Europa notifica menos siniestros cyber, pero los que llegan siguen haciendo mucho daño

La buena noticia dura poco: en Europa bajan las notificaciones de siniestros cyber, pero los incidentes graves no se han ido a ninguna parte. Solo hacen menos cola. El último informe de Marsh sobre tendencias globales de reclamaciones cyber apunta a un descenso en 2025 frente al año anterior, pero mantiene una conclusión incómoda para aseguradoras, CISOs y consejos de administración: cuando el golpe llega, sigue siendo caro, disruptivo y legalmente envenenado.

Eso importa más de lo que parece. En ciberseguridad, una caída en el número de partes no equivale automáticamente a una mejora estructural del riesgo. Puede significar varias cosas a la vez: mejores controles básicos en algunas organizaciones, más disciplina de suscripción por parte del mercado asegurador, mayor retención de pérdidas pequeñas por parte de las empresas o, sencillamente, una concentración del daño en menos incidentes pero más severos. Si eres CISO o responsable de compliance, aquí está el quid: el indicador que de verdad debe obsesionarte no es cuántos incidentes reportas, sino cuánto te desestabiliza uno serio.

Y en Europa, además, el asunto ya no es solo técnico ni asegurador. Es regulatorio. La Directiva NIS2 exige medidas de gestión del riesgo y notificación de incidentes; DORA impone a las entidades financieras un marco operativo mucho más duro sobre resiliencia, terceros ICT y respuesta; el GDPR sigue convirtiendo cualquier incidente con datos personales en un problema jurídico de 72 horas, artículo 33 mediante. Menos siniestros, por tanto, no significa menos presión. Significa que el margen para improvisar se ha reducido a cero.

Lo que realmente dice el dato: menos frecuencia no neutraliza la severidad

Los mercados maduros de ciberseguro llevan un tiempo viendo una aparente paradoja. Tras varios años de siniestralidad inflada por ransomware, compromiso de correo corporativo y fallos de terceros, las reclamaciones pueden moderarse sin que eso rebaje la tensión real del riesgo. ¿Por qué? Porque frecuencia y severidad miden problemas distintos.

La frecuencia te dice cuántas veces algo sale mal. La severidad te dice cuánto duele cuando sale mal. Y la severidad cyber tiene una mala costumbre: viaja con multiplicadores. Un incidente serio no se queda en la restauración técnica. Arrastra costes forenses, asesoría legal, interrupción de negocio, negociación de rescate, monitorización de crédito, comunicaciones de crisis, litigios, sanciones regulatorias potenciales y, cada vez más, disputas con proveedores y clientes. Un siniestro cyber no llega solo; llega con familia.

En Europa, ese patrón es especialmente relevante por tres razones.

La primera es que muchas empresas han mejorado controles relativamente visibles y asegurables: MFA, segmentación básica, copias de seguridad más serias, endurecimiento de acceso remoto, filtrado de correo, EDR y planes mínimos de respuesta. Eso reduce incidentes evitables. No elimina los complejos.

La segunda es que el mercado asegurador lleva dos años afinando exclusiones, sublímites y requisitos previos. Ya no se asegura igual a una compañía con MFA parcial, RDP expuesto o gobernanza débil de terceros. Menos reclamaciones también puede reflejar que ciertos riesgos ni siquiera entran en póliza o entran con franquicias más altas.

La tercera es la dependencia creciente de proveedores tecnológicos compartidos. Cuando falla un actor crítico, el impacto se distribuye en cadena. Eso puede reducir el número agregado de incidentes aislados y, al mismo tiempo, disparar la severidad sistémica de unos pocos eventos. La ciberseguridad moderna tiene algo de red eléctrica: casi nadie piensa en ella hasta que se cae una subestación.

Ransomware baja del titular, pero no de la hoja de pérdidas

Conviene desconfiar de una narrativa tentadora: como hay más detenciones, más presión policial y más organizaciones que se niegan a pagar, algunos concluyen que el ransomware ya no manda. Ojalá. Lo que ha cambiado no es la capacidad de daño, sino la forma de monetizarlo.

Los grupos criminales siguen explotando accesos iniciales baratos y escalables: credenciales robadas, vulnerabilidades perimetrales, dispositivos de borde sin parchear y relaciones de confianza mal protegidas. Los nombres de las familias cambian con una rapidez que haría sonrojar a cualquier consultora rebranding-friendly, pero la economía del ataque apenas se mueve: entrar, elevar privilegios, moverse lateralmente, exfiltrar y extorsionar.

