Por qué su seguro cibernético no paga en caso de siniestro: las cláusulas de exclusión tóxicas del sector

2 min de lectura

Los seguros cibernéticos están en auge: el mercado crece un 25 por ciento anual. Sin embargo, la decepción llega en caso de siniestro: cada vez más empresas experimentan que su póliza no paga. Las cláusulas de exclusión por guerra, los requisitos de cumplimiento y las cláusulas retroactivas hacen que muchas pólizas sean inútiles en la práctica. Lo que las empresas deben saber antes de contratar.

En resumen

• Las aseguradoras cibernéticas rechazan cada vez más reclamaciones: según Marsh, la tasa de rechazo ha aumentado a más del 30 por ciento
• Las cláusulas de exclusión por guerra ahora también incluyen grupos de piratas informáticos respaldados por Estados, cubriendo así la mayor parte de los ataques APT
• Muchas pólizas exigen MFA, EDR y parches regulares como requisito previo: si falta un componente, la cobertura caduca
• La regulación va a la zaga: los clientes suelen entender las exclusiones solo tras el siniestro

El modelo de negocio del miedo

Los seguros cibernéticos venden seguridad. Lo que realmente ofrecen es un contrato lleno de condiciones que, en caso de siniestro, funcionan sistemáticamente en contra del asegurado. Esto no es un fraude: es un modelo de negocio basado en la asimetría de información.

Una empresa industrial de tamaño medio paga una prima anual de 40.000 euros por una póliza cibernética con una suma asegurada de 5 millones de euros. Suena sólido. Luego llega el ataque de ransomware. La aseguradora investiga – y descubre: en tres de los 200 servidores aún se ejecutaba Windows Server 2012 sin actualizaciones de seguridad extendidas. Cláusula 4.7: «La cobertura se anula si las vulnerabilidades conocidas no se parchean dentro de los 30 días». No hay pago.

Las tres cláusulas más peligrosas

1. Exclusión por guerra (War Exclusion): Tras el ataque NotPetya en 2017, las aseguradoras se negaron a pagar a Mondelez 100 millones de dólares – argumentaron que el ataque era un acto de guerra rusa. Lloyd’s of London amplió en 2023 sus exclusiones por guerra: todos los ataques «respaldados por Estados» pueden ser excluidos. El problema: más del 60 por ciento de todos los ataques APT se atribuyen a actores cercanos a Estados.

2. Requisitos de cumplimiento: Las pólizas modernas enumeran requisitos técnicos mínimos: MFA en todos los accesos remotos, EDR en todos los puntos finales, escaneos regulares de vulnerabilidades, copias de seguridad offline probadas. Si falta un elemento, las aseguradoras argumentan con «incumplimiento de obligaciones». La carga de la prueba recae en el asegurado.

3. Sublímites y tiempos de espera: La suma asegurada de 5 millones de euros suena tranquilizadora – hasta que se leen los sublímites. Interrupción de actividad: máximo 500.000 euros. Pago de rescate: excluido. Investigación forense: limitada a 100.000 euros. Tiempo de espera antes del inicio de la cobertura por interrupción: 12 horas. En un ataque de ransomware que paraliza la producción durante una semana, la cobertura real rara vez alcanza para cubrir el daño real.

Por qué las aseguradoras endurecen sus condiciones

El sector tiene sus razones: la ratio combinada – la relación entre siniestros y primas – estuvo durante años por encima del 100 por ciento en las pólizas cibernéticas. El negocio era deficitario. El endurecimiento de las cláusulas es la respuesta. Si es justo o no, es otra cuestión.

Las aseguradoras argumentan que los requisitos estrictos obligan a los asegurados a mejorar su seguridad. Esto es parcialmente cierto: las empresas con póliza cibernética tienen, demostradamente, una seguridad básica mejor. Pero la discrepancia entre la promesa del marketing y la realidad contractual sigue siendo problemática.

Qué deberían hacer las empresas

Antes de contratar: Haga revisar la póliza por un corredor independiente Y por un abogado especializado. Preste especial atención a las exclusiones por guerra, los requisitos técnicos y los sublímites. Pregunte explícitamente: «¿En qué circunstancias NO pagará?»

Durante la vigencia: Documente sin lagunas sus medidas de seguridad. Cada parche, cada escaneo, cada formación de sensibilización. En caso de siniestro, la carga de la prueba recae en usted. Trate su documentación de seguridad como una declaración fiscal: debe resistir un examen.

Estrategia alternativa: Evalúe si los 40.000 euros anuales de prima no se invertirían mejor en un contrato fijo de respuesta a incidentes, mejores copias de seguridad y un equipo de crisis. Para muchas pymes, la autoaseguración con prevención dirigida es económicamente más sensata que una póliza llena de exclusiones.

Conclusión: el seguro no sustituye la seguridad

Los seguros cibernéticos tienen su justificación – como última línea de defensa, no como primera. Quien compre una póliza para sustituir la seguridad, será castigado doblemente en caso de siniestro: por el daño y por el rechazo. El sector debe volverse más transparente. Y las empresas deben dejar de contabilizar las primas de seguro como presupuesto de seguridad.

Datos clave

Tasa de rechazo: Más del 30 por ciento de las reclamaciones por daños cibernéticos son rechazadas total o parcialmente por las aseguradoras (Marsh, 2024).

Litigio NotPetya: Merck ganó en 2023 el litigio contra Ace American Insurance por 1.400 millones de dólares – un caso excepcional que sacudió al sector.

Preguntas frecuentes

¿Sigue mereciendo la pena un seguro cibernético?

Para empresas grandes con equipos de seguridad dedicados y documentación rigurosa: sí, como transferencia de riesgo frente a daños catastróficos. Para pymes con seguridad deficiente: la prima suele invertirse mejor en medidas directas de protección.

¿Cómo identificar cláusulas problemáticas?

Tres señales de alarma: primero, si los «ataques respaldados por Estados» están completamente excluidos. Segundo, si los requisitos técnicos se establecen sin cláusulas de tolerancia. Tercero, si los sublímites reducen de facto la suma asegurada a una fracción.

¿Mejorará la regulación la situación?

La UE está trabajando en estándares para contratos de seguros cibernéticos. Hasta que entren en vigor, la responsabilidad recae en el asegurado: revisar minuciosamente las pólizas, cumplir y documentar los requisitos, y en caso de duda, consultar a un abogado.

Artículos relacionados

• El RGPD no protege a nadie – Siete años de burocracia sin efecto medible
• Tendencias de ciberseguridad 2026: los 7 desarrollos que deben conocer los responsables de seguridad
• Cybersec Europe 2026: la conferencia de seguridad de Bruselas en el corazón de la regulación europea

Más del ecosistema MBF Media

• Gestión de riesgos para directivos en mybusinessfuture.com
• Decisiones estratégicas de TI en digital-chiefs.de

Fuente de imagen: Pexels

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow