Seguro cibernético: qué cubre, qué no cubre y cómo cumplir los requisitos

Según el informe «State of the MSP» de Kaseya de 2026, el 44 % de los proveedores de servicios gestionados (MSP) afirma que al menos el 10 % de sus clientes sufrió un ciberataque en 2025. Esa cifra explica por qué el seguro cibernético ha pasado de ser opcional a ser imprescindible para la mayoría de las empresas y para todos los MSP que les prestan servicio.

El mercado ha atravesado un ciclo drástico. Las primas aumentaron un 73 % en 2021 y más del 50 % en 2022, a medida que se incrementaban las pérdidas por ransomware. Posteriormente, la presión competitiva hizo que las tarifas bajasen a lo largo de 2023, 2024 y gran parte de 2025. A principios de 2026, esa tendencia a la baja se está estancando: los analistas de WTW y S&P Global prevén que las primas aumenten entre un 15 % y un 20 % en los próximos 12 meses, impulsadas por la creciente gravedad del ransomware y la presión de los reaseguros. El mercado mundial de los seguros cibernéticos alcanzó aproximadamente los 16 000 millones de dólares en 2025 y se prevé que supere los 23 000 millones de dólares en 2026.

Las cuestiones más complejas no son si contratar un seguro cibernético, sino qué cobertura elegir, cómo cumplir los requisitos en un mercado en el que las aseguradoras se han vuelto mucho más exigentes y cómo evitar las exclusiones que dejan a las organizaciones desprotegidas justo cuando más necesitan la póliza. La plataforma de Kaseya ayuda a los proveedores de servicios gestionados (MSP) a guiar a sus clientes precisamente en este aspecto, y esta guía aborda lo que todo MSP y equipo de TI debe saber.

Qué cubre el seguro cibernético

Las pólizas de seguro cibernético varían considerablemente de una aseguradora a otra, pero las pólizas más completas incluyen cobertura en varias categorías.

Los costes propios son los gastos en los que incurre directamente la organización asegurada como consecuencia de un incidente: servicios de investigación forense y de respuesta ante incidentes, recuperación de datos y restauración de sistemas, pérdidas por interrupción de la actividad durante el tiempo de inactividad, comunicación de crisis y relaciones públicas, y asesoramiento jurídico.

La responsabilidad civil frente a terceros cubre las reclamaciones de clientes, socios u otras partes cuyos datos se hayan visto comprometidos o cuyos sistemas se hayan visto afectados por una violación de seguridad originada en el entorno del asegurado. Esto es especialmente relevante para los proveedores de servicios gestionados (MSP), ya que una vulneración de su entorno puede extenderse a los entornos de los clientes y generar una exposición global a la responsabilidad civil.

Los costes relacionados con el ransomware incluyen la respuesta ante incidentes, los servicios de negociación del rescate y, en algunas pólizas y jurisdicciones, el propio pago del rescate, siempre que este esté legalmente permitido y sea necesario desde el punto de vista operativo. Cabe señalar que los pagos de rescates se han convertido en una cuestión jurídicamente compleja: las sanciones de la OFAC de EE. UU. se aplican a los pagos realizados a determinados grupos de actores maliciosos, por lo que es imprescindible contar con asesoramiento jurídico antes de tomar cualquier decisión al respecto.

La cobertura de defensa ante autoridades reguladoras y sanciones cubre los gastos legales y los acuerdos extrajudiciales relacionados con las investigaciones de las autoridades reguladoras tras un incumplimiento. Esto resulta fundamental para las organizaciones sujetas a la HIPAA, la PCI DSS, la CCPA u otros marcos normativos con consecuencias significativas en materia de cumplimiento.

La ciberextorsión es un concepto más amplio que el ransomware, ya que abarca amenazas de divulgación de datos, extorsión mediante ataques DDoS y otras tácticas de presión que no llegan a constituir casos de cifrado total.

La ingeniería social y el fraude en la transferencia de fondos abarcan los ataques de suplantación de identidad en el correo electrónico empresarial (BEC), que dan lugar a transferencias bancarias fraudulentas. Esta cobertura no suele estar incluida de forma generalizada y, a menudo, está sujeta a sublímites específicos considerablemente inferiores al límite principal de la póliza.

Lo que no cubre el seguro cibernético

Entender las exclusiones es tan importante como comprender la cobertura. Más del 40 % de las reclamaciones de seguros cibernéticos en 2026 no dan lugar a ningún pago, y las exclusiones son el motivo más habitual.

