La seguridad en entornos informáticos y de red – la ciberseguridad – se ha convertido en un asunto de supervivencia. Supone una vulnerabilidad a cubrir. Todas las empresas trabajamos con ordenadores que almacenan información, que tratamos para generar conocimiento y soluciones, las cuales las almacenamos en las propias máquinas o directamente en la nube, ya sea corriendo el programa directamente en esta, llevando copias de seguridad o trabajando con compañeros, clientes y proveedores en remoto.

La cuestión es que todos estamos expuestos a que esa información sea capturada, robada o destruida por un tercero que no conocemos y que puede estar en el otro lado del mundo.

Según el Instituto Nacional de Ciberseguridad (INCIBE) existen cuatro tipos de ataques que impactan en Internet y que perjudican sus usuarios; ciudadanos, empresas, instituciones y gobiernos.

1. Robo de dinero y extorsión cibernética

2. Filtraciones o fuga de datos y ciber espionaje

3. Ataques a servicios importantes (sensibles y/o masivos)

4. Explotación de vulnerabilidades de plataformas, sistemas y protocolos ampliamente utilizados

En España la Ciberseguridad se legisla a través de la normativa que regula los servicios de la sociedad de la información (Ley 34/2002) y el Código Penal (Art. 197 bis).

En Europa (que incluye a España) está en vigor la Directiva UE 2016/1148 sobre ciberseguridad. Como en todas las directivas europeas, es de suponer que esta vaya implementándose y haciéndose más compleja, dando poco a poco los pasos sucesivos para que sea completamente implantada con estándares establecidos por todos los miembros de la eurozona.

# Por qué invertir en empresas de Ciberseguridad (o seguridad informatica)

Porque es un aspecto esencial de la vida económica y social de todos los agentes que conforman el planeta; personas, empresas, instituciones o gobiernos. Como comer o hablar, tenemos la necesidad de procesa información, comunicarnos con personas, almacenar nuestros trabajos, nuestra información personal… todo está afectado por la seguridad informática.

Ah…. y porque supone miles y miles de millones de dólares/euros de costes al año. Bancos centrales, gobiernos, empresas, personas en masa… todos han sido víctimas de delitos (en este caso ciberdelitos) por delincuentes (en este caso ciberdelincuentes) organizados que extraen una cantidad de información y dinero valorados en cantidades astronómicas.

Las empresas que se encargan de esto son las empresas dedicadas a la ciberseguridad. En un sentido más amplio las empresas tecnológicas dedicadas a los sistemas de información, en donde una de las área es la seguridad de esos sistemas.

Por lógica es de suponer que esto va a ir en aumento con el paso del tiempo. Más personas conectadas, más dispositivos conectados (IOT), más teletrabajo, más dependencia del sistema-red… más necesidad de seguridad sobre todo esto por sus vulnerabilidades.

Lo acabamos de ver en el último ciberataque masivo a escala mundial (un ramsonware), que ha afectado a empresas como Telefónica y de momento afecta a 166 países. Dicen que habrá más y peores. Aunque llevamos ya algunos años en ello, las elecciones americanas y francesas, ataques para conseguir información de los teléfonos de celebridades, el robo al Banco de Bangladesh o los graves ciberataques sufridos por las empresas Sonny, Yahoo o Facebook..

No obstante el sector de la ciberseguridad es complejo y tiene muchos riesgos. Se caracteriza por una alta competitividad. Las empresas se ven sometidas a una feroz competencia tanto en el mercado local como en el internacional. Reduciéndose sus márgenes de beneficios drásticamente. Todo ello provoca un vaivén de las empresas del sector en los mercados financieros.

Las empresas pertenecientes al sector de la ciberseguridad presentan una serie de limitaciones que complican su supervivencia. Poca variedad de productos y mercados, altos costes y complicada financiación de los mismos. Por no mencionar la rápida obsolescencia a la que se ven sometidos sus productos, debido al veloz desarrollo tecnológico que caracteriza al sector.

Pero a pesar de todo lo anterior, es un sector que ofrece perspectivas de continuado crecimiento y generación de valor.

Vamos a ver cómo podemos invertir en ellas, qué posibilidades tenemos y si tiene sentido en incluirlas en una cartera más amplia.

