Según datos atribuidos a Marsh McLennan (2024), el 41% de las solicitudes de ciberseguro son rechazadas en su primera presentación a nivel global. No porque la empresa sea insegura, sino porque aplican sin entender qué evalúa realmente el suscriptor.
Contratar un ciberseguro hoy ya no funciona como contratar un seguro de auto. No basta con responder un formulario y esperar cotización. Las aseguradoras revisan tu arquitectura de seguridad, exigen evidencia de controles activos y, en muchos casos, auditan tu infraestructura antes de emitir la póliza.
El mercado latinoamericano de ciberseguros alcanzó aproximadamente USD 708 millones en 2024 y crece al 25.9% anual. Las primas cayeron un 14% en la región al cierre de 2025, la mayor caída registrada a nivel global.
En este artículo te explicamos, qué controles debes tener implementados, qué preguntas tendrás que responder en el cuestionario de suscripción, qué normativa evalúan en México, Colombia y Chile, y qué causas llevan a que las reclamaciones sean denegadas.
Un ciberseguro es una póliza de riesgo empresarial que cubre los costos económicos derivados de un incidente de seguridad digital. No es un sustituto de los controles de seguridad. Es una capa financiera que opera cuando los controles fallan o son insuficientes.
Las coberturas varían según la póliza y la aseguradora, pero los bloques estándar del mercado incluyen:
Costos de respuesta al incidente: investigación forense, notificación a clientes y autoridades regulatorias, honorarios legales, gestión de comunicaciones de crisis y restauración de sistemas.
Interrupción del negocio: ingresos no percibidos y costos operativos adicionales durante el período de inactividad causado por el incidente.
Extorsión cibernética: negociación con actores de ransomware y, dependiendo de la póliza y jurisdicción, cobertura del pago del rescate.
Responsabilidad ante terceros: reclamaciones de clientes, socios o reguladores derivadas de la brecha. Incluye multas regulatorias cuando la póliza lo contempla explícitamente.
Recuperación de datos: costos de reconstrucción o recuperación de información dañada o destruida.
Lo que distingue a un ciberseguro de otros seguros de daños es que el siniestro puede ser invisible durante semanas o meses. El costo promedio de identificar y contener una brecha en América Latina es de 277 a 301 días, según IBM. Durante ese tiempo, la empresa sigue operando sin saber que el incidente ya ocurrió.
Por eso la cobertura no funciona sola. El seguro paga los costos del incidente. Los controles de seguridad determinan si el incidente ocurre, qué tan grave es y cuánto tiempo lleva contenerlo.
Hace cinco años, obtener una póliza de ciberriesgo era relativamente sencillo: describías tu negocio, declarabas que tenías antivirus y firewall, y recibías cobertura. Ese modelo terminó.
El volumen y costo de los incidentes cambió el cálculo actuarial. IBM reporta que el costo promedio de una brecha de datos en América Latina llegó a USD 3.81 millones en 2025, un incremento del 38% frente a 2023. Las aseguradoras pagaron siniestros que no anticiparon, ajustaron sus modelos y endurecieron el proceso de suscripción.
Hoy, los cuestionarios de underwriting tienen entre 15 y 25 preguntas técnicas. Algunas piden capturas de pantalla de configuraciones activas. Otras solicitan reportes de pruebas de restauración de respaldos. Beazley, Coalition y Marsh ya no aceptan un "sí" en papel: quieren evidencia verificable.
Lo que cambió: pasamos de suscripción basada en atestación a suscripción basada en evidencia. Para tu empresa, esto significa que obtener cobertura, y obtenerla a buen precio, depende directamente de los controles que hayas implementado antes de aplicar.
Estos no son sugerencias. Son los controles que aparecen de forma consistente en las aplicaciones de las principales aseguradoras de ciberriesgo que operan en LATAM: Chubb, AXA XL, Allianz, Marsh y Aon.
