Hace cinco años, el ciberseguro era un producto de nicho que contrataban sólo las grandes corporaciones. Hoy se vende en una página web a cualquier pyme con la facilidad con que se vende un seguro de hogar — y ahí empieza el problema. Las pólizas estándar de mercado, especialmente las baratas, están redactadas con un nivel de generalidad que las hace casi inservibles en un siniestro real.
Esta guía explica qué riesgos cubre un ciberseguro decente, qué cláusulas hay que exigir y qué cobros opcionales no aportan valor proporcional al precio.
Los cuatro riesgos que importan
1. Ransomware y rescate
Un atacante cifra tus sistemas y pide pago para devolverte el acceso. Una buena póliza debe cubrir tanto el rescate (si decides pagarlo, dentro del marco legal vigente) como el coste de restaurar sin pagar: reconstrucción de servidores, contratación de equipos forenses, horas de tu propio equipo. Lo segundo es lo más caro en la práctica.
2. Fuga o robo de datos personales
Una intrusión que expone datos de clientes, empleados o proveedores. El coste real se compone de: notificación a afectados, asesoría legal, posible multa AEPD, reclamaciones civiles individuales y campaña reputacional. Una pyme con 10.000 clientes que sufre una brecha puede acumular entre 80.000 € y 250.000 € en costes directos.
3. Interrupción del negocio (lucro cesante)
Mientras tus sistemas están caídos, no facturas. Una buena póliza cubre el lucro cesante desde el momento del incidente, no desde un período de carencia largo. Si tu póliza dice "lucro cesante desde la hora 72", durante un incidente de 96 horas sólo te cubren las últimas 24. Eso convierte el seguro en testimonial.
4. Responsabilidad civil ante terceros
Si tu sistema es vector de un ataque a tus clientes (por ejemplo, propagas el malware en una integración), tienes responsabilidad civil. Esta cobertura suele venir como add-on en pólizas estándar — y en muchos casos es la más cara de los siniestros reales.
Las cláusulas que debes exigir
- Equipo de respuesta a incidentes disponible 24/7. La póliza debe contemplar acceso inmediato a un panel de respuesta técnica (forensia, abogados, comunicación) sin que tengas que buscarlo tú. En las primeras 24 horas se decide casi todo.
- Lucro cesante desde la hora cero. Sin períodos de carencia largos. Acepta franquicia (importe), pero no carencia (tiempo).
- Cobertura de errores humanos del empleado. El 70% de los incidentes empiezan por phishing o un mal clic. Si la póliza excluye "errores del empleado no formado adecuadamente", tienes un problema, porque la compañía siempre encontrará una formación que faltó.
- Cobertura para proveedores cloud y SaaS. Si parte de tu operación está en proveedores externos (AWS, Microsoft, etc.), la póliza debe contemplar siniestros que se originen ahí. Sin esta cláusula, una caída de tu proveedor cloud puede no estar cubierta.
- Sin sub-límite agresivo para multas regulatorias. AEPD y sanciones equivalentes europeas son una parte real del coste. Un sub-límite del 10% del capital total deja el seguro descompensado.
El error más caro: tratar el ciberseguro como una RC tradicional. La RC paga lo que tú debes pagar a un tercero. El ciberseguro debería pagar, sobre todo, lo que tú gastas en recuperarte. Si tu póliza no entiende esa diferencia, hay un problema en el producto.
Los extras que probablemente no necesitas
"Servicio de monitorización dark web"
Algunas pólizas incluyen un servicio mediante el cual la aseguradora "monitoriza la dark web buscando tus credenciales filtradas". Suena impresionante, pero en la práctica el servicio es genérico, no se conecta con tus sistemas de identidad y sirve más para venderte la póliza que para protegerte. Si quieres este servicio, compra uno especializado por separado.
"Consultoría preventiva en ciberseguridad"
Cobertura que te da N horas anuales de consultoría con un partner de la aseguradora. Útil si no tienes ningún proveedor de ciberseguridad. Si ya tienes uno (interno o externo), suele ser duplicar lo que ya pagas, con la diferencia de que el partner de la compañía es genérico, no conoce tu sistema.
"Cobertura por daño reputacional puro"
Cláusula que ofrece indemnización por "pérdida de reputación" sin un siniestro material asociado. Es un mercado todavía inmaduro y, en la práctica, casi imposible de reclamar. La reputación se defiende con comunicación, no con dinero, y los baremos que aplican las compañías son testimoniales.
Cómo dimensionar el capital
Un cálculo orientativo:
- Capital base por respuesta + recuperación: entre 100.000 € y 300.000 € para una pyme con sistemas propios.
- Capital adicional por número de registros personales: aproximadamente 100-150 € por registro tratado. Una pyme con 20.000 clientes debería contemplar un capital específico para fuga de datos de al menos 2-3 millones.
- Capital de RC ante terceros: coordinado con la RC profesional ya existente para no duplicar — y a la vez para cubrir lo que la RC tradicional no contempla (incidentes de ciberseguridad propagados a clientes).
Pregunta única al contratar"Si mañana ocurre un ransomware que me cifra todos los servidores y tengo a 10 empleados parados durante 5 días, ¿qué exactamente cubre esta póliza, cuánto pagaría y a quién llamo a las 22:00 del viernes?". Si no hay respuesta clara con cifras, la póliza no es el producto adecuado.
Conclusión
El ciberseguro es uno de los productos más útiles que existen para una pyme en 2026 y, a la vez, uno de los peor entendidos. La diferencia entre una póliza buena y una mala no se ve en el folleto comercial — se ve, palabra a palabra, en el condicionado y en la capacidad de respuesta del equipo de la compañía. Contrata mal y tendrás un seguro testimonial. Contrata bien y tendrás la única herramienta que de verdad acota el riesgo de un incidente catastrófico.