La Agencia de la Unión Europea para la Ciberseguridad, ENISA, lleva varias ediciones de su Threat Landscape subrayando que el ransomware sigue entre las principales amenazas para organizaciones europeas, con especial impacto en sectores esenciales. No hace falta que todos los ataques acaben cifrando sistemas para generar una reclamación severa. La mera exfiltración de datos sensibles ya activa costes de respuesta, deberes de notificación y pérdida reputacional suficiente para disparar una póliza.

Aquí se cruza otro cambio menos vistoso y más serio: la extorsión sin cifrado. Para el atacante, a veces es más eficiente robar datos y amenazar con filtrarlos que bloquear la operación por completo. Para la víctima, el dilema es casi peor, porque el daño regulatorio y contractual permanece aunque se restauren sistemas en horas. Si hay datos personales, el GDPR entra de lleno. Si hay información crítica de proveedores, clientes o propiedad intelectual, el problema se vuelve también societario y comercial.

Desde el punto de vista asegurador, eso explica por qué la severidad no afloja. Los costes de recuperación técnica pueden contenerse mejor que hace tres años. Los costes jurídicos y de interrupción de negocio, no siempre.

La regulación europea empuja a reportar mejor, pero también castiga más la mala preparación

El descenso de siniestros en Europa llega en un momento regulatorio particularmente exigente. NIS2 entró en vigor el 16 de enero de 2023 y fijó el 17 de octubre de 2024 como fecha límite para su transposición en los Estados miembros. Su artículo 21 obliga a las entidades esenciales e importantes a adoptar medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar riesgos de seguridad de redes y sistemas. No es una declaración estética. Cita, entre otras, políticas de análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, uso de criptografía y autenticación multifactor.

El artículo 23 de NIS2 endurece además la notificación: alerta temprana en 24 horas desde que la entidad tenga conocimiento de un incidente significativo, notificación en 72 horas y un informe final en el plazo de un mes. Si tu empresa aún separa artificialmente “ciberseguridad”, “legal” y “negocio”, ya vas tarde. Ese reloj no espera a que alguien encuentre al responsable de vacaciones.

En el sector financiero, DORA añade una capa más precisa y, francamente, menos tolerante con la improvisación. El Reglamento (UE) 2022/2554 se aplica desde el 17 de enero de 2025. Su artículo 5 exige un marco interno de gobernanza y control para gestionar el riesgo ICT; el artículo 11 se centra en respuesta y recuperación; y el bloque de los artículos 28 a 30 aprieta sobre terceros proveedores de servicios TIC. La idea de fondo es nítida: no basta con tener un SOC competente si tu dependencia de proveedores críticos sigue cartografiada en una hoja Excel heredada de 2021.

Para incidentes con datos personales, el GDPR sigue siendo el gran acelerador del coste. El artículo 33 exige notificar a la autoridad de control en un máximo de 72 horas cuando la brecha de seguridad de datos personales sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas. El artículo 34 añade la obligación de comunicación a los interesados cuando el riesgo sea alto. Lo decisivo aquí no es solo la sanción eventual. Es la necesidad de producir hechos verificables muy deprisa: qué ha pasado, qué datos se han visto afectados, cuántos interesados potenciales, qué medidas se han adoptado y por qué la organización cree que el riesgo es o no es material.

La consecuencia práctica es bastante clara. Una empresa puede reducir el número de incidentes reportables y seguir estando regulatoriamente expuesta si no ha afinado la clasificación, la atribución, la trazabilidad de decisiones y la coordinación entre seguridad, legal y continuidad. Menos reclamaciones no suavizan una mala gobernanza. A veces la dejan más en evidencia.

La gravedad alta tiene una explicación incómoda: los fallos de terceros siguen siendo el agujero más caro

Si uno mira los grandes incidentes de los últimos años, la moraleja es tozuda. El problema no siempre está en tu perímetro. Está en el proveedor que autentica, aloja, actualiza, conecta o procesa por ti. Y ese modelo operativo, tan eficiente sobre el PowerPoint, tiene un defecto estructural: concentra riesgo.

Los reguladores europeos lo han entendido bastante mejor que muchas organizaciones. DORA dedica una parte nuclear a la gestión del riesgo asociado a terceros ICT. El artículo 28 obliga a las entidades financieras a gestionar ese riesgo como parte integral del marco de riesgo ICT. No como un apéndice de procurement. No como una revisión anual ceremonial. Como un riesgo operacional de primera línea.