# Posibilidad de inversión 1: Acciones de compañías

La primera posibilidad, como siempre, es invertir directamente en empresas del sector, vía compra de acciones de las mismas.

CISCO (CSCO)

Fue fundada el 10 diciembre del 1984. Con sede en San José, California (EEUU). Empieza a cotizar en el Nasdaq; para posteriormente ingresar, en el índice de industriales Dow Jones.

Se dedica a la producción de:

• Dispositivos de conexión para redes informáticas: routers, switches y hubs.
• Dispositivos de seguridad como Cortafuegos y Concentradores para VPN.
• Productos de Telefonía IP como teléfonos y el CallManager.
• Software de gestión de red como CiscoWorks. Utiliza como lenguaje de programación IOS (Sistema operativo móvil de la multinacional Apple).
• Equipos para Redes de Área de Almacenamiento.
• Comunicaciones ópticas.
• Interfaces y módulos.
• Sistemas de interoperabilidad.

Fue la compañía que comercializó el primer router con éxito, en octubre de 1997.

Como curiosidad mencionaremos que Cisco Systems ha visto una significativa bajada de sus exportaciones debido al miedo de otros gobiernos por el espionaje de la Agencia de Seguridad Nacional Americana usando puertas traseras en los equipos.

SYMANTEC (SYMC)

Fue fundada el 1 de marzo de 1982. Con sede en Mountain View, California (EEUU). Cotiza en el Nasdaq.

Symantec es uno de los principales creadores de antivirus y está centrada en la investigación en el sector de industria de seguridad informática (Es el dueño del afamado antivirus Norton).

Es líder de industria en la seguridad electrónica completa de mensajería, ofreciendo soluciones para mensajería instantánea, anti spam y antivirus.

En 2004 Symantec compró Veritas Software, convirtiéndose en la fusión más grande de la industria del software.

FIREEYE (FEYE)

Fundada el 18 de febrero del 2004. Con sede en Milpitas, California (EEUU). Cotiza en el Nasdaq.

Se dedica a la protección contra los ciberataques en tiempo real, tanto a través de la web, e-mail o en las descargas o transferencias de archivos informáticos. Está centrada en las redes de trabajo. Todo ello lo realiza a través de una plataforma (máquina virtual) que da servicio tanto a gobiernos de diferentes países como a empresas. Sus dos productos/ plataformas son Central Management System y Dynamic Threat Intelligence.

Esta empresa compró por mil millones de dólares, Mandiant, el especialista en informática forense que reveló que una unidad militar secreta china estaba detrás de ataques de hackers en las empresas estadounidenses.

CYBERARK SOFTWARE LTD (CYBR)

Fue fundada en 1999 en Israel. Cotiza en el Nasdaq.

Es una empresa centrada en la eliminación de amenazas cibernéticas que tienen como objetivo claro infiltrarse en la empresa, para atacarla. Se dedican a interceptar ataques antes de que éstos detengan la actividad empresarial.

Está centrada en los sectores de servicios financieros, energía, ventas y salud.

*

Como puedes ver, en este primer vistazo a algunas de las principales empresas, hay un poco de todo; un par de ellas con un perfil técnico muy bueno y otras que no han hecho otra cosa que caer. Las que más tiempo llevan, como CISCO o Symantec, referentes mundiales con más de 3 décadas de existencia, tienen un histórico de cotización muy interesante. Las nuevas como FireEye o Ciberark tienen un aspecto malo, pero lo cierto es que tienen muy poco tiempo cotizado, que es un denoinador común en los etfs que vamos a ver.

Lo más interesante es analizar las 30-35 empresa de los índices que vamos a ver ahora. Eso lo dejo para ti.

# Posibilidad de inversión 2: ETFs o Fondos Cotizados

Nos pasamos a mi opción favorita ya que no hay fondos activos o al menos no son accesibles para el inversor retail.

Lo primero que buscamos es si existe algún índice específico sobre empresas de ciberseguridad. Tenemos suerte; existen dos.

