El 93 % sin seguro cibernético: La factura que nadie quiere ver

El 87 % de las empresas alemanas sufrieron ciberataques el año pasado. El daño: 289 000 millones de euros. El número de empresas con seguro cibernético: el 7 %. Esta disparidad no es un fallo del departamento de TI. Es un fracaso estratégico a nivel directivo – y, bajo la normativa NIS2, un riesgo de responsabilidad personal.

En resumen

El 7 %: La cifra que debería despertar a la dirección

El estudio Bitkom Wirtschaftsschutz 2025 ofrece una imagen que no debe faltar en ninguna presentación ante el consejo de administración: el 87 % de las empresas fueron víctimas de robo de datos, espionaje industrial o sabotaje durante los últimos doce meses. El 34 % sufrió ataques de ransomware. El 15 % pagó un rescate. El daño total: 289 200 millones de euros – un incremento del 30 % respecto al año anterior.

Y, pese a ello, solo el 7 % dispone de un seguro cibernético. Esto no es el resultado de una decisión consciente sobre la gestión de riesgos. En la mayoría de los casos, se debe simplemente a que la pregunta nunca se planteó a nivel directivo. Más de la mitad de las empresas afectadas ni siquiera saben, en caso de emergencia real, a quién deben acudir.

La perspectiva global confirma este patrón. Según la Encuesta global sobre riesgos y seguros cibernéticos de Munich Re, el 87 % de los directivos encuestados considera insuficiente la protección cibernética de su empresa. A escala mundial, según Arctic Wolf, tan solo el 47 % de las organizaciones calificadas están aseguradas. Alemania, con su 7 %, se sitúa muy por debajo de esta media ya de por sí baja.

Las razones de esta brecha en la cobertura son estructurales: muchos directivos subestiman el riesgo residual tras las inversiones técnicas. Otros evitan los costes de las primas sin compararlos con el daño potencial. Y, en no pocos casos, simplemente falta la conciencia de que el seguro cibernético es una decisión directiva y no algo que deba negociarse en el departamento de TI.

Qué cubre un seguro cibernético – y qué no

¿Qué es un seguro cibernético? Un seguro cibernético cubre los daños financieros derivados de ciberataques, pérdidas de datos o fallos informáticos. Entre ellos figuran los gastos de forense informático, comunicación de crisis, interrupción de la actividad, notificación a los afectados conforme al Reglamento General de Protección de Datos (RGPD) y asesoramiento jurídico. No sustituye la seguridad informática, sino que la complementa como red financiera de seguridad para el caso de que todas las medidas técnicas fallen.

Las cifras de Munich Re muestran la magnitud del fenómeno: el mercado global de seguros cibernéticos alcanzará en 2025 un volumen de primas de aproximadamente 16 300 millones de dólares estadounidenses. Para 2030, dicho volumen se duplicará hasta superar los 32 000 millones. Europa representa 3 300 millones de dólares estadounidenses – el 21 % del mercado – y crece al ritmo más rápido del mundo, con un 26 % anual, lo que indica que las empresas europeas empiezan lentamente a reconocer esta brecha.

Según Allianz Commercial, en el primer semestre de 2025, cerca del 60 % de los grandes siniestros cibernéticos (superiores al millón de euros) correspondieron a ataques de ransomware. El sector manufacturero lidera el volumen de daños – una consecuencia del aumento del 71 % en los ciberataques contra este sector y de la creciente digitalización de los sistemas productivos. La contrapartida: la cuantía media por siniestro descendió en ese mismo periodo más del 50 %, porque las empresas con seguro disponen de procesos de respuesta a incidentes más eficaces.

Fuente: Bitkom Wirtschaftsschutz 2025 (n = 1 003 empresas con al menos 10 empleados)

Por qué debe decidir el consejo de administración

En muchas empresas, el seguro cibernético se trata como un tema técnico. Eso es un error. La decisión sobre si y en qué medida una empresa debe asegurarse contra riesgos cibernéticos afecta simultáneamente a tres áreas directivas: el CIO (evaluación de riesgos y nivel de seguridad), el CFO (presupuesto de primas y potencial de daños) y el CEO (responsabilidad general y responsabilidad personal). Ninguna de estas funciones puede tomar dicha decisión de forma aislada.

La normativa NIS2 ha consagrado legalmente esta responsabilidad. Los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos cibernéticos. En caso de negligencia grave, se prevén multas personales de hasta 10 millones de euros o el 2 % de la facturación anual mundial, además de prohibiciones temporales de ejercer cargos directivos. La pregunta de si la empresa necesita un seguro cibernético forma parte de este deber de diligencia; ignorarla puede considerarse negligencia.

