6 min de lectura

15.300 millones de dólares estadounidenses en volumen de primas, un aumento de precios de 15 a 20 por ciento previsto para 2026 y nuevas cláusulas de exclusión que eliminan categorías enteras de siniestros. El mercado de los ciberseguros ha cambiado fundamentalmente. Lo que comenzó como una transferencia de riesgo calculable se convierte para muchas empresas en una póliza cada vez más cara con una cobertura que se reduce. El 27 por ciento de todas las reclamaciones por violación de datos y el 24 por ciento de todas las reclamaciones de primera parte son ahora rechazadas total o parcialmente. La ecuación que ningún CFO quiere ver: la prima sube, la cobertura baja y en caso de siniestro, la aseguradora no paga con más frecuencia de lo que se piensa.

El mercado se vuelca: las primas vuelven a subir a dos dígitos

Tras dos años de relativa calma, el mercado de los ciberseguros da un giro. S&P Global Ratings pronostica un aumento de primas de 15 a 20 por ciento para 2026. Suena moderado si se desconoce el contexto: entre 2020 y 2022, las primas ya se habían duplicado o triplicado para muchas empresas. Tras un breve descenso del 22 por ciento desde el máximo de 2022, ahora vuelven a subir.

El volumen global de primas se situó en 15.300 millones de dólares estadounidenses en 2025, un incremento del 7 por ciento. Los analistas prevén una duplicación del volumen de mercado hasta 2030, llegando a unos 30.000 millones de dólares estadounidenses. Para las empresas de sectores de alto riesgo como sanidad y servicios financieros, las primas ya superan en un 50 por ciento la media del mercado.

Los factores detrás del aumento de precios son estructurales, no coyunturales. No se trata de un mercado cíclico que se normaliza tras una fase de relajación. Se trata de una reevaluación fundamental del riesgo por parte de las aseguradoras. Los incidentes de ransomware aumentaron un 126 por ciento en el primer trimestre de 2025. Los grandes siniestros superan regularmente la marca de los mil millones de dólares estadounidenses y cuestionan los límites de cobertura tradicionales. Las aseguradoras reaccionan con primas más altas y condiciones más estrictas.

Para los CFO que hasta ahora consideraban los riesgos informáticos principalmente como una partida de seguros, esta evolución es una señal de alarma. La época en que una póliza cyber cubría todo el riesgo digital ha terminado. Lo que hoy se vende como seguro es un producto financiero condicionado con restricciones considerables. Quien no conoce estas restricciones y no las gestiona activamente paga por una ilusión de seguridad.

La brecha de cobertura según el tamaño de la empresa

La penetración del mercado es extremadamente desigual. Mientras que el 80 por ciento de las grandes empresas disponen de un ciberseguro, solo el 40 a 50 por ciento de las medianas empresas con una facturación de 100 millones a mil millones de euros han contratado una póliza. En las pequeñas y medianas empresas, la tasa cae al 10 por ciento.

Estos números significan que las empresas más vulnerables – porque invierten menos en ciberseguridad y tienen menor resiliencia – son las que con mayor frecuencia carecen de seguro. Las pymes rara vez disponen de equipos de seguridad dedicados, operan sistemas más antiguos y tienen procesos de respuesta a incidentes menos formalizados. Un ataque de ransomware exitoso puede amenazar la existencia misma de una empresa sin seguro de este tamaño. Los costes totales medios de un ciberincidente – incluyendo interrupción de la actividad, análisis forense, restauración y daño reputacional – superan con frecuencia los resultados anuales de las medianas empresas.

En el segmento de medianas empresas surge un nuevo fenómeno: las empresas que quieren asegurarse fracasan cada vez más ante las exigencias de suscripción. Las aseguradoras exigen controles de seguridad demostrables – detección de endpoints, autenticación multifactor, planes de respuesta a incidentes probados, estrategias de respaldo seguras. Quien no puede demostrar estos fundamentos no obtiene póliza alguna o solo una con restricciones y franquicias considerables. Gallagher describe esta evolución como un cambio hacia la «Conditional Coverage» – el seguro ya no se vende, se gana. La póliza ya no es un producto que se compra, sino una certificación que hay que conquistar.

Lo que la póliza ya no cubre: las nuevas exclusiones

La evolución más crítica no afecta a las primas, sino a la cobertura. Los ciberaseguradores han introducido en los últimos 18 meses una serie de nuevas cláusulas de exclusión que restringen considerablemente el alcance de la protección.

Sublímites para ransomware. Las indemnizaciones por incidentes de ransomware se limitan cada vez más por debajo del límite global de la póliza. Una empresa con una póliza de 10 millones de euros puede descubrir que la cobertura de ransomware está limitada a 2 millones de euros. Teniendo en cuenta los daños medios por ransomware de 292.000 dólares estadounidenses por incidente asegurado, parece suficiente – hasta que un gran ataque afecta a toda la infraestructura y los costes ascienden a millones.

Exclusiones por actores estatales. Los ataques presuntamente llevados a cabo por actores estatales pueden quedar excluidos de la cobertura – a menos que el asegurado pueda demostrar que no existe atribución estatal. La carga de la prueba recae en el tomador del seguro, y la distinción entre actores respaldados por un Estado y actores criminales es en la práctica casi imposible de establecer. NotPetya en 2017 demostró cómo funciona esta cláusula en caso de siniestro: miles de millones en daños que las aseguradoras clasificaron como acto de guerra y no indemnizaron.