Violaciones preexistentes. Por lo general, se excluyen los incidentes que comenzaron antes de la fecha de inicio de la póliza. Muchos autores de ransomware se hacen con acceso semanas o meses antes de desplegar la carga maliciosa, lo que genera una importante laguna en la cobertura si la vulneración inicial es anterior a la fecha de inicio de la póliza.

Vulnerabilidades conocidas y sin parchear. Las pólizas excluyen cada vez más los incidentes atribuibles a vulnerabilidades conocidas que el asegurado tenía motivos razonables para corregir. Si una filtración aprovecha una vulnerabilidad CVE que se había hecho pública y se podía corregir seis meses antes del incidente, se puede denegar la cobertura. Esta exclusión convierte la gestión de parches en una obligación directa del seguro, y no solo en una buena práctica de seguridad.

Ataques perpetrados por Estados-nación. Históricamente, las exclusiones relacionadas con la guerra abarcaban la guerra convencional. Lloyd’s of London actualizó sus requisitos de mercado en 2023 para excluir formalmente, en muchas pólizas independientes, las pérdidas derivadas de ciberataques respaldados por Estados. Las organizaciones que operan en el ámbito de las infraestructuras críticas, los servicios financieros y la cadena de suministro de defensa son las que se enfrentan a una mayor exposición debido a esta laguna. La redacción varía considerablemente de una póliza a otra, por lo que conviene someterla a un minucioso análisis jurídico.

Incidentes no maliciosos. Las pólizas cibernéticas cubren los incidentes maliciosos. Los fallos de hardware, los errores humanos sin intención maliciosa y la divulgación accidental de datos suelen estar incluidos en otros tipos de cobertura, como la de errores y omisiones.

Sublímites. Muchas categorías de cobertura tienen sublímites considerablemente inferiores al límite total de la póliza. La interrupción de la actividad empresarial, la ingeniería social y el criptojacking son categorías habituales con sublímites. Una póliza con un límite de 5 millones de dólares puede tener un sublímite de 250 000 dólares para pérdidas derivadas de la ingeniería social. Comprender los sublímites es fundamental para realizar una evaluación realista de la cobertura.

Cómo ha cambiado la suscripción

Las condiciones de suscripción de los seguros cibernéticos se endurecieron drásticamente entre 2020 y 2022. La frecuencia y la gravedad de los incidentes de ransomware provocaron pérdidas considerables a las aseguradoras, lo que dio lugar a subidas de las primas, reducciones de la cobertura y requisitos de seguridad mucho más estrictos antes de la concesión de la cobertura.

El mercado se relajó entre 2022 y 2025, ya que la presión competitiva entre las aseguradoras provocó una bajada de las tarifas y un aumento de la capacidad. Esa relajación no supuso una reducción de los requisitos de seguridad. Las aseguradoras que redujeron las primas mantuvieron o aumentaron sus requisitos de control, creando un mercado en el que la cobertura es más accesible, pero en el que el listón para poder optar a ella no se ha rebajado.

A partir de 2026, el escrutinio en la suscripción de pólizas se está intensificando de nuevo. Las aseguradoras están prestando cada vez más atención a las pruebas de la aplicación de los controles, en lugar de a las declaraciones de conformidad. Los programas de gestión de riesgos de terceros se están convirtiendo en un requisito, y no en un factor diferenciador. Las organizaciones que no pueden demostrar que cuentan con un estado de seguridad actualizado y documentado se encuentran con que la cobertura no está disponible o tiene un precio prohibitivo.

El cambio en la práctica: las organizaciones que antes habrían cumplido los requisitos con una simple declaración de una página, ahora deben completar cuestionarios de seguridad detallados, cumplir requisitos técnicos obligatorios y, en algunos casos, someterse a evaluaciones de seguridad externas antes de que se formalicen las pólizas. Las aseguradoras se han convertido, en la práctica, en un factor impulsor del mercado para garantizar unas medidas básicas de seguridad.

Lo que exigen ahora las aseguradoras

La mayoría de las aseguradoras cibernéticas de prestigio exigen los siguientes controles de seguridad básicos antes de conceder la cobertura.