La autenticación multifactor (MFA) es el control más crítico del cuestionario. Según Marsh McLennan (2025), el 99% de las solicitudes de ciberseguro incluyen preguntas específicas sobre implementación de MFA, convirtiéndolo en el control de seguridad más universalmente evaluado por los suscriptores.
Lo que revisan: no basta con tenerlo disponible. Debe estar forzado y documentado en correo electrónico, VPN, acceso remoto (RDP/SSH), consolas de nube (AWS, Azure, GCP) y cuentas con privilegios administrativos.
Dato que debes conocer: según datos de Coalition ampliamente citados en la industria (2024), el 82% de las reclamaciones de ciberseguro denegadas involucraron organizaciones donde el MFA no estaba completamente implementado en el momento del incidente.
Las aseguradoras prefieren MFA resistente a phishing (FIDO2, llaves de hardware) sobre SMS. Y piden capturas de pantalla de las políticas de enforcement activas, no capturas de que la opción existe.
El antivirus tradicional no califica. Las aseguradoras preguntan específicamente si usas herramientas avanzadas de Endpoint Detection and Response (EDR) y cuáles son. Exigen despliegue en todos los endpoints con monitoreo activo.
La diferencia técnica es concreta: el EDR detecta comportamiento anómalo en tiempo real, permite aislamiento automático de equipos comprometidos y genera telemetría que el suscriptor puede verificar. El antivirus detecta firmas conocidas. Para las aseguradoras, esa diferencia es binaria.
Woodruff Sawyer, Huntress y múltiples analistas del mercado de ciberseguros consideran el EDR un control no negociable, al nivel de MFA, para calificar a cobertura.
La regla 3-2-1 (tres copias, dos medios, una offsite) es el piso mínimo, no el estándar. Las aseguradoras exigen que tus respaldos sean inmutables o air-gapped: aislados de la red de producción, con MFA para acceder al entorno de backup.
La razón es operativa: Coalition reporta que el 94% de las víctimas de ransomware vieron a los atacantes dirigirse específicamente a los sistemas de respaldo antes de ejecutar el cifrado. Si tu backup está en la misma red que tus servidores, no tienes backup.
Lo que se pide documentar: pruebas de restauración exitosas, RTOs (tiempo de recuperación objetivo) definidos y fechas de las últimas verificaciones.
Un documento que nadie ha leído no es un plan. Las aseguradoras exigen que el Plan de Respuesta a Incidentes (IRP) haya sido probado mediante ejercicios tabletop en los últimos 12 meses.
El plan debe incluir: árboles de contacto actualizados, procedimiento de notificación a la aseguradora (la mayoría exige dentro de 72 horas del descubrimiento), recursos externos definidos (forense, legal, comunicaciones de crisis) y flujo documentado de contención, erradicación y recuperación.
IBM reporta que las organizaciones con planes de IR probados reducen el costo de una brecha en aproximadamente USD 250,000 frente a las que no los tienen.
Las aseguradoras preguntan específicamente si SPF, DKIM y DMARC están configurados en tu dominio. SPF y DKIM son protocolos que autentican el origen de los correos enviados desde tu dominio, reduciendo la posibilidad de suplantación de identidad. DMARC define qué hacer con los mensajes que no superan esa autenticación, y las aseguradoras evalúan a qué nivel de política opera: p=none, p=quarantine o p=reject. El nivel p=none no califica como control activo.
Se evalúa también si cuentas con protección avanzada contra amenazas (sandbox de adjuntos, detección de BEC) y si realizas simulaciones de phishing documentadas con seguimiento de resultados.
El FBI reportó que el Business Email Compromise (BEC), es decir la suplantación de identidad para desviar pagos o información, generó pérdidas de USD 2,800 millones en 2024. Las aseguradoras lo saben.
Vulnerabilidades críticas y altas deben parchearse en máximo 30 días desde su publicación. Para vulnerabilidades activamente explotadas (catálogo CISA KEV), algunas aseguradoras exigen 14 días.
