¿Qué es un ciberseguro y qué cubre?
Un ciberseguro (o seguro de ciberriesgo) es una póliza que transfiere a la aseguradora parte del impacto económico de un incidente de seguridad: un ransomware que paraliza la operación, una fuga de datos de clientes, un fraude por suplantación de correo. No evita el incidente; reparte su coste.
Las coberturas concretas varían entre pólizas — el condicionado manda siempre —, pero las familias habituales son estas:
- Daños propios: gastos de respuesta al incidente, análisis forense, restauración de sistemas y datos, y pérdida de beneficio por interrupción de negocio.
- Responsabilidad frente a terceros: reclamaciones de clientes o socios afectados por la fuga de sus datos o por la indisponibilidad de tu servicio.
- Gestión de crisis: asesoramiento legal, comunicación, notificación a afectados y a la autoridad de protección de datos cuando procede.
- Extorsión cibernética: gestión y negociación en incidentes de ransomware, dentro de los límites legales y de la propia póliza.
- Servicios de respuesta: muchas pólizas incluyen acceso a un panel de proveedores de respuesta a incidentes concertados por la aseguradora.
Un matiz importante: el seguro llega después del incidente. Todo lo que ocurre antes — detectar, resistir, contener — sigue dependiendo de tus controles. Por eso las aseguradoras exigen que existan.
¿Qué NO suele cubrir un ciberseguro?
Las exclusiones son la parte de la póliza que menos se lee y la que más sorpresas da. Sin pretender sustituir la lectura del condicionado — cada póliza es distinta —, estas son las exclusiones y límites que conviene buscar expresamente:
- Incumplimiento de las condiciones declaradas: si declaraste controles que no existían o dejaron de existir, la cobertura peligra. Es la exclusión más importante de todas y le dedicamos la sección 05.
- Incidentes anteriores a la póliza: brechas ya existentes o conocidas antes de la contratación quedan normalmente fuera.
- Mejora de infraestructura: el seguro restaura lo que había, no paga la modernización de los sistemas que el incidente dejó en evidencia.
- Daño reputacional a largo plazo: la pérdida de clientes y de confianza posterior al incidente rara vez es indemnizable de forma completa.
- Guerra y conflictos: muchas pólizas excluyen ciberataques atribuidos a actores estatales o asimilados a actos de guerra, un terreno en plena discusión en el sector.
- Sanciones administrativas: la asegurabilidad de las multas (por ejemplo, del RGPD) es jurídicamente discutida en España; lo que sí se suele cubrir son los gastos de defensa. Revísalo por escrito.
El riesgo real. El escenario que más se repite no es "la póliza era mala", sino "la póliza era razonable y el siniestro se complicó porque lo declarado en el cuestionario no se correspondía con la realidad técnica de la empresa".
¿Qué empresas necesitan un ciberseguro?
No hay una obligación legal general de contratarlo en España, pero hay tres perfiles donde la decisión es casi siempre razonable:
¿Y quién puede plantearse no contratarlo aún? Empresas con muy baja dependencia digital y sin datos de terceros relevantes. Son cada vez menos, y aun en ese caso la conclusión correcta no es "no hago nada", sino "priorizo los controles antes que la póliza".
¿Qué exige la aseguradora antes de asegurarte?
Tras años de siniestralidad creciente por ransomware, las aseguradoras han endurecido la suscripción: hoy es habitual que la póliza no se emita — o se emita con recargos y exclusiones — si no puedes acreditar un conjunto de controles básicos. Los que aparecen de forma recurrente en los cuestionarios son estos seis:
1. Autenticación multifactor (MFA)
En accesos remotos (VPN, escritorio remoto), correo corporativo y cuentas de administración. Es el requisito más universal: muchas aseguradoras lo tratan como condición de entrada, no como un extra puntuable.
2. EDR o antivirus gestionado
Protección de endpoints con capacidad de detección y respuesta — no basta el antivirus tradicional desatendido. El cuestionario suele preguntar qué producto, en qué porcentaje del parque y quién revisa las alertas.
