Ciber-Seguro: La Póliza Correcta Empieza antes del Siniestro

El ciber-seguro (o seguro de ciberriesgos) es una modalidad de seguro empresarial que cubre las pérdidas económicas derivadas de incidentes de ciberseguridad: gastos de respuesta y recuperación ante ataques de ransomware o brechas de datos, responsabilidad civil frente a terceros afectados, costes regulatorios (incluidas sanciones RGPD y notificaciones a la AEPD), honorarios legales y pérdidas por interrupción de negocio. En España, el mercado de ciber-seguros ha endurecido significativamente sus condiciones desde 2022: las aseguradoras exigen como requisito previo a la suscripción evidencia de controles mínimos de seguridad (autenticación multifactor, gestión de parches, backups segregados) y los cuestionarios de evaluación de riesgo son cada vez más técnicos y exhaustivos. Las pólizas contienen sublímites, exclusiones y cláusulas de cooperación que condicionan la cobertura efectiva en caso de siniestro.

Por que su póliza de ciber-seguro probablemente no cubre lo que cree

Muchas empresas españolas tienen un ciber-seguro contratado hace tres o cuatro años con condiciones que ya no reflejan la realidad del mercado. Las aseguradoras han endurecido sistemáticamente los requisitos: pólizas con exclusiones críticas (estados nacion, negligencia interna), sublimites en ransomware muy por debajo de la exposición real, y condiciones de suscripcion que exigen controles técnicos que muchas empresas no tienen documentados. El descubrimiento de estos gaps suele producirse durante un siniestro, cuando es demasiado tarde.

La pregunta relevante no es si su empresa tiene ciber-seguro: es si la cobertura que tiene realmente protege frente a la exposición real de ciberriesgo.

Como auditamos su póliza y mejoramos su cobertura

Nuestro equipo de especialistas realiza la revisión crítica de la póliza actual: coberturas, sublimites, exclusiones, condiciones de cooperación y gaps entre la cobertura contratada y la exposición real. A partir de ese análisis, elaboramos el perfil de riesgo cuantificado que las aseguradoras necesitan para suscribir correctamente y preparamos los cuestionarios de suscripcion con el rigor técnico que el mercado actual exige.

Cuando ocurre un siniestro, activamos el soporte inmediato: coordinación de la notificación a la aseguradora, gestión de la relación con peritos y ajustadores, y defensa de los intereses de la empresa asegurada durante todo el proceso. Coordinamos con el servicio de auditoría de ciberseguridad para que la empresa pueda demostrar los controles técnicos de forma documentada ante su aseguradora.

Ciber-riesgo y marco regulatorio en España: NIS2, RGPD y DORA

NIS2 y el RGPD no obligan a contratar un ciber-seguro, pero los costes que generan sus obligaciones — notificación de incidentes, respuesta forense, comunicación a afectados, posibles sanciones — son precisamente los que una póliza bien diseñada debe cubrir. Para entidades financieras sujetas a DORA, la gestión del riesgo operacional incluye explicitamente la consideracion de transferencia del riesgo mediante seguros. Las sanciones del RGPD (hasta el 4% de la facturación global) y de NIS2 (hasta 10 millones de euros) representan exposiciones que deben reflejarse correctamente en la suma asegurada.

La cobertura de multas administrativas en pólizas españolas es jurídicamente compleja: hay debate sobre si asegurar sanciones administrativas es contrario al orden público. La mayoría de las pólizas cubren los costes de defensa pero no la sanción final.

Resultados que puedes esperar

• Identificación de los gaps entre la cobertura contratada y la exposición real de la empresa
• Revisión de exclusiones críticas: estados nacion, negligencia interna, errores de proveedor cloud
• Cuantificacion del lucro cesante potencial para calibrar correctamente la suma asegurada
• Preparación de cuestionarios de suscripcion con evidencia de controles técnicos documentados
• Hoja de ruta pre-renovación con las acciones que más impacto tienen en la prima
• Gestión del siniestro para garantizar la indemnización correspondiente según la póliza

La coordinación con el equipo de respuesta a incidentes garantiza que la documentación del incidente satisface simultáneamente los requisitos regulatorios y los de la aseguradora. Las aseguradoras han elevado sustancialmente los requisitos técnicos mínimos: MFA, EDR, backups offsite probados y un plan de respuesta a incidentes documentado son hoy condiciones de suscripcion para prácticamente todo el mercado.

