NotPetya y el seguro cibernético: las lecciones de un ciberataque de “guerra” y sus implicancias para Chile

El ataque de malware NotPetya, ocurrido en 2017, se transformó en uno de los eventos más disruptivos para la industria aseguradora global y, en particular, para el desarrollo del seguro cibernético. Considerado posteriormente como un acto de guerra cibernética patrocinado por un Estado, el ataque dejó pérdidas multimillonarias y abrió un debate que hoy sigue plenamente vigente para mercados como el chileno.

NotPetya se presentó inicialmente como ransomware, pero en la práctica fue un malware destructivo diseñado para paralizar sistemas. Empresas globales como Maersk (pérdidas estimadas en US$300 millones), Merck (cerca de US$870 millones) y FedEx (alrededor de US$400 millones) vieron interrumpidas sus operaciones a escala mundial, con impactos financieros, logísticos y reputacionales de enorme magnitud.

El conflicto con los seguros

El verdadero punto de inflexión vino después del ataque. Al atribuirse el origen de NotPetya a Rusia, en el contexto del conflicto con Ucrania, varias aseguradoras invocaron las cláusulas de exclusión por guerra o actos soberanos presentes en muchas pólizas cibernéticas. Esto llevó a rechazos de cobertura y a disputas judiciales de alto perfil.

El caso de Merck fue especialmente relevante: la aseguradora negó inicialmente el pago basándose en la exclusión de guerra, lo que derivó en una demanda que obligó a revisar la interpretación de estas cláusulas. El resultado fue un replanteamiento profundo del diseño de los seguros cibernéticos, diferenciando entre guerra convencional y ciberataques estatales con efectos colaterales globales.

Impacto estructural en la industria aseguradora

Tras NotPetya, el mercado asegurador endureció condiciones, redefinió exclusiones y comenzó a precisar con mayor detalle qué se entiende por ciberguerra, terrorismo digital o ataques patrocinados por Estados. Asimismo, se reforzaron exigencias de gestión de riesgos, controles de ciberseguridad y segmentación de coberturas.

Este episodio dejó en evidencia que los ciberataques pueden generar pérdidas sistémicas comparables —o superiores— a catástrofes naturales, desafiando la capacidad tradicional de mutualización del seguro.

¿Qué significa esto para Chile?

Para Chile, altamente digitalizado y con sectores estratégicos como minería, energía, puertos, banca y retail intensivamente dependientes de sistemas tecnológicos, el caso NotPetya es una advertencia directa. Las empresas chilenas que contratan seguros cibernéticos deben revisar cuidadosamente:

• Las exclusiones por guerra o actos soberanos.

• La definición de eventos catastróficos cibernéticos.

• Los sublímites y agregados para eventos sistémicos.

• Las exigencias de ciberseguridad como condición de cobertura.

Desde la perspectiva aseguradora, el precedente obliga a redactar pólizas más claras y precisas, evitando ambigüedades que deriven en litigios, y a desarrollar capacidades técnicas para evaluar riesgos cibernéticos complejos y de origen geopolítico.

Una lección vigente

A casi una década del ataque, NotPetya sigue siendo un caso de estudio clave para la industria. Demostró que el riesgo cibernético no es solo tecnológico, sino también geopolítico y asegurador, y que su correcta gestión exige coordinación entre empresas, aseguradoras, reaseguradores y reguladores.

Para Chile, el mensaje es claro: el seguro cibernético ya no es opcional, pero su efectividad depende de entender —y anticipar— escenarios extremos que, como NotPetya, pueden poner a prueba tanto a las compañías como al propio mercado asegurador.