Aena quiere contratar una póliza de seguro que le proteja de los riesgos cibernéticos. La compañía prevé desembolsar cerca de un millón de euros para estar cubierta en el caso de sufrir una brecha de seguridad en sus redes y que tenga un impacto económico. La gestora de los aeropuertos, de hecho, ya vivió un episodio similar hace casi un año.
En julio del 2024, una actualización defectuosa de la plataforma de seguridad informática de Microsoft provocó el caos en los aeropuertos de Aena. El incidente hizo que los monitores dejaron de funcionar y los pasajeros no pudieran encontrar sus puertas de embarque, que la facturación del equipaje se tuviera que realizar de forma manual, y que se cancelaran y retrasaran vuelos.
El fallo demostró la fragilidad de los aeropuertos en varios países del mundo, pues también afecto al de Heathrow en Londres y al de Luton (también gestionado por Aena) así como los de Roma, Berlín, Zúrich y Cracovia, entre otros. Para cubrirse de las indemnizaciones que debe soportar ante fallos de seguridad como estos o de ciberataques, la compañía busca una o varias aseguradoras que le ofrezcan una póliza con la que quede amparada de las consecuencias económicas, gastos y reclamaciones, que pudieran derivarse en este tipo de situaciones.
Con la póliza no solo cubrirá su red de aeropuertos en España, donde cuenta con casi medio centenar. También el aeropuerto de London Luton y el de Murcia, que también gestiona. En suma, la empresa que preside Maurici Lucena tiene a su cargo unos 80 aeropuertos, por los que el año pasado pasaron casi 310 millones de pasajeros. Unas cifras récord que este año espera batir y que le convierten en el mayor operador aeroportuario del mundo por volumen de pasajeros.
Los ciberataques y hackeos están a la orden del día y las grandes empresas no son una excepción pese al gasto millonario que realizan desde hace años en ciberseguridad. En los últimos tres meses han sufrido brechas de seguridad firmas tan importantes como Dior, Harrods (los grandes almacenes de Londres), Adidas, El Corte Inglés, Generali, Mapfre, InfoJobs, Audax o Coinbase, entre muchas otras compañías.
La tendencia viene de atrás, si bien, el Instituto Nacional de Ciberseguridad (INCIBE) -dependiente del Ministerio para la Transformación Digital y de la Función Pública- ha revelado recientemente que a lo largo del año 2024 gestionó un 16% más de incidentes de ciberseguridad en comparación con 2023 y que la mitad de ellos fueron a empresas.
Dado el contexto, la compañía semipública -en la que el Estado dispone del 50% de capital- reconoce que puede verse afectada por fallos de seguridad en sus sistemas. Como un acceso no autorizado, la recepción de un código malicioso, un software malicioso o un virus que cause la destrucción, modificación, corrupción, daño o eliminación de cualquier dato almacenado en cualquier sistema informático de la compañía.
Y espera responder con esta póliza incluso en el caso de extorsión cibernética en los que tuviera que pagar un rescate o en los que sufra una pérdida financiera como resultado directo de un fraude. Los ciberseguros o seguros contra riesgos cibernéticos cubren todos estos aspectos y por ello están emergiendo con fuerza. Compañías como Mapfre, Zurich, AXA, BBVA, Allianz e incluso Telefónica ofrecen ya estas pólizas a grandes y pequeñas empresas.
Aena quiere una auditoría Interna de ciberseguridad
En paralelo, Aena pondrá en marcha una auditoría interna en la que se evalúe la preparación y la capacidad de respuesta la compañía ante ciberataques, mediante la simulación de intrusiones reales y controladas. La gestora de los aeropuertos ya ejecutó durante tres años (2022-2024) una auditoría similar, permitiendo la detección y corrección de vulnerabilidades mediante la implementación de planes de acción correctores y fortaleciendo a la empresa en relación con el riesgo de ciberseguridad.
Pero reconoce que los riesgos asociados a la ciberseguridad se han incrementado y constituyen una preocupación “interna y externa”, por lo que la eficacia de los procesos, sistemas y unidades destinados a evitar accesos no autorizados constituyen un aspecto clave para la compañía. Por ello, invertirá unos 120.000 euros en que se realice una auditoria más profunda donde se evalúen si los mecanismos de prevención, detección y respuesta que tiene, deberían mejorar.
Actualmente, con los recursos y sistemas de los que disponen, "no es posible realizar estas revisiones con el alcance propuesto", reconoce. La nueva auditoría consistirá en la simulación de diferentes ciberataques, con una duración estimada total de cuatro meses, en los que tratará de identificar sus debilidades.