. Pero este gran bote también permitió un gran error. Lleno de efectivo de capital de riesgo, en 2021 Coalition pagó 200 millones de dólares para adquirir Attune, una aseguradora y un mercado digital con sede en Nueva York que presta servicios a 15.000 corredores que venden pólizas para pequeñas empresas de todo tipo, desde responsabilidad profesional y compensación laboral hasta seguros contra inundaciones. La cartera de seguros de Attune ya estaba perdiendo dinero y, después de que el huracán Ian azotara Florida en septiembre de 2022, sus finanzas empeoraron. Después de sólo 15 meses, Motta vendió Attune. Coalition no dijo por cuánto se vendió, pero según una fuente familiarizada con el acuerdo, tuvo una gran pérdida. Motta, en su defensa, señala que como parte de la venta, Coalition obtuvo los derechos para convertirse en el vendedor exclusivo de seguros cibernéticos en la plataforma de Attune, que ahora insiste en que era su objetivo principal en primer lugar.

Coalition también se ha expandido lateralmente hacia otro nicho de seguros: la cobertura de responsabilidad para directores y funcionarios. “La idea es convertirse en el proveedor de seguros dominante para un negocio digital”, afirma Motta, y añade que ofrecer múltiples productos también hace que Coalition sea más atractivo para los corredores.

Hay un desafío sistémico mayor al que se enfrentan tanto la Coalición como At-Bay. A pesar del rápido crecimiento de los seguros cibernéticos en los últimos años, algunos expertos de la industria cuestionan su sostenibilidad. Temen que los esquemas de piratería estén cambiando demasiado rápido para evaluar de manera confiable el riesgo y que la mayoría de los clientes aún no estén preparados, lo que plantea el espectro de un evento catastrófico que cause daños por decenas de miles de millones de dólares.

Por supuesto, si las aseguradoras tradicionales tienen un año terrible en el ámbito cibernético, otras partes de su negocio podrían proporcionarles un colchón. Las nuevas empresas no pueden darse ese lujo. “Existe algo real que se llama tener cicatrices por perder dinero. Y admito que no tengo muchas de estas cicatrices”, dice Iram. “Trato de rodearme de personas que han desarrollado esas cicatrices, porque hay una intuición y una perspectiva que se desarrolla cuando has hecho esto durante 25 o 30 años”.

Este artículo fue publicado originalmente por Forbes US.

Te puede interesar: México alcanza los 51,874 millones de dólares en exportaciones agroalimentarias en 2023

 

Siguientes artículos

Super-Bowl-latinos-anuncios
Messi y Beyoncé: entre las estrellas de los anuncios del Super Bowl
Por

Siete millones de dólares y grandes estrellas por un comercial de solo 30 segundos en el Super Bowl, es lo que las marca...

También te puede interesar