3. Copias de seguridad desconectadas o inmutables
Backups que un atacante con control del dominio no pueda cifrar ni borrar: offline, con inmutabilidad o con separación real de credenciales. Y probadas: la pregunta típica no es "¿haces copias?", sino "¿cuándo fue tu última prueba de restauración?".
4. Gestión de parches y vulnerabilidades
Proceso definido para aplicar actualizaciones de seguridad con plazos máximos, especialmente en sistemas expuestos a Internet. Un programa de gestión de vulnerabilidades continuo es exactamente lo que esta parte del cuestionario quiere ver.
5. Plan de respuesta a incidentes
Documento que define quién decide, quién contiene, a quién se llama y cómo se comunica cuando algo ocurre. Las aseguradoras lo piden porque reduce de forma directa el coste del siniestro: una empresa que responde con orden les cuesta menos dinero. Un servicio de respuesta a incidentes profesional da contenido real a ese plan.
6. Formación y concienciación del personal
Programa periódico de concienciación, idealmente con simulaciones de phishing. El correo sigue siendo la puerta de entrada más común, y el cuestionario pregunta con qué frecuencia se forma a la plantilla. La formación en ciberseguridad por roles cubre este punto y, de paso, reduce el riesgo de verdad.
Estos seis controles son el guion de nuestro análisis de carencias pre-seguro: comprobamos cuáles tienes realmente implantados, cuáles a medias y cuáles faltan, y priorizamos el cierre del gap antes de que respondas al cuestionario. Ver auditoría de seguridad
¿Cómo funciona el cuestionario de suscripción?
El cuestionario de suscripción es el documento con el que la aseguradora evalúa tu riesgo antes de emitir la póliza. Suele combinar preguntas cerradas ("¿Tiene MFA en todos los accesos remotos? Sí/No") con peticiones de detalle (productos, alcances, frecuencias, responsables). En riesgos mayores puede complementarse con entrevistas técnicas o con un escaneo externo de tu superficie pública.
Lo esencial es entender su naturaleza jurídica: no es un formulario comercial, es una declaración del riesgo. La legislación española de contrato de seguro impone al tomador el deber de declarar con exactitud las circunstancias que conoce y que influyen en el riesgo. La póliza se emite, se tarifica y — llegado el siniestro — se interpreta sobre esa declaración.
El riesgo real: la denegación del siniestro. Si declaraste MFA "en todo" y el forense demuestra que la cuenta comprometida no lo tenía, o declaraste copias inmutables que resultaron cifrables, la aseguradora puede rechazar o reducir la indemnización por declaración inexacta. El peor resultado posible: años pagando prima por una cobertura que no responde justo cuando la necesitas.
Tres consecuencias prácticas:
- Responde con la realidad, no con la intención. "Estamos desplegando MFA" no es "tenemos MFA". Si un control está a medias, decláralo a medias — o ciérralo antes de firmar.
- Guarda evidencias de lo que declaras. Capturas de configuración, políticas, informes de pruebas de restauración. Si mañana hay siniestro, esas evidencias son tu defensa.
- Mantén lo declarado durante la vida de la póliza. El cuestionario no es una foto que caduca al firmar: desactivar un control declarado puede comprometer la cobertura en renovaciones y siniestros posteriores.
¿Cómo afecta tu postura de seguridad a la prima?
No vamos a darte porcentajes de descuento porque no existen con carácter general: cada aseguradora tarifica con sus propios modelos. Lo que sí es constante en el mercado es la dirección del efecto — la madurez de seguridad influye en tres planos:
Postura madura y demostrable
Más mercado, mejores condiciones
Con los controles básicos implantados y evidenciados, accedes a más aseguradoras dispuestas a cotizar, con mejores condiciones relativas: límites más altos, franquicias más razonables y menos exclusiones específicas. Y el proceso de suscripción es más rápido, porque hay menos idas y vueltas de aclaraciones.