La lógica es simple. Si una entidad externaliza una función crítica o importante y el proveedor falla, la responsabilidad regulatoria no se externaliza con el contrato. El proveedor puede aportar controles, certificados y un portal de confianza muy pulido. El supervisor seguirá preguntando a la entidad cómo evaluó la dependencia, qué salidas alternativas preparó, qué derechos de auditoría negoció y qué pruebas de resiliencia realizó.

Ese punto conecta directamente con la severidad aseguradora. Los incidentes de terceros suelen producir tres efectos que encarecen el siniestro:

Primero, la pérdida de visibilidad. La víctima no controla el entorno donde ocurrió el problema ni el ritmo de investigación forense. Eso retrasa decisiones críticas y complica notificaciones regulatorias precisas.

Segundo, el efecto dominó. Un único fallo puede afectar simultáneamente a múltiples procesos, jurisdicciones y categorías de datos o servicios.

Tercero, la erosión contractual. Cuando el incidente nace en un tercero, la discusión sobre responsabilidades, SLA, exclusiones e indemnizaciones suele arrancar antes de que termine la contención técnica. Nada agiliza una crisis como descubrir que el contrato clave permite muy pocas alegrías. Ironía justa: a veces la póliza está mejor negociada que el propio acuerdo con el proveedor.

No es casualidad que NIS2 también incluya seguridad de la cadena de suministro en el artículo 21. Europa ha dejado de tratar los terceros como un detalle de compras. Era hora.

Qué significa esto para los seguros cyber: underwriting más duro, preguntas mejores y menos paciencia

El mercado de ciberseguros ha madurado a golpes. Tras años de crecimiento rápido, primas tensionadas y siniestros traumáticos, las aseguradoras han aprendido que una mala suscripción sale carísima. La consecuencia es visible en la práctica: cuestionarios más detallados, revisiones técnicas más profundas y menor tolerancia a respuestas vagas.

Hace no tanto, muchas renovaciones se cerraban con formularios bastante genéricos y validaciones superficiales. Eso se acabó. Hoy pesan mucho más cuestiones concretas: cobertura de MFA en accesos privilegiados y remotos, segregación de backups, capacidad de restauración probada, gestión de vulnerabilidades con plazos, protección de correo, logging centralizado, respuesta a incidentes con retainer forense, dependencia de proveedores cloud y mapa de activos críticos.

La razón de negocio es obvia. Si la frecuencia baja pero la severidad se mantiene alta, la rentabilidad del ramo depende de identificar mejor qué riesgos son razonablemente absorbibles y cuáles son una invitación al siniestro multimillonario. Traducido: menos siniestros pequeños no compensa un puñado de eventos muy graves si los controles de base siguen flojos.

Para las empresas aseguradas, esto tiene una derivada poco cómoda. El proceso de renovación se parece cada vez menos a una compra de póliza y más a una auditoría reducida de madurez cyber. Y no siempre porque el regulador lo exija, sino porque el mercado ya no está dispuesto a subvencionar negligencias operativas evitables.

También cambia la conversación sobre cobertura. Las organizaciones que no hayan revisado exclusiones, sublímites por ransomware, dependencia de proveedores, fraude por ingeniería social, interrupción de sistemas de terceros y requisitos de notificación interna están comprando una falsa sensación de seguridad. La póliza no reemplaza un programa de resiliencia; como mucho, amortigua parte de la factura. Si el incidente afecta a obligaciones regulatorias o fallos de gobernanza, amortigua menos de lo que muchos creen.

El dato que deberían mirar los consejos: tiempo de disrupción, no solo número de incidentes

Los consejos de administración tienden a preguntar cuántos incidentes se han producido. Es una mala costumbre. El número importa, sí, pero puede ser profundamente engañoso si no se acompaña de métricas operativas más duras.

Si quieres entender por qué la severidad sigue alta, hay al menos cinco variables que valen más que el simple conteo:

El tiempo de interrupción de procesos críticos. No el tiempo hasta cerrar el ticket, sino el tiempo hasta recuperar un servicio esencial al nivel mínimo aceptable.

La extensión del impacto sobre terceros. Cuántos clientes, proveedores o filiales quedan atrapados por el incidente y cuántos contratos o SLA se activan.