Autenticación multifactorial en todos los accesos remotos, el correo electrónico y las cuentas con privilegios. La filtración de datos de Change Healthcare en 2024, en la que se aprovechó un portal de Citrix desprotegido y sin autenticación multifactorial, lo que supuso el pago de un rescate de 22 millones de dólares y unos costes de respuesta inmediata de 872 millones de dólares, se ha convertido en la referencia estándar del sector para demostrar por qué la autenticación multifactorial es imprescindible. Muchas aseguradoras preguntan ahora específicamente por la cobertura de la autenticación multifactorial para cada aplicación en concreto, en lugar de conformarse con un «sí» general.

La detección y respuesta en endpoints (EDR) se implementa en todos los endpoints, no solo en los servidores. Los antivirus tradicionales ya no son suficientes para la mayoría de las pólizas. Algunas aseguradoras preguntan ahora si el EDR es gestionado o no gestionado, y el EDR gestionado (MDR) obtiene mejores condiciones.

Gestión del acceso privilegiado con autenticación multifactorial (MFA) y controles de acceso «justo a tiempo» en las cuentas administrativas. La separación entre el acceso cotidiano y el acceso privilegiado se está convirtiendo cada vez más en un criterio de suscripción específico.

Gestión de parches con un proceso documentado y pruebas de plazos de corrección razonables para las vulnerabilidades críticas. Las aseguradoras han pasado de preguntar si existe una gestión de parches a solicitar métricas: tiempo medio para aplicar parches a las CVE críticas y porcentaje de terminales que cumplen la política de parches.

Copias de seguridad probadas y aisladas. Las copias de seguridad que existen pero que se encuentran en la misma red que los sistemas de producción y a las que puede acceder el ransomware no ofrecen ningún valor de recuperación ni ninguna ventaja desde el punto de vista del seguro. Las aseguradoras exigen pruebas de que las copias de seguridad están aisladas de la red o fuera de línea, de que se almacenan en un soporte inmutable y de que se han documentado los resultados de las pruebas de recuperación. Las copias de seguridad que nunca se han probado se consideran, cada vez más, como si no existieran.

Formación en materia de seguridad con constancia de su impartición y, en muchos casos, resultados de simulaciones de phishing. Algunas aseguradoras exigen pruebas de que la formación se imparte al menos trimestralmente, en lugar de anualmente.

Plan de respuesta ante incidentes con constancia de que se han realizado simulacros. Un plan documentado que nunca se ha puesto en práctica constituye una prueba menos sólida que un plan probado con resultados documentados.

Los controles de seguridad que determinan la cobertura y la prima

La relación entre los controles de seguridad y la economía de los seguros es bidireccional.

Las organizaciones que cuentan con controles de seguridad sólidos y documentados pueden optar a una cobertura más amplia, límites más altos y primas más bajas. La inversión en seguridad genera un beneficio económico cuantificable en forma de reducción de los costes del seguro, además de la ventaja principal de reducir el riesgo de incidentes.

Las organizaciones con controles deficientes o no documentados se enfrentan a primas más elevadas, límites más bajos, más sublímites, franquicias más altas y, en algunos casos, a la imposibilidad de obtener cobertura. Un MSP que ayuda a un cliente a documentar su estado de seguridad de cara a una renovación no se limita a prestar un servicio de cumplimiento normativo, sino que mejora directamente las condiciones económicas del seguro de ese cliente.

El historial de siniestros influye considerablemente en las condiciones de renovación. Una organización que haya sufrido una filtración de datos grave puede encontrarse con condiciones de cobertura muy diferentes en el momento de la renovación, independientemente de las mejoras introducidas tras el incidente. Los 12 meses posteriores a un siniestro grave suelen ser el periodo de seguro más costoso al que se enfrenta una empresa.

Desde la perspectiva de un MSP, ayudar a los clientes a alcanzar y documentar el nivel básico de seguridad que exigen las aseguradoras supone tanto un valor añadido en la prestación del servicio como una función de gestión de riesgos. Esto reduce el coste del seguro para el cliente, minimiza la exposición a la responsabilidad civil del propio MSP derivada de incidentes que afecten a los clientes y refuerza el posicionamiento del MSP como asesor.

Seguro cibernético para proveedores de servicios gestionados (MSP)

Los MSP deben tener en cuenta dos aspectos distintos en materia de seguros cibernéticos: la cobertura interna para sus propias operaciones y su función de asesoramiento a los clientes a la hora de ayudarles a cumplir los requisitos y mantener la cobertura.