El ciclo completo del ciber-seguro: de la suscripción al siniestro

El ciber-seguro no se gestiona solo al contratar y al tener un siniestro: requiere atención continua durante toda su vigencia. El ciclo tiene tres fases críticas.

Suscripción y cuestionario. El cuestionario de suscripción es el momento en el que la empresa declara sus controles técnicos. Una declaración inexacta puede dar lugar a la anulación de la póliza en caso de siniestro. Nuestro equipo revisa el cuestionario junto con el equipo de IT para asegurarse de que las respuestas son técnicamente precisas y están respaldadas por evidencia documental. Si hay controles que deben mejorarse antes de la suscripción, lo identificamos con antelación.

Durante la vigencia. Los cambios materiales en la empresa (adquisición de otra empresa, cambio de proveedor cloud crítico, ciberincidente menor no notificado) pueden ser relevantes para la cobertura y deben comunicarse a la aseguradora según lo estipulado en la póliza. Muchas empresas desconocen estas obligaciones de notificación durante la vigencia.

Siniestro. Cuando ocurre un incidente, el protocolo de notificación al asegurador es crítico: los plazos son cortos (habitualmente 24-72 horas desde la detección), la información inicial debe ser precisa sin comprometer la investigación, y la aseguradora puede exigir usar su panel de proveedores forenses y de respuesta. Coordinar esta fase con la gestión de las notificaciones regulatorias a la AEPD y NIS2 es esencial para que los plazos y los mensajes sean coherentes.

Qué cubre un ciber-seguro bien diseñado en 2026

Las coberturas del mercado han evolucionado significativamente. Un programa de ciber-seguro adecuado para una empresa mediana en España debería incluir:

• Costes de respuesta al incidente: investigación forense, equipo de gestión de crisis, notificaciones regulatorias y a afectados
• Lucro cesante por interrupción del negocio: compensación durante el período de recuperación tras un ataque de ransomware o una brecha que deja los sistemas inoperativos
• Ransomware y extorsión: el pago del rescate (cuando procede) y los costes de negociación con los actores de amenaza
• Responsabilidad civil ante terceros: reclamaciones de clientes o socios afectados por la brecha
• Costes de defensa legal y sanciones: costes de defensa ante la AEPD y organismos supervisores NIS2, aunque la cobertura de sanciones administrativas es jurídicamente limitada en España
• Fraude del CEO y transferencia de fondos: pérdidas por transferencias fraudulentas inducidas mediante ingeniería social

Para empresas con obligaciones bajo DORA (entidades financieras), la póliza debe cubrir también los riesgos operacionales de terceros proveedores TIC, que son una de las principales fuentes de incidentes en el sector financiero.

Empresas que no pueden permitirse un siniestro sin cobertura adecuada

El ciber-seguro es especialmente crítico para empresas que cumplen alguno de estos perfiles:

• Empresas que procesan datos de salud, datos bancarios o datos de menores a escala relevante
• Empresas con dependencia crítica de sistemas IT para la continuidad del negocio (logística, manufactura con sistemas OT, SaaS)
• Despachos profesionales, clínicas y asesoras que custodian información sensible de clientes
• Empresas de más de 50 empleados sujetas a NIS2, que tienen obligaciones de notificación de incidentes con plazos muy ajustados
• Empresas que proveen servicios a la Administración Pública y están sujetas al ENS

Para estos perfiles, un siniestro sin cobertura adecuada puede ser existencialmente amenazante. La diferencia entre una póliza bien diseñada y una póliza genérica puede ser la diferencia entre recuperarse del incidente o no. Nuestro servicio de revisión y optimización de cobertura, coordinado con el CISO Virtual, garantiza que la póliza refleja la exposición real de la empresa.

Marco regulador y relación con NIS2 y DORA

La contratación de un ciberseguro no es solo una decisión financiera: en ciertos sectores, está conectada con obligaciones regulatorias de gestión de riesgos.

Directiva NIS2 (UE 2022/2555, transpuesta en España por la Ley 11/2022 de medidas urgentes de ciberseguridad): Impone a las entidades esenciales e importantes la obligación de adoptar medidas técnicas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad (art. 21 NIS2). Entre esas medidas se incluye explícitamente la gestión de riesgos mediante seguros o equivalentes. La aseguradora, en el proceso de suscripción, actúa de hecho como auditor del nivel de madurez de seguridad de la empresa, lo que convierte la obtención del seguro en un estímulo indirecto para mejorar los controles.