La calidad de la trazabilidad decisoria. Quién decidió qué, con qué evidencia, en qué momento y bajo qué criterio de materialidad.

La dependencia de activos o servicios únicos. Si una única plataforma, identidad federada o proveedor concentra operaciones críticas, la severidad potencial se dispara.

La capacidad real de recuperación. No la declarada. La probada en ejercicios y validada con tiempos medibles.

DORA obliga precisamente a pensar así. No como un catálogo de controles sueltos, sino como un sistema de resiliencia operativa digital. Su artículo 11 exige establecer y aplicar una política integral de continuidad de negocio ICT y planes de respuesta y recuperación. La palabra incómoda es “integral”. No sirve tener un runbook técnico brillante si el negocio no sabe priorizar servicios, legal no tiene criterios de notificación preparados y procurement no sabe escalar con proveedores críticos.

Si el informe de Marsh se interpreta solo como una señal de alivio, el mensaje se pervierte. La lectura útil es otra: la economía del siniestro europeo premia a quien reduce impacto, no simplemente a quien reduce volumen.

España: NIS2, DORA y el seguro chocan en el mismo despacho

Para las entidades financieras españolas, y para cualquier operador que vaya a quedar bajo el perímetro de NIS2 en España, la combinación es particularmente relevante. No están gestionando tres asuntos separados —seguridad, regulación y seguro—, sino una sola conversación que acaba en el mismo comité.

El supervisor financiero no va a medir la resiliencia por el número de pólizas contratadas. Va a mirar gobierno, clasificación de activos, gestión de terceros, pruebas, respuesta y capacidad de recuperación. La aseguradora tampoco va a conformarse con una declaración genérica de “tenemos controles”. Va a pedir evidencia operativa. Y si ocurre un incidente con datos personales, la AEPD querrá saber por qué, cómo se valoró el riesgo y qué medidas concretas se adoptaron dentro del reloj del artículo 33 del GDPR.

Eso obliga a una alineación bastante más fina en las empresas españolas que ya están adaptándose a DORA o preparando la transposición y aplicación práctica de NIS2. No basta con que el área de seguridad mejore técnicamente si la evidencia documental no acompaña. Tampoco sirve tener políticas impecables si las decisiones reales en crisis no siguen esas políticas.

Hay cuatro fricciones recurrentes que en España siguen apareciendo demasiado:

La primera es el inventario de terceros críticos. Muchas organizaciones saben con quién contratan, pero no qué procesos críticos dependen de cada proveedor, qué subencargados intervienen o qué punto único de fallo se ha aceptado sin demasiado debate.

La segunda es la clasificación de incidentes. El lenguaje del SOC, el de legal y el del negocio no siempre coincide. Resultado: retrasos en escalar, dudas sobre reportabilidad y exceso de prudencia mal entendida.

La tercera es la prueba de recuperación. Se habla mucho de copias de seguridad y poco de restauraciones completas y de pruebas cruzadas con negocio, identidad, comunicaciones y terceros.

La cuarta es la relación con el seguro. Se compra o renueva tarde, con información incompleta y sin usar el proceso de underwriting como lo que debería ser: un test incómodo pero útil de madurez real.

Si la gravedad se mantiene alta, estas fricciones dejan de ser ineficiencias. Pasan a ser multiplicadores directos del coste del siniestro.

Menos siniestros puede significar más autocontención empresarial. O más silencio. Ninguna de las dos cosas garantiza resiliencia

Hay otra lectura que merece cautela. En algunos mercados, la bajada de reclamaciones puede venir de una mayor retención de pérdidas por parte de las compañías. Es decir, incidentes que antes se trasladaban al seguro ahora se absorben internamente, por franquicias más altas, coberturas más estrechas o simple decisión financiera. Eso no reduce el riesgo subyacente; solo cambia quién paga la primera parte del daño.

También puede haber una mejora relativa en la gestión de incidentes menores, que dejan de convertirse en reclamaciones formales. Bien. Pero incluso en ese escenario positivo, la lección no es “ya estamos mejor”, sino “hemos limpiado parte del ruido de fondo”. El problema de fondo —la posibilidad de un incidente severo por identidad, proveedor, vulnerabilidad crítica o error humano amplificado— sigue ahí.