La cobertura interna debe reflejar el perfil de riesgo específico de las operaciones de los MSP. El acceso con privilegios elevados a múltiples entornos de clientes genera un riesgo de responsabilidad civil que difiere fundamentalmente del que presenta el departamento de TI de una sola organización. Una violación de la seguridad en un MSP puede propagarse simultáneamente a docenas de entornos de clientes, lo que da lugar a una responsabilidad civil frente a terceros de carácter agregado que es poco probable que una póliza cibernética comercial estándar cubra de forma adecuada. Las pólizas cibernéticas para MSP deben incluir una cobertura específica para la responsabilidad civil frente a terceros (clientes) y límites acordes con el valor agregado de la cartera de clientes.

Las oportunidades de asesoramiento son importantes y van en aumento. Cada vez se solicita más a los MSP que ayuden a los clientes a documentar los controles de seguridad para los cuestionarios de suscripción, que garanticen que los servicios prestados se ajustan a los requisitos de las pólizas y que asesoren sobre la adecuación de la cobertura. Se trata de una extensión natural de la oferta de servicios de seguridad gestionados y supone una oportunidad de ingresos: los servicios de asesoramiento en materia de cumplimiento normativo y de preparación para los seguros se facturan cada vez más a tarifas premium.

La coherencia contractual es fundamental. Los contratos de servicios de los MSP deben abordar claramente la responsabilidad ante incidentes de seguridad, las obligaciones de notificación de violaciones de datos y el alcance de la responsabilidad en materia de protección de los datos de los clientes. Es necesario revisar conjuntamente el seguro cibernético y las condiciones contractuales. Un MSP cuyo contrato limite la responsabilidad a tres meses de cuotas, pero cuya violación de datos de un cliente genere reclamaciones de terceros por valor de 2 millones de dólares, presenta una laguna en la cobertura que debe identificarse antes de que un incidente la ponga de manifiesto.

Cómo ayuda Kaseya a los proveedores de servicios gestionados (MSP) a cumplir los requisitos de las aseguradoras

Kaseya 365 en una única plataforma los controles de seguridad que las aseguradoras exigen actualmente, lo que proporciona a los proveedores de servicios gestionados (MSP) tanto la protección como el registro de pruebas que solicitan las aseguradoras.

Datto EDR ofrece detección y respuesta en todos los terminales gestionados, con capacidad de detección y respuesta gestionadas (MDR) para aquellas organizaciones que necesitan una capa de centro de operaciones de seguridad (SOC) supervisada. La evidencia de la implementación de EDR y la respuesta a las alertas es una pregunta habitual en el proceso de suscripción.

BullPhish ID ofrece formación en concienciación sobre seguridad y simulaciones de phishing en los entornos de los clientes, con informes que documentan la frecuencia de impartición y los resultados de los empleados para la documentación de suscripción.

Dark Web ID supervisa continuamente las credenciales comprometidas en los dominios de los clientes, detectando las credenciales expuestas antes de que sean objeto de abuso. La supervisión de credenciales es un requisito de suscripción cada vez más habitual.

Inky ofrece seguridad para el correo electrónico y protección contra el phishing basadas en inteligencia artificial, haciendo frente al vector de amenazas de ingeniería social que está detrás de la mayoría de los incidentes de acceso inicial.

Datto SIRIS ofrece copias de seguridad aisladas e inmutables con verificación automática mediante capturas de pantalla, lo que genera las pruebas documentadas de las pruebas de recuperación que las aseguradoras exigen cada vez más como garantía de que las copias de seguridad son realmente recuperables.

Compliance Manager GRC genera la documentación sobre el estado de seguridad y el registro de pruebas de cumplimiento que exigen los cuestionarios de suscripción, para múltiples clientes desde una única plataforma.

Para los MSP que cumplan los requisitos, el programa «Kaseya Cyber Insurance Fast Track», disponible a través de KaseyaOne colaboración con Cysurance, ofrece una cobertura de responsabilidad cibernética precalificada de hasta 1,5 millones de dólares para los MSP y sus clientes que hayan implementado la suite de seguridad de Kaseya. Los MSP que cumplan los requisitos pueden acceder a la cobertura a tarifas considerablemente inferiores a los precios habituales del mercado, mediante un proceso de solicitud simplificado a través del KaseyaOne .

Descubre Kaseya 365 para proveedores de servicios de gestión (MSP)