Reglamento DORA (UE 2022/2554, aplicable desde enero 2025): Para entidades financieras (bancos, aseguradoras, gestoras, cripto), DORA impone requisitos específicos de gestión de riesgos de TIC que incluyen la identificación y transferencia de riesgos mediante pólizas de seguro. Las entidades sujetas a DORA que no puedan acreditar una política de gestión de riesgos de TIC pueden enfrentarse a sanciones de la CNMV o del Banco de España.

Ley de Contrato de Seguro (LCS, Ley 50/1980): Es el marco contractual del seguro en España. Relevante para entender los derechos del asegurado en el proceso de siniestro: declaración de siniestro (art. 16 LCS: 7 días hábiles desde el conocimiento del siniestro), obligación de minimizar los daños (art. 17 LCS), derecho a la indemnización (arts. 18-22 LCS), y plazo de prescripción de la acción (art. 23 LCS: 2 años para seguros de daños, salvo mayor plazo pactado). El art. 20 LCS establece la penalización del 20% anual de intereses moratorios para el asegurador que retrase injustificadamente el pago.

Exclusiones habituales en ciberpólizas y su interpretación: Las pólizas de ciberseguro tienen exclusiones que deben leerse cuidadosamente: guerra cibernética (cyber-warfare), actos de terrorismo en ciertos casos, fallos de infraestructura no cubiertos, y en algunos casos, fallos derivados de vulnerabilidades conocidas no parcheadas. La interpretación de estas exclusiones ante un siniestro puede ser objeto de litigio con la aseguradora, especialmente cuando el incidente tiene características de ataque de estado (nation-state attack) que la aseguradora quiere clasificar como exclusión de guerra.

Procedimiento de contratación y gestión de ciberseguro

Fase 1 — Auditoría de riesgo pre-suscripción (semanas 1-3)

Las aseguradoras requieren un cuestionario de seguridad detallado antes de ofrecer cobertura. La calidad de las respuestas determina la prima y las condiciones. Antes de responder, se realiza un diagnóstico de los controles de seguridad existentes: MFA en accesos críticos, gestión de parches, segmentación de red, backup y recovery, gestión de accesos privilegiados, y plan de respuesta a incidentes. Una empresa con controles robustos puede reducir la prima un 20-40% respecto a empresas comparables con controles débiles.

Fase 2 — Análisis comparativo de pólizas

Se comparan los productos de al menos 3-5 aseguradoras especializadas en ciberriesgo. Los parámetros de comparación incluyen: límites de cobertura (primer riesgo absoluto vs. límites por evento), coberturas incluidas (primera parte: respuesta a incidentes, recuperación de datos, pérdida de negocio; terceros: reclamaciones, multas regulatorias), franquicias (que impactan directamente en los costes del primer incidente), territorio de cobertura, y condiciones de exclusión para infraestructuras cloud de terceros.

Fase 3 — Negociación de condiciones

Para empresas medianas y grandes, las condiciones de la póliza son negociables. Los elementos de mayor impacto: reducción de la franquicia (de 50.000 € a 25.000 € puede ser decisivo para el primer incidente), ampliación de la cobertura de multas regulatorias (RGPD, NIS2, DORA), inclusión de cobertura para actos de empleados (insider threat), y ampliación del territorio de cobertura si la empresa tiene operaciones fuera de España.

Fase 4 — Activación del seguro ante un siniestro

El preaviso a la aseguradora en el plazo del art. 16 LCS (7 días hábiles desde el conocimiento del siniestro) es crítico. La notificación tardía puede dar derecho a la aseguradora a reducir la indemnización o a rechazarla si puede acreditar que la tardanza le ha causado perjuicio. En los primeros momentos del incidente, se activa simultáneamente: (a) el equipo de respuesta a incidentes técnico, (b) la notificación a la aseguradora, y (c) la notificación a la AEPD si hay brecha de datos (72 horas, art. 33 RGPD).