Si queremos tener una opinión acertada del sector es mejor centrarse en estos dos índices que en los ETFs, debido a que los índices llevan funcionando desde 2010-2011 y los ETFs desde 2014-2015. Los índices nos dan una visión mas completa por el histórico, y porque no incluye el error de seguimiento (tracking error) de los ETFs.

ISE Cyber Security Index (HXR)

Este índice está compuesto por 38 empresas de software y hardware de seguridad a acceso archivos, webs y redes, con una capitalización media de casi 8.000 millones de dólares, una reparto de dividendo del 1,62% y tiene la particularidad que da el mismo peso a cada acción que lo conforma (equal weighted allocation).El índice se revisa una vez al trimestre.

En los casi 6,5 años del índice ha ofrecido una rentabilidad media anual del 17,6% y si tenemos en cuenta los dividendos (total return) asciende a 18,3%. Eso sí, con una volatilidad alta, con una caída máxima (drowdown) del 42% entre el junio de 2015 y febrero de 2016.

Una rentabilidad impresionante.

Estas son las empresas que lo conforman:

Nasdaq CTA Cybersecurity Index (NQCYBR)

El índice funciona desde 2010 (según el fact sheet) pero solo tenemos gráficos desde 2016. Los datos en Excel están disponibles en esta web.

Teniendo en cuenta la subida del último medio año, estamos hablando de una rentabilidad media en torno al 12% en los últimos 6 años. La rentabilidad-riesgo es peor por los bandazos que ha dado (alta volatilidad).

Estos son los rendimientos y volatilidad acumulados hasta 2016 (antes de la subida del último medio año).

Diferencias en los pesos de las empresas en función del tamaño en cada uno de los dos índices:

Vamos a ver los ETFs del sector de la ciberseguridad o seguridad informatica. En concreto los dos que son referencia y otras dos alternativas secundarias.

PureFunds ISE Cybersecurity: HACK

Creación: 11/2014
Coste de gestión: 0,60%.
Mercado: NYSE Arca.
Moneda: $.
Volumen: 386.751.
ISIN: US26924G2012.

Es el ETF con mayor liquidez de todos, mayor volumen de negociación y más histórico.

Sigue el índice ISE Cyber Security Index (HXR) dando igual peso a las compañías pequeñas que a las grandes.

La mayor parte del fondo está expuesta a empresas medianas, pequeñas y micro empresas.

Realiza casi la totalidad de la inversión en acciones, en dos sectores concretos; Industria y Tecnología. El 75,73% de sus acciones se focalizan en EEUU. El resto se reparte por Oriente medio, Reino Unido Y Japón mayoritariamente.

Es el ETF más “purista” en cuanto a empresas específicas del sector de ciberseguridad con especial peso en las pequeñas empresas.

First Trust NASDAQ Cybersecurity ETF: CIBR

Creación: 06/2015
Coste: 0,60%.
ISIN: US33734X8469.
Mercado: NASDAQ.
Moneda: $.
Volumen: 46032.
Rebalanceo trimestral.
Tipo: distribución (0,74%)

Información detallada del CIBR.

Sigue el índice Nasdaq CTA Cybersecurity Index (NQCYBR), esto significa que el 28% son grandes empresas y 38% a medianas. Las empresas USA suponen el 67%. Las compañías de este índice, aparte de desarrollo de soft y hardwarde sobre archivos, redes y webs, también incluyen empresas que implementan protocolos de seguridad para redes privadas y públicas, ordenadores y móviles.

Este ETF está un poquito más diversificado que el HACK.

Si comparamos ambos:

Vemos una correlación total. Tienen el mismo comportamiento. En la caída el HACK sufre un poquito más, pero el comportamiento de uno y otro es casi idéntico.

Y si lo comparamos con el NASDAQ:

Se aprecia que el NASDAQ está más diversificado y por lo tanto es menos volátil. No obstante, el HACK tiene poco histórico y se muestra más direccional. Puede ser muy interesante para algunas estrategias.

Ahora vamos a ver rápidamente los otros dos ETFs secundarios.

Direxion daily cyber security bull 2x SHRS: HAKK

Creación: 10/2015
Coste: 0,75%.
Mercado: NYSE Arca.
Moneda: $.
Volumen: 2000
ISIN: US25490K5130.