Para el sector financiero, la normativa DORA refuerza aún más estos requisitos: todo proveedor externo de tecnologías de la información y la comunicación (TIC) debe registrarse y evaluarse. Esto incluye al propio asegurador – su capacidad de cumplimiento en caso de siniestro debe quedar documentada. Un consejo de administración que no pueda demostrar haber evaluado sistemáticamente la cuestión del seguro cibernético queda expuesto a reclamaciones.

«Debemos seguir aumentando nuestras inversiones en seguridad informática».
Dr. Ralf Wintergerst, presidente de Bitkom (Bitkom Wirtschaftsschutz 2025)

La exigencia de Wintergerst va más allá de las medidas técnicas. Según Bitkom, la proporción del presupuesto de TI destinada a seguridad informática ha ascendido al 18 % – en 2022 era del 9 %. El 41 % de las empresas ya invierte el 20 % o más. Sin embargo, las inversiones técnicas solas no bastan: la cuestión no es si se producirá un ataque, sino cuándo. Y entonces será el seguro quien determine si la empresa sobrevive financieramente al daño.

La trampa de las primas: Por qué los aseguradores ahora observan con lupa

Tras dos años de descensos en las primas, Munich Re pronostica para 2026 un aumento del 15 al 20 %. La causa: la frecuencia de siniestros crece más rápidamente que los ingresos por primas. Los grupos de ransomware se profesionalizan, las superficies de ataque se amplían mediante el teletrabajo y el Internet de las Cosas (IoT), y los costes de recuperación aumentan con la complejidad de los entornos informáticos.

Los aseguradores responden con criterios de suscripción más estrictos. La autenticación multifactor (MFA), planes de copias de seguridad probados, planes documentados de respuesta a incidentes y pruebas de penetración periódicas ya no son extras opcionales, sino requisitos previos para obtener una cobertura a condiciones aceptables. Las empresas que carecen de estas bases fundamentales obtienen, o bien ninguna póliza, o bien primas que desbordan el presupuesto.

Esto implica lo siguiente para la dirección: quien hoy no tenga un seguro cibernético pagará más mañana. Y quien pretenda contratarlo deberá primero demostrar que la empresa cumple los estándares mínimos de seguridad. Los requisitos mínimos de los aseguradores coinciden en gran medida con las obligaciones establecidas por NIS2 – quien cumpla una, estará preparado para la otra. Esto hace doblemente rentable la inversión en infraestructura de seguridad.

Es legítimo plantear la contraposición: no toda empresa necesita un seguro integral. Para organizaciones con un nivel de seguridad muy avanzado, la autofinanciación puede ser económicamente más sensata. Pero esta decisión debe basarse en un análisis de riesgos documentado – no en la inacción. El consejo de administración debe poder demostrar que ha respondido conscientemente a esta cuestión.

Tres preguntas que debe responder el consejo de administración

Las siguientes preguntas constituyen el núcleo de una estrategia responsable de gestión de riesgos cibernéticos. Cada una exige una respuesta documentada – tanto para la gestión interna como para cumplir con la normativa NIS2.

1. ¿Cuál es nuestra exposición máxima al daño? Una interrupción de la actividad provocada por ransomware cuesta, según el sector y el tamaño de la empresa, entre 50 000 y 5 millones de euros por día. El consejo de administración debe conocer el límite superior de daños para su propia empresa – como base para la decisión sobre el seguro y como documentación de riesgos conforme a NIS2.

2. ¿Qué riesgos aseguramos y cuáles asumimos nosotros mismos? No todas las pólizas cubren todos los daños. Las exclusiones por guerra, los fallos sistémicos de infraestructuras y los ataques dirigidos por Estados suelen estar excluidos. El consejo de administración debe conocer y documentar las lagunas de cobertura, así como justificar por qué se aceptan conscientemente determinados riesgos residuales.

3. ¿Cumplimos los requisitos mínimos de los aseguradores? Sin MFA, copias de seguridad y plan de respuesta a incidentes, no hay protección asequible. Estos requisitos coinciden con las obligaciones de NIS2 – quien cumpla una, estará preparado para la otra.

Conclusión

Una tasa de aseguramiento del 7 % frente a una tasa de afectación del 87 % no es una simple estadística: es una llamada de atención. El seguro cibernético no pertenece al departamento de TI, sino a las reuniones del consejo de administración. NIS2 convierte esta discusión en una obligación. Y el alza de las primas hace que esperar resulte más caro que actuar. El primer paso: un análisis de riesgos documentado que cuantifique la exposición máxima al daño. Quien ignore esta cifra no podrá tomar decisiones racionales ni sobre seguros ni sobre inversiones en seguridad.

Preguntas frecuentes

Fuente de la imagen del título: Pexels / Vlada Karpovich (px:7433929)