Desde un ataque de ingeniería social para suplantar a un empleado hasta uno de ransomware, pasando por brechas en la seguridad de los datos provocadas por un descuido interno, los ciberriesgos a los que se enfrenta una organización son muchos y, cada vez, más complejos. No tomárselos en serio tiene un impacto económico directo en la cuenta de resultados de las empresas, un coste que normalmente puede amortiguarse a través de seguros específicos como las pólizas de ciberriesgo o de crime.
De acuerdo con el Cyber Claims Intelligence Report 2025 de WTW, que incluye las conclusiones del análisis de más de 4600 reclamaciones relacionadas con incidentes de ciberseguridad, el coste medio de una reclamación tras un ciberataque es de 2,4 millones de dólares, una cifra que asciende hasta los 3,9 millones si hablamos de una filtración de datos. Sin embargo, los datos generales no nos cuentan los detalles de los incidentes ni del coste real que pueden llegar a suponer para la empresa.
Los tipos de siniestro más habituales en las reclamaciones analizadas para el informe son las brechas en la seguridad de los datos, que pueden ser causadas tanto por ataques maliciosos y robos intencionados como por errores humanos. La ingeniería social o phishing y los ataques mediante ransomware siguen siendo los métodos preferidos por los ciberdelincuentes. Además, el nuestro análisis concluye que casi una cuarta parte de las reclamaciones están relacionadas con la falta de medidas adecuadas de seguridad cibernética.
Pero, ¿cuál es el verdadero coste de estos siniestros? A continuación, repasaremos cinco casos reales de entre los más de 4600 analizados para el Cyber Claims Intelligence Report 2025.
En este caso, la empresa asegurada descubrió un ransomware en sus sistemas y, dos horas más tarde, había desconectado sus plantas de fabricación de la red como medida de precaución. El ataque, que logró cifrar y bloquear partes del sistema, afectó directamente las operaciones del asegurado. La empresa contaba con copias de seguridad y un plan de continuidad de negocio, pero aun así tardó dos semanas en lograr operar a un ritmo normal.
Sin embargo, posteriormente, el atacante amenazó con publicar miles de archivos internos a menos que se pagara un rescate. Las pérdidas totales, superiores a los 80 millones de euros, fueron cubiertas por las pólizas de ciberriesgo y de interrupción de negocio de la compañía, aunque se alcanzaron los límites de la indemnización.
El asegurado fue informado de que sus equipos informáticos antiguos habían sido vendidos a través de un proveedor externo que no había realizado correctamente la destrucción de los datos sensibles, por lo que los nuevos daños tenían acceso a información confidencial de la empresa y sus clientes. En este caso, la empresa asegurada notificó a los clientes y a las autoridades y, aunque no tenía constancia de que se hubiese hecho un uso indebido de la información personal, ofreció sus servicios de monitorización.
Finalmente, los clientes presentaron varias demandas colectivas alegando que la empresa no había protegido adecuadamente sus datos, no había encriptado los dispositivos ni les había notificado a tiempo. El incidente, provocado por un accidente y por una mala praxis, derivó en costes superiores a los 200 millones de euros.
La red de puntos de venta de la organización asegurada fue víctima de un ataque de malware que logró extraer la información de las tarjetas de crédito de los clientes durante varios meses. Como consecuencia, el asegurado tuvo que enfrentarse a las demandas de clientes e instituciones financieras, investigaciones de las agencias regulatorias y evaluaciones de la industria de las tarjetas. La empresa reparó sus sistemas, ofreció servicios de monitorización de crédito a las personas afectadas y llegó a un acuerdo en la demanda colectiva de los clientes y en el litigio con las instituciones financieras. El coste total superó los 15 millones de dólares.
La reclamación más costosa registrada por WTW superó los 300 millones de dólares. En este caso, el asegurado fue víctima de un sofisticado ataque informático que comprometió los datos de millones de clientes, tanto actuales como pasados. Los atacantes obtuvieron acceso no autorizado al sistema informático del asegurado y pudieron sustraer la información personal.
El problema solo se descubrió cuando uno de los empleados del asegurado se dio cuenta de que se estaba consultando la base de datos de los clientes con sus credenciales. El empleado detuvo el proceso y notificó al departamento de ciberseguridad de la compañía. A través de las pólizas, las aseguradoras brindaron servicios de análisis forense, seguridad informática, monitorización de crédito, centro de atención de llamadas para los afectados y relaciones públicas.
En este ejemplo, los problemas llegaron después de que un proveedor del asegurado actualizase una aplicación electrónica utilizada por el asegurado para prestar sus servicios. Tras la actualización, los registros de los clientes se mezclaron, lo que inutilizó el sistema y lo bloqueó, obligando al asegurado a registrar sus actividades en formularios impresos. Además, algunos servicios no pudieron prestarse durante un tiempo, ya que dependían completamente de la aplicación. El coste final superó los 20 millones de dólares.
Estos cinco casos reales prueban el impacto profundo que los ciberriesgos pueden tener en las operaciones, la imagen y la cuenta de resultados de las empresas. Todo lo que está conectado y digitalizado es susceptible de sufrir un ciberataque, pero las consecuencias no siempre son las mismas. Tener un buen conocimiento de las exposiciones del negocio, contar con planes de ciberseguridad y de continuidad de negocio sólidos y apoyarse en las pólizas adecuadas es clave para mitigar los ciberriesgos.