El factor que genera rechazo inmediato: software en End-of-Life. Si tu empresa opera con Windows Server 2012, Exchange 2016 u otras plataformas sin soporte activo del fabricante, muchas aseguradoras rechazarán la solicitud o emitirán exclusiones específicas de cobertura para esos sistemas.
Control y auditoría del acceso a sistemas críticos bajo principio de mínimo privilegio. Las aseguradoras revisan si tienes MFA específico para cuentas administrativas, si existe separación de roles y si mantienes registros de auditoría detallados de accesos privilegiados.
No un curso anual obligatorio. Un programa continuo con simulaciones de phishing periódicas, seguimiento de tasas de completación y flujos de remediación para quienes fallan en las simulaciones. Las aseguradoras piden registros de participación y resultados históricos de las simulaciones.
Los formularios de underwriting cubren entre 15 y 25 preguntas técnicas organizadas en categorías. Las más frecuentes, consolidadas de aplicaciones de Beazley, Coalition y Marsh:
Sobre MFA: "¿Requiere MFA para acceso remoto y correo web?" y "¿Requiere MFA para servicios en la nube (Office 365, AWS, Azure, Google Cloud)?"
Sobre EDR: "¿Utiliza herramientas avanzadas de EDR en TODOS los endpoints? ¿Qué solución?"
Sobre respaldos: "¿Prueba la restauración de sus respaldos periódicamente?" y "¿Requiere MFA para acceder al entorno de backup?"
Sobre monitoreo: "¿Monitorea continuamente su red y todos los endpoints para detectar accesos no autorizados?" y "¿Utiliza un SIEM monitoreado por un SOC?"
Sobre respuesta a incidentes: "¿Tiene un Plan de Respuesta a Incidentes escrito y lo prueba anualmente?" y "¿Tiene un Plan de Recuperación de Desastres y Continuidad de Negocio?"
Sobre historial: "¿Ha sufrido pérdidas o reclamaciones en los últimos 5 años?" y "¿Qué medidas está tomando para detectar y prevenir ataques de ransomware?"
La tendencia clara para 2026: las aseguradoras ya no aceptan respuestas sin respaldo. Cuando respondes "sí" a una pregunta, es probable que te pidan la evidencia que lo sustenta.
El contexto normativo de tu empresa influye directamente en la suscripción. Las aseguradoras verifican si operas en sectores regulados y si cumples las obligaciones aplicables.
Sin ley integral de ciberseguridad, pero con regulación sectorial activa. La CNBV establece requisitos específicos para entidades financieras. Banxico emitió en 2023 las Circulares 11, 12 y 13, que refuerzan la seguridad del SPEI y el SPID, introducen la definición formal de "ciber resiliencia", exigen un CISO formal y establecen 10 dominios de ciberseguridad con alcance para instituciones de crédito.
La LFPDPPP obliga a medidas de seguridad administrativas, técnicas y físicas para cualquier empresa que maneje datos personales. El incumplimiento puede operar como "agravación del riesgo" bajo los artículos 45-50 de la Ley Sobre el Contrato de Seguro, lo que da base legal a las aseguradoras para denegar reclamaciones.
La Circular Externa 007 de 2018 de la SFC establece un marco de cuatro fases para entidades financieras: prevención, protección y detección, respuesta y comunicación, recuperación y aprendizaje. Define 13 subtemas de cumplimiento que incluyen política de ciberseguridad aprobada por junta directiva, unidad de ciberseguridad formal y gestión de riesgo de terceros.
La Ley 1581 de 2012 regula protección de datos personales con alcance a todos los sectores. El incumplimiento genera sanciones de la SIC y puede ser invocado por aseguradoras como causal de exclusión.
Chile lidera el marco regulatorio en la región con la Ley 21.663, la primera ley integral de ciberseguridad en LATAM, promulgada en abril de 2024. Crea la Agencia Nacional de Ciberseguridad (ANCI), define Operadores de Importancia Vital (OIV) con obligaciones estrictas, y establece sanciones desde 5,000 UTM hasta 40,000 UTM (aproximadamente USD 2.8 millones) para infracciones gravísimas.
