ESET, compañía de ciberseguridad, alerta del preocupante desajuste entre el creciente número de ciberataques dirigidos a pequeñas y medianas empresas (pymes) y la baja adopción de seguros especializados para cubrir estos riesgos. Según informes recientes, solo el 17% de las pymes cuentan actualmente con ciberseguro, a pesar de que en 2024 casi la mitad de las empresas con menos de 10 millones de euros de facturación sufrieron algún tipo de ataque.

Esta brecha es bien conocida por los cibercriminales, que encuentran en las pymes un objetivo atractivo por la ausencia de medidas avanzadas de protección, planes de respuesta o recursos suficientes para defenderse. De hecho, el 88% de los incidentes de ransomware registrados en lo que va de año han tenido como víctima a este tipo de organizaciones.

“España cuenta con 2,94 millones de pymes que representan el 99,8 % del tejido empresarial. Si estas empresas no logran acceder a un ciberseguro, el riesgo no es individual, ya que afecta al conjunto de la economía. Y lo cierto es que muchas quedan fuera porque no cumplen los mínimos que hoy exigen las aseguradoras: MFA en todos los accesos críticos, backups que se prueban regularmente, protección activa de endpoints… Ya no basta con declarar buenas intenciones. Sin evidencias, la póliza no llega o no se paga”, explica Josep Albors, director de investigación y concienciación de ESET España.

Más allá del formulario: qué exigen las aseguradoras

Contratar un seguro cibernético está condicionado al cumplimiento de múltiples medidas de seguridad verificables. Las compañías aseguradoras exigen:

• Autenticación multifactor (MFA) activa en todos los accesos críticos, como correo electrónico, redes corporativas o cuentas de administración.
• Soluciones de protección endpoint como EDR, acompañadas de una política activa de actualizaciones y gestión de vulnerabilidades.
• Copias de seguridad verificadas y probadas regularmente, tanto en lo técnico como en su recuperación.
• Un Plan de Respuesta ante Incidentes (IRP) documentado y ensayado mediante simulacros, tal y como recomienda la Agencia de Ciberseguridad de Estados Unidos (CISA).
• Formación continua del personal en buenas prácticas, simulacros de phishing y concienciación frente a ingeniería social.
• Evidencia documental de todas las acciones: registros de actividad, asistencia a sesiones formativas, informes de parches aplicados o ejercicios IR.

El coste de no estar preparado

El informe Cost of a Data Breach 2024 de IBM cifra en 4,91 millones de dólares el coste medio de un ataque de ransomware. Un impacto económico que puede agravarse si la organización carece de procedimientos claros, no notifica adecuadamente el incidente o no puede demostrar sus esfuerzos de prevención.

“Las aseguradoras miran con lupa. La falta de documentación o de protocolos claros no solo incrementa las primas, también puede suponer la denegación total de la indemnización. Para evitarlo, las pymes deben alinear sus prácticas de seguridad con los criterios exigidos por el sector asegurador”, continúa Albors.

Para facilitar este proceso, ESET recomienda a las pymes:

1. Realizar una evaluación completa de su postura de seguridad, identificando carencias en MFA, protección de dispositivos, backups o formación.
2. Contar con apoyo externo, ya sea mediante proveedores de servicios gestionados (MSP) o auditores independientes, que aporten credibilidad y verifiquen las buenas prácticas.
3. Implementar una cultura de gestión del riesgo, centrada en la prevención, el control de accesos, el principio de confianza cero (zero trust) y la gestión segura de contraseñas.
4. Documentar todo el proceso, lo que no solo mejora la capacidad de respuesta ante un incidente, sino que también facilita la tramitación de una póliza y su activación en caso necesario.