Fase 5 — Gestión del siniestro y coordinación con la aseguradora

La aseguradora designa sus propios peritos y en ocasiones sus proveedores de respuesta a incidentes. La empresa debe coordinar entre sus propios equipos técnicos y los de la aseguradora, documentar todos los costes incurridos (facturas de proveedores, horas de personal dedicado a la recuperación, costes de comunicación), y preparar la reclamación de pérdida de negocio (interrupción de actividad durante el período de recuperación).

Juzgado competente en conflictos con la aseguradora

Juzgado de Primera Instancia: Competente para los conflictos derivados del contrato de ciberseguro entre la empresa asegurada y la aseguradora (Ley 50/1980). Las reclamaciones por denegación de cobertura o reducción indebida de la indemnización se tramitan como procedimiento ordinario o verbal según la cuantía.

Juzgado de lo Contencioso-Administrativo: Si la empresa impugna una sanción de la AEPD o de INCIBE-CERT que la aseguradora rechaza cubrir como “multa no asegurable”, el recurso contra la resolución administrativa es competencia del contencioso-administrativo.

Caso práctico: ataque ransomware en empresa de distribución con cobertura insuficiente

Situación: Una empresa distribuidora con 200 empleados sufre un ataque de ransomware en noviembre de 2024. Los sistemas de gestión de almacén (WMS) quedan cifrados durante 11 días. La empresa tenía una póliza de ciberseguro contratada hace 3 años con límite de 250.000 €. Los costes reales del incidente: recuperación técnica (180.000 €), pérdida de negocio durante los 11 días (320.000 €), y multa de la AEPD por brecha de datos de clientes (85.000 €). Total: 585.000 €. La aseguradora cubre solo hasta el límite de 250.000 €; la empresa asume los 335.000 € restantes.

Análisis BMC: La póliza tenía un límite inadecuado para el perfil de riesgo de la empresa (dependencia crítica del WMS para la operativa). La revisión pre-renovación hubiera identificado esta brecha. Además, la póliza excluía la cobertura de multas regulatorias, que representan 85.000 € adicionales no cubiertos.

Recomendaciones post-siniestro: En la renovación, se negocia un límite de 2M€ (apropiado para el perfil de riesgo), se incluye cobertura de multas regulatorias (500K€ sublímite), y se reduce la franquicia de pérdida de negocio de 48 horas a 24 horas. La prima sube un 35%, pero el coste adicional es un 12% del coste del siniestro no cubierto.

Errores comunes en la contratación y gestión del ciberseguro

1. Contratar el ciberseguro sin hacer el cuestionario de seguridad con rigor. Las declaraciones inexactas o incompletas en el cuestionario de suscripción pueden dar a la aseguradora argumentos para reducir o rechazar la cobertura en el momento del siniestro, alegando infracción del deber de información (art. 10 LCS). La respuesta al cuestionario debe reflejar la realidad de los controles, no la situación ideal.

2. No revisar el límite de cobertura periódicamente. El riesgo cibernético crece con el negocio: más datos, más sistemas, más dependencia de la IT. Una póliza contratada hace 3 años con un límite adecuado entonces puede ser insuficiente hoy. La revisión anual del límite en relación con la facturación, el número de registros de datos y la dependencia operativa de los sistemas es imprescindible.

3. No notificar el siniestro en el plazo del art. 16 LCS. Los 7 días hábiles desde el conocimiento del siniestro son un plazo legal que la aseguradora puede usar para reducir la cobertura si la notificación tardía le causó perjuicio en la gestión del incidente. En el caos de las primeras horas de un ransomware, la notificación a la aseguradora debe ser una de las primeras acciones paralelas a la respuesta técnica.

4. Asumir que el ciberseguro cubre todo. El ciberseguro cubre el riesgo residual que queda después de implementar controles de seguridad. No es un sustituto de los controles técnicos: una empresa sin MFA, sin backups, sin segmentación de red puede no obtener cobertura o puede obtenerla con exclusiones que hacen inútil la póliza en los escenarios más probables.

5. No revisar las exclusiones de guerra cibernética tras los conflictos geopolíticos recientes. Los ataques de grupos asociados a estados-nación (Rusia, Corea del Norte, China) pueden ser clasificados por la aseguradora como exclusión de “guerra cibernética” o “actos de gobierno extranjero”, rechazando la cobertura. La redacción de esta exclusión varía mucho entre aseguradoras, y es uno de los puntos más críticos a revisar en la negociación de la póliza.