Y conviene recordar algo más: la calidad de los datos de siniestralidad cyber nunca es perfecta. Depende de definiciones de reclamación, criterios de cobertura, mercados incluidos, líneas de seguro afectadas y comportamiento del asegurado. Por eso el dato agregado debe leerse como indicador de tendencia, no como verdad revelada. El regulador europeo, por cierto, suele ser más prudente que el marketing corporativo a la hora de convertir una mejora parcial en una victoria estratégica. Haríamos bien en imitarle cuando acierta.

Qué deberían hacer ahora los CISOs y responsables de compliance si no quieren enterarse tarde

La reacción inteligente ante este tipo de informe no es celebrar ni alarmarse. Es usarlo para recalibrar prioridades. Si los incidentes graves siguen siendo graves, el trabajo está menos en reducir el ruido marginal y más en recortar la cola de pérdidas extremas.

Eso exige, antes que nada, una revisión honesta de escenarios de alto impacto. No una lista infinita de amenazas abstractas, sino tres o cuatro escenarios plausibles con capacidad real de detener ingresos, vulnerar datos sensibles o activar notificación múltiple. Por ejemplo: compromiso de identidad privilegiada en entorno cloud; caída prolongada de proveedor crítico; ransomware con exfiltración; vulnerabilidad explotada en dispositivo perimetral expuesto. Si tu organización no tiene estos escenarios aterrizados con activos, dependencias, responsables y tiempos de decisión, está operando con fe.

Después viene la parte menos glamurosa y más rentable: validar evidencias. ¿Está desplegado el MFA en el 100% de accesos administrativos? ¿Se prueban restauraciones completas con frecuencia definida? ¿Existen runbooks coordinados entre seguridad, legal, comunicación y negocio? ¿Se han revisado contratos de proveedores críticos para garantizar notificación rápida, cooperación forense y derechos de auditoría? ¿Puede la organización determinar en horas, no en días, si un incidente implica datos personales y por tanto activa el artículo 33 del GDPR?

La tercera prioridad es integrar el lenguaje regulatorio en la operación diaria. NIS2 no te pide “estar razonablemente protegido” en abstracto; el artículo 21 enumera categorías concretas de medidas. DORA no te permite tratar los terceros críticos como un apéndice contractual. GDPR no te concede una semana para decidir si entiendes el impacto en datos personales. El problema en muchas empresas no es ignorar las normas, sino vivir como si fueran paralelas al trabajo técnico. No lo son.

La cuarta es revisar la relación con el seguro de forma adulta. Eso implica dos cosas: preparar la renovación con datos consistentes y usar las preguntas del asegurador para detectar huecos reales, no para maquillarlos. Maquillar respuestas en underwriting es una forma especialmente torpe de ahorrar tiempo antes de una crisis.

Y la quinta, quizá la más difícil, es elevar la conversación al consejo en términos de resiliencia económica. No de “tenemos más alertas” ni de “hemos implantado X herramienta”, sino de cuánto tiempo podemos operar degradados, qué servicios caerían primero, qué dependencias únicas tenemos y cuánto costaría un fallo serio incluyendo abogados, forenses, reguladores y clientes. Ahí es donde la severidad deja de ser una estadística y se convierte en gobierno corporativo.

La lectura correcta no es optimista ni pesimista. Es incómoda

Europa puede estar consiguiendo algo valioso: reducir parte de la frecuencia de siniestros cyber mediante mayor madurez técnica, más disciplina de mercado y mejor gestión básica. Bien. Pero la severidad alta recuerda que la superficie de daño se ha vuelto más concentrada, más interdependiente y más cara de gobernar.

Ese es el matiz que no conviene perder. Cuando una organización europea sufre hoy un incidente serio, rara vez enfrenta solo un problema informático. Entra en una cadena simultánea de obligaciones regulatorias, dependencia de terceros, riesgo contractual, exposición reputacional y coste asegurador. El incidente técnico dura horas o días; la resaca legal y operativa puede durar meses.

Por eso esta tendencia no debería leerse como una invitación a bajar la guardia, sino como una prueba de madurez para quienes dicen haber entendido el nuevo marco europeo. Si de verdad lo has entendido, tu prioridad cambia. Menos obsesión por el contador bruto de incidentes. Más foco en contener el impacto de los que sí importan.

En otras palabras: menos partes no significan menos problema. Significan que el mercado, los reguladores y los atacantes ya están seleccionando mejor dónde duele. La pregunta incómoda para cualquier organización europea es bastante simple: cuando llegue el incidente que no puedes evitar del todo, ¿tu estructura está preparada para que no se convierta en un siniestro de portada, de supervisor y de póliza a la vez?