Solo el 17% de las pymes cuentan actualmente con un ciberseguro
- Seguridad
©Freepik
Si estas empresas no logran acceder a un ciberseguro, el riesgo no es individual, ya que afecta al conjunto de la economía. Autenticación multifunción, backups verificados, EDR o planes de respuesta ante incidentes son imprescindibles para que puedan obtener pólizas asequibles y efectivas.
España cuenta con 2,94 millones de pymes que representan el 99,8% del tejido empresarial. Su elevado número y el creciente número de ciberataques dirigidos a estas compañías contrastan con la baja adopción de seguros especializados para cubrir estos riesgos. Según informes recientes, solo el 17% de las pymes cuentan actualmente con ciberseguro, a pesar de que en 2024 casi la mitad de las empresas con menos de 10 millones de euros de facturación sufrieron algún tipo de ataque.
Esta brecha es bien conocida por los cibercriminales, que encuentran en las pymes un objetivo atractivo por la ausencia de medidas avanzadas de protección, planes de respuesta o recursos suficientes para defenderse. De hecho, el 88% de los incidentes de ransomware registrados en lo que va de año han tenido como víctima a este tipo de organizaciones.
Elevadas exigencias de las aseguradoras
Contratar un seguro cibernético está condicionado al cumplimiento de múltiples medidas de seguridad verificables. La falta de documentación o de protocolos claros no solo incrementa las primas, también puede suponer la denegación total de la indemnización. Para evitarlo, las pymes deben alinear sus prácticas de seguridad con los criterios exigidos por el sector asegurador, que según ESET son los siguientes:
- Autenticación multifactor (MFA) activa en todos los accesos críticos, como correo electrónico, redes corporativas o cuentas de administración.
- Soluciones de protección endpoint como EDR, acompañadas de una política activa de actualizaciones y gestión de vulnerabilidades.
- Copias de seguridad verificadas y probadas regularmente, tanto en lo técnico como en su recuperación.
- Un Plan de Respuesta ante Incidentes (IRP) documentado y ensayado mediante simulacros, tal y como recomienda la Agencia de Ciberseguridad de Estados Unidos (CISA).
- Formación continua del personal en buenas prácticas, simulacros de phishing y concienciación frente a ingeniería social.
- Evidencia documental de todas las acciones: registros de actividad, asistencia a sesiones formativas, informes de parches aplicados o ejercicios IR.
“Si estas empresas no logran acceder a un ciberseguro, el riesgo no es individual, ya que afecta al conjunto de la economía. Y lo cierto es que muchas quedan fuera porque no cumplen los mínimos que hoy exigen las aseguradoras. Ya no basta con declarar buenas intenciones. Sin evidencias, la póliza no llega o no se paga”, explica Josep Albors, director de investigación y concienciación de ESET España.