La diferencia fundamental con los otros dos, es que es un etf apalancado x2 alcista. Para ello en vez de invertir en acciones lo hace en productos derivados (futuros, swap, etc.). El objetivo del ETF es conseguir el 200% de rendimiento cada día con respecto al índice de referencia (ISE Cyber Security Index); este objetivo diario no está garantizado.

No es recomendable salvo para aquellos que quieran hacer estrategias especulativas muy concretas.

ETFs ISE Cyber Security Go UCITS ETF Accumulating ETF share: ISPY

Creación: 09/2015.
Coste: 0,75%.
Mercado: LONDON STOCK EXCHANGE.
Moneda: GBP.
Volumen: 20329.
Es un etf de tipo acumulativo.
ISIN: IE00BYPLS672

Hay una versión en euros en la bolsa de Milán (ISIN: IE00BYPLS672).

Ambos tienen un volumen significativo (para un ETF europeo) y pueden ser interesantes para un ciudadano europeo.

Básicamente lo que hacen es seguir el índice ISE Cyber Security Index (HXR), que es el que sigue el HACK, pero en moneda de la zona euro y de acumulación.

A tener en cuenta de cara al futuro.

Algunos apuntes finales a tener en cuenta sobre HACK Y CIBR, los principales ETFs sobre seguridad informática

Son muy similares en su composición.

El año de diferencia que hubo entre el lanzamiento del etf HACK (11/12/2014) con respecto a los otros dos etf, CIBR (07/07/2015) y HAKK (16/09/2015), en el que se produjeron los ciberataques a la compañía Sonny. Propició que el etf HACK se posicionara primero, tomando ventaja.

La mayor diferencia que existe entre los dos primeros etfs, y que explica la diferencia de rentabilidad obtenida entre ambos, reside en que el etf HACK incluye empresas con una capitalización por debajo de 100 millones de dólares, mientras que el etf CIBR, establece un mínimo de capitalización de 250 millones para incluirlas en su porfolio.

Con respecto al etf HAKK, el rendimiento obtenido es superior a los dos anteriores, debido a la posición apalancada a través de productos derivados.

Si nos basamos en el anterior criterio, el etf HACK, busca tener en cartera compañías de más rápido crecimiento, pero con la contrapartida de ser empresas de mayor riesgo. Las microcaps suelen dar una rentabilidad superior pero su riesgo también es más elevado.

En contraposición encontramos el CIBR, que, al estar centrado en empresas más consolidadas, el beneficio esperado ha de ser menor, pero se gana en seguridad de la inversión. El HAKK, redunda más si cabe en el mencionado binomio. Asume mayores riesgos, obteniendo por ahora, mayor rentabilidad.

Un tema muy importante es la liquidez del producto financiero; que facilita o perjudica la entrada y/o salida en el mercado. El CIBR tiene una media a 30 días de 33.000 operaciones; HACK tiene una media a 30 días de 210.000 operaciones. Lo que daría ventaja bajo este criterio al HACK.

Apunte final

Es cuestión de tiempo. Hay que darle tiempo para que el sector se consolide. Si nos vamos a los índices vemos algo mucho más interesante que si analizamos directametne los dos ETFs de referencia. Esto es debido a que los primeros tienen 6 años de histórico y los segundos apenas un par de años.

También puedes seleccionar las dos o tres empresas que mas te interesen del índice. Tenemos la suerte de que solo tienen 30 a 33 empresas. incluso hacerte una pequeña cartera de 3 o 4 (como si fuera un subindice).

Lo bueno de los ETFs es que si una empresa le va mal y sale de cotización (o por debajo del estándar del índice), el índice acabará eliminandola por otra que entre, y como apuntaba al inicio del post es un sector de mucha competencia y obsolescencia programada. Si prefieres acciones, mejor céntrate en los que llevan más tiempo tipo CISCO o Symament.

Es un sector a tener muy en cuenta para invertir en una cartera de largo plazo.

Jorge Segura

Me dedico a hacer la estrategia financiera y control económico de negocios con actividad global que están creciendo (Fractional CFO).

También traduzco a números ideas e iniciativas para que sus CEOs tomen decisiones con mayor certidumbre (Sustainable growth).