Postura débil o no demostrable
Recargos, exclusiones o denegación
Sin MFA o sin backups protegidos, el resultado habitual es alguno de estos: la aseguradora declina el riesgo, aplica recargos, impone franquicias altas, excluye el ransomware de la cobertura o condiciona la emisión a implantar los controles en un plazo. La asegurabilidad, en sí misma, se convierte en el problema.
La conclusión operativa es incómoda pero útil: el dinero mejor invertido antes de contratar un ciberseguro es el que cierra tus carencias de controles. Mejora la prima, mejora la cobertura y — a diferencia de la póliza — además reduce la probabilidad de sufrir el incidente.
Checklist antes de contratar un ciberseguro
Una secuencia accionable para llegar al cuestionario con los deberes hechos:
- Inventaría lo que tienes. Activos, sistemas, datos que custodias y de quién son. Sin inventario no puedes declarar el riesgo con exactitud — ni elegir límites de cobertura con criterio.
- Audita tu situación real frente a los 6 controles. MFA, EDR, backups, parcheo, plan de respuesta y formación: qué está implantado, qué está a medias, qué falta. Aquí una auditoría de seguridad externa aporta objetividad e independencia.
- Cierra el gap antes de responder el cuestionario. Cada control que implantes antes de la suscripción mejora tu asegurabilidad; cada control que declares sin tener es una bomba de relojería en el expediente.
- Prepara evidencias de cada respuesta. Configuraciones, políticas, informes de la última prueba de restauración, registros de formación. Responde solo lo que puedas probar.
- Lee las exclusiones y las obligaciones de mantenimiento. Qué queda fuera, qué controles te obligas a mantener, qué plazos de notificación asumes al declarar un siniestro.
- Decide límites y franquicia con un escenario realista. Estima el coste de tus días de parada y del volumen de datos que custodias, y contrasta límites con tu correduría — que es quien debe asesorarte en la parte aseguradora.
- Programa el mantenimiento de lo declarado. Revisión periódica de que los controles siguen activos y evidenciados, especialmente antes de cada renovación.
¿Qué errores se cometen al contratar un ciberseguro?
Los mismos patrones se repiten en empresas de todos los tamaños:
- Mentir o exagerar en el cuestionario. El error más caro. A veces ni siquiera es mala fe: quien firma no sabe que el MFA solo cubre a la mitad de la plantilla. El resultado es el mismo — riesgo de denegación del siniestro por declaración inexacta.
- Contratar sin inventario. Sin saber qué sistemas y datos tienes, no puedes declarar el riesgo con rigor ni dimensionar límites. La póliza resultante es una apuesta, no una cobertura.
- Asumir que el seguro sustituye a la seguridad. "Ya estamos cubiertos" es la frase que precede a recortar los controles. Además de aumentar la probabilidad del incidente, degrada las condiciones declaradas — y con ellas, la propia cobertura.
- No leer las exclusiones. Descubrir en pleno siniestro que el ransomware tenía sublímite reducido o que la sanción no era asegurable es tan frecuente como evitable.
- Dejar caducar lo declarado. El EDR que se desinstaló "temporalmente", la prueba de restauración que nunca se repitió. Lo declarado hay que mantenerlo mientras la póliza viva.
- Confundir los papeles. La correduría asesora sobre la póliza; tu equipo o proveedor técnico responde de que lo declarado sea verdad. Cuando nadie asume el segundo papel, el cuestionario se rellena "de oídas".
¿Cómo ayuda Hard2bit? (No vendemos seguros)
Primero, la declaración de intereses: Hard2bit no es una correduría, no comercializa seguros y no cobra comisión de ninguna aseguradora. Preparamos técnicamente a tu empresa para el proceso. La elección de la póliza es cosa tuya y de tu correduría; nuestro trabajo es que llegues a esa conversación con una postura de seguridad real, demostrable y bien declarada.
En la práctica, eso se concreta en cuatro piezas:
- Auditoría de seguridad orientada al gap de controles. Evaluamos tu situación real frente a lo que los cuestionarios de suscripción suelen exigir (MFA, EDR, backups, parcheo, plan de respuesta, formación) y priorizamos el cierre de carencias por riesgo e impacto en la asegurabilidad.