Los OIV deben implementar un sistema de gestión de seguridad de la información (SGSI) continuo, certificar planes de continuidad de negocio y reportar incidentes al CSIRT Nacional en 72 horas.
La Ley 21.719 de protección de datos personales, publicada en diciembre de 2024, entra en vigor en diciembre de 2026 y crea la Agencia de Protección de Datos Personales con poder sancionador real.
La certificación con mayor impacto directo sobre la elegibilidad y el precio de la póliza es ISO 27001, que puede generar descuentos de prima del 5% al 25% según la aseguradora.
Un estudio de G-Certi con 890 organizaciones en 15 países de LATAM (2024-2025) encontró que las empresas certificadas experimentaron un 62% menos de impacto financiero por brechas (USD 1.6M vs. USD 4.2M promedio), un 71% menos de tiempo de inactividad (23 vs. 79 días de recuperación) y 3.4 veces menor probabilidad de exfiltración de datos. Para entender cómo se estructura este sistema de gestión, consulta nuestra guía de seguridad operacional con ISO 27001.
ISO 27001 no es un checklist. Es un sistema de gestión que obliga a revisar, documentar y mejorar de forma continua los controles de seguridad. Exactamente lo que las aseguradoras quieren ver.
SOC 2 Type II ofrece descuentos similares (15-20%) y es particularmente valorado para empresas de servicios tecnológicos y SaaS. NIST CSF 2.0, actualizado en febrero de 2024, es utilizado como marco de evaluación de madurez por varias aseguradoras.
Si tu empresa no está certificada aún, el proceso de diagnóstico y remediación previo a la certificación ya mejora tu postura ante el suscriptor. El proceso documenta lo que tienes, identifica las brechas y genera el mapa de trabajo que la aseguradora quiere ver.
Podría interesarte leer: Guía completa de ISO 27001: alcance, estructura y requisitos
Las exclusiones representan el punto ciego más costoso de cualquier póliza. Las causas más frecuentes de reclamaciones denegadas:
Declaración falsa sobre controles implementados. Si en el formulario afirmaste que MFA estaba habilitado en todos los sistemas pero la investigación forense revela acceso RDP sin autenticación adicional, la póliza completa puede ser anulada. No parcialmente. Completa. Allianz confirmó en su reporte 2025 que esta es la principal causa de denegación activa.
Notificación tardía. La mayoría de las pólizas exigen notificación dentro de 72 horas del descubrimiento del incidente. El retraso, por cualquier razón, puede resultar en denegación automática.
Software en End-of-Life. Operar sistemas sin soporte activo del fabricante puede anular la cobertura para incidentes que involucren esos sistemas. Esto incluye versiones de Windows Server, Exchange, PHP o bases de datos que ya no reciben actualizaciones de seguridad.
Actos de guerra y estados patrocinadores. El 90% de las pólizas excluye ataques atribuibles a actores estatales. Lloyd's emitió cuatro nuevas cláusulas de exclusión (LMA 5564-5567) adoptadas por múltiples aseguradoras. La definición de "ciberactividad hostil patrocinada por estado" se amplía constantemente.
Mejoras tecnológicas post-brecha. La aseguradora financia la restauración al estado pre-incidente. No financia los upgrades de infraestructura que el incidente evidenció como necesarios.
Fallas de terceros sin endoso específico. El incidente de CrowdStrike en julio de 2024 dejó sin cobertura a múltiples empresas porque sus pólizas no incluían este escenario. Los USD 5,400 millones en pérdidas de las Fortune 500 en ese evento redefinen la importancia de revisar las exclusiones de cadena de suministro.
Las aseguradoras preguntan directamente: "¿Utiliza un SIEM monitoreado por un SOC?". Un SIEM (sistema de correlación y registro de eventos de seguridad) centraliza los logs de toda la infraestructura y permite detectar patrones de ataque que ningún sistema aislado identificaría. Para pólizas superiores a USD 5 millones o coberturas preferentes, contar con este tipo de monitