Por Eva Puerta, Global CISO EMEA para Check Point Software.

El ciberseguro, o seguro cibernético, se ha convertido en un elemento habitual en los comités de dirección. Ya no es un extra, sino un elemento más a tener en cuenta en la gestión del riesgo empresarial. Sin embargo, muchas empresas confían en una red de seguridad que puede no funcionar cuando más la necesiten. Y no por culpa de ataques avanzados, sino por fallos básicos que siguen sin resolverse.

La falsa sensación de protección

Las pólizas de ciberseguridad están diseñadas para reducir el impacto económico tras un incidente, pero no son un cheque en blanco. En la práctica, muchas empresas reciben pagos parciales o incluso ven rechazada su reclamación. El motivo suele ser el incumplimiento de los controles mínimos exigidos por la aseguradora: autenticación multifactor, gestión de parches, higiene de credenciales o planes de respuesta documentados. Si estas medidas no existen o no se aplican de forma coherente, la cobertura se debilita.

La mayoría de los ataques no son sofisticados

Aunque los titulares se centran en el espionaje o en actores estatales, los datos cuentan otra historia. Según el informe de Verizon DBIR de 2025, el 22% de las brechas comenzó con el uso indebido de credenciales, el 20% se originó por vulnerabilidades no corregidas y el 16% se produjo tras un ataque de phishing. Mientras tanto, los incidentes relacionados con espionaje o destrucción de datos apenas representaron el 2% del total, según IBM X-Force. La realidad es clara: la mayoría de los ataques son sencillos, oportunistas y se aprovechan de fallos que ya deberían estar resueltos.

La trampa de la confianza

El ciclo se repite con demasiada frecuencia: una empresa contrata un ciberseguro, se siente protegida y desvía la atención hacia amenazas “avanzadas”. Con el tiempo, los controles básicos se aplican de forma irregular o se descuidan. Cuando llega una brecha causada por una vulnerabilidad elemental, la aseguradora puede denegar el pago por incumplimiento. El resultado es una falsa sensación de seguridad que oculta una falta de disciplina operativa.

Lo que realmente evalúan las aseguradoras

Las aseguradoras son cada vez más estrictas. Ya no basta con declarar que existen controles: ahora exigen pruebas continuas de que están implantados y funcionando. Y no solo en la firma del contrato, también en las renovaciones y tras un incidente. Si la madurez real de la empresa no coincide con lo recogido en la póliza, la cobertura puede verse reducida o anulada.

La resiliencia empieza por lo fundamental

La buena noticia es que estas ciberamenazas son evitables, pero la prevención exige constancia. La supervisión continua de credenciales filtradas permite actuar antes de que se produzcan accesos indebidos. La respuesta al phishing ya no puede limitarse a la formación: debe incluir la identificación y retirada de dominios fraudulentos o perfiles falsos. En cuanto a la gestión de parches, es fundamental priorizar vulnerabilidades con explotaciones activas en lugar de centrarse únicamente en el volumen.

El seguro cibernético actúa como reflejo de la postura de seguridad: premia la madurez y penaliza la complacencia. No sustituye la disciplina operativa ni cubre los fallos estructurales que se dejan sin resolver. Si una organización confía en el ciberseguro para absorber el impacto de un ciberataque, primero debe asegurarse de que cumple los controles que hacen que esa cobertura sea válida. Porque en ciberseguridad, lo que realmente marca la diferencia nunca es la póliza, sino la higiene básica.