- Evidencias para el cuestionario. Documentamos lo implantado — configuraciones, políticas, pruebas de restauración — para que cada respuesta que firmes esté respaldada. Si mañana hay siniestro, esa documentación es tu defensa frente a una alegación de declaración inexacta.
- Remediación de lo que falte. Desde el despliegue de controles concretos hasta un programa de gestión de vulnerabilidades continuo y formación de la plantilla con simulaciones de phishing.
- Respuesta a incidentes como complemento del seguro. Un retainer de respuesta a incidentes 24/7 convierte el "plan de respuesta" del cuestionario en una capacidad real: activación en minutos, contención, forense y coordinación — también con los plazos de notificación que fija la propia póliza.
Como no vendemos la póliza, no tenemos incentivo en que contrates más o menos cobertura. Nuestro único interés es que tu declaración del riesgo sea verdad — porque de eso depende que el seguro responda cuando lo necesites.
Preguntas frecuentes
¿Es obligatorio el ciberseguro para las empresas en España?
No existe una obligación legal general de contratar un ciberseguro. Lo que sí ocurre cada vez más es que la exigencia llega por vía contractual: clientes corporativos que lo piden en su due diligence de proveedores, licitaciones que lo incluyen entre los requisitos y contratos de encargo que fijan coberturas mínimas. En la práctica, para muchas empresas la pregunta no es si la ley lo obliga, sino si su próximo gran cliente lo va a exigir.
¿El ciberseguro sustituye a las medidas de ciberseguridad?
No, y es el malentendido más peligroso. El seguro transfiere parte del impacto económico de un incidente; no evita el incidente, no recupera la reputación, no devuelve la información exfiltrada y no restaura por sí solo la operación. Además, las aseguradoras condicionan la cobertura precisamente a que existan controles de seguridad: sin medidas, o no hay póliza, o la póliza no responde cuando se necesita.
¿Qué pasa si respondo mal el cuestionario de suscripción?
Es el riesgo más serio de todo el proceso. La legislación española de contrato de seguro recoge el deber del tomador de declarar el riesgo con exactitud, y las pólizas de ciberriesgo se suscriben sobre lo declarado en el cuestionario. Si declaras que tienes MFA en todos los accesos remotos y el análisis forense posterior al incidente demuestra que no era cierto, la aseguradora puede rechazar o reducir la indemnización por declaración inexacta. Pagarías prima por una cobertura que no existe en la práctica.
¿Cubre el ciberseguro las sanciones del RGPD?
Depende de la póliza y es un terreno jurídicamente delicado: la asegurabilidad de las multas administrativas es una cuestión discutida en España. Lo que las pólizas sí suelen cubrir con claridad son los gastos de defensa jurídica, la gestión del procedimiento y los costes de notificación a afectados. Antes de asumir que una sanción estaría cubierta, revisa el condicionado con tu correduría y pide la exclusión o inclusión por escrito.
¿Vende Hard2bit ciberseguros o trabaja a comisión con alguna aseguradora?
No. Hard2bit no es correduría, no comercializa seguros y no cobra comisión de ninguna aseguradora. Nuestro papel es exclusivamente técnico: auditar tu situación real, cerrar el gap entre lo que la aseguradora exige y lo que tienes, y preparar evidencias veraces para el cuestionario. Precisamente por no vender la póliza, no tenemos ningún incentivo en que contrates una cobertura u otra.
¿Cuánto cuesta un ciberseguro para una empresa?
No vamos a darte una cifra porque sería inventada: la prima depende de la facturación, el sector, los límites y franquicias elegidos, la siniestralidad y —cada vez más— de la madurez de los controles de seguridad que declares y puedas demostrar. La fija la aseguradora tras evaluar el cuestionario de suscripción. Lo que sí está en tu mano es llegar a esa evaluación con la mejor postura de seguridad demostrable posible.