Exclusión de sistemas sin parches. Las pólizas pueden denegar la cobertura si el incidente es atribuible a sistemas sin parches o que ya no cuentan con soporte. En organizaciones donde la deuda técnica es parte del día a día y los ciclos de actualización se extienden durante meses, esto no es una restricción teórica. Es una bomba de relojería en el contrato. Y está activada en cada organización que aún opera servidores Windows 2012 o sistemas SAP sin parches.

Exclusiones por incumplimiento normativo. Las infracciones de regulaciones sectoriales – RGPD, NIS2, DORA en el sector financiero – pueden reducir o anular la cobertura. Esto significa que justo en el momento en que un incumplimiento normativo agrava un incidente, el seguro se retira.

Eventos sistémicos. Las aseguradoras definen los «eventos generalizados» o «catástrofes» de modo que la exposición agregada en ataques coordinados quede limitada. Si un solo ataque de ransomware afecta simultáneamente a cientos de asegurados – como en un ataque a la cadena de suministro – la cobertura puede restringirse. La lección de SolarWinds y MOVEit: los escenarios que causan los mayores daños son los más amenazados por las exclusiones.

Ransomware: el motor detrás del cálculo

El ransomware domina las estadísticas de siniestros. Según los estudios, entre el 29 y el 41 por ciento de todas las reclamaciones de ciberseguros corresponden al ransomware. El coste medio por incidente asegurado asciende a 292.000 dólares estadounidenses – un valor que supera en un 17 por ciento al del año anterior. La frecuencia también aumenta: en el primer trimestre de 2025, el sector registró un incremento del 126 por ciento en los incidentes de ransomware.

Para los CFO, la cuestión ya no es si un ataque de ransomware puede afectar a su organización, sino si el ciberseguro pagará realmente en caso de emergencia. La combinación de sublímites para ransomware, exclusiones por actores estatales y la exigencia de controles de seguridad demostrables significa que muchas empresas pagan primas crecientes por una cobertura que, en el escenario de siniestro más probable – un ataque de ransomware – solo reembolsa una fracción de los costes.

Munich Re considera el ransomware, las violaciones de datos, el compromiso de correo electrónico empresarial y los ataques DDoS como los cuatro principales generadores de siniestros asegurados. Lo que preocupa al sector: la creciente profesionalización y el apoyo de la IA a los atacantes se enfrenta a un panorama asegurador que restringe simultáneamente su cobertura. La relación entre riesgo y protección se deteriora para el tomador del seguro.

Un factor adicional agrava la situación: los ataques asistidos por IA. Los correos electrónicos de phishing se han vuelto tan convincentes gracias a los grandes modelos de lenguaje que las formaciones de concienciación tradicionales pierden eficacia. Los deepfakes permiten ataques de ingeniería social que engañan incluso a empleados experimentados. Los ataques de clonación de voz superaron por primera vez en 2025 el umbral del millón de dólares en daños individuales. Las aseguradoras observan esta evolución y la incorporan a sus cálculos – en forma de primas más altas y exclusiones más estrictas.

Lo que revela el cálculo honesto

El cálculo honesto, que rara vez se realiza en los consejos de administración, es el siguiente:

Una póliza cyber estándar con 10 millones de euros de cobertura cuesta a una mediana empresa, según el sector, entre 100.000 y 300.000 euros anuales. Con una tasa de rechazo del 27 por ciento para las reclamaciones por violación de datos y exclusiones crecientes, el reembolso realmente esperable en caso de siniestro se sitúa claramente por debajo del límite de cobertura. Una empresa que paga 1,5 millones de euros en primas durante cinco años y debe asumir ella misma el 40 por ciento de los costes en caso de siniestro ha hecho un mal negocio.

La alternativa no es la cancelación de la póliza, sino una mejor posición negociadora. Las empresas que han elevado demostrablemente su ciberseguridad a un nivel alto – detección de endpoints, arquitectura Zero Trust, procesos de respuesta a incidentes probados – negocian mejores condiciones: primas más bajas, cobertura más amplia y menos exclusiones. La inversión en ciberseguridad no solo reduce el riesgo, también reduce los costes del seguro.

La segunda palanca: revisar activamente la póliza en busca de exclusiones. Muchas empresas no conocen en detalle las cláusulas de exclusión de su propia póliza cyber. Una revisión anual de las condiciones contractuales con un corredor especializado, cotejada con el panorama informático real y los escenarios de ataque más probables, es la mejor protección contra una desagradable sorpresa en caso de siniestro.

La tercera palanca: diversificar los riesgos. El ciberseguro es un instrumento de financiación del riesgo, no un sustituto de la gestión de riesgos. Las empresas que canalizan toda su financiación de ciberriesgos a través de una sola póliza ponen todos los huevos en la misma cesta. Los seguros cautivos, las reservas de riesgo y la distribución contractual de riesgos con proveedores son complementos que distribuyen mejor el riesgo global que una sola póliza con exclusiones.

La valoración honesta: el ciberseguro sigue siendo un instrumento sensato de financiación del riesgo. Pero el mercado ha pasado de ser un mercado de compradores a un mercado de vendedores. La empresa que desee la mejor cobertura a condiciones aceptables debe invertir primero en ciberseguridad. No porque el seguro lo exija, sino porque el seguro sin esa base se vuelve cada vez más inútil. La prima por sí sola ya no compra protección. Compra el derecho a un examen cuyo resultado depende del propio nivel de seguridad.

Preguntas frecuentes

Imagen de título: Pexels / Monstera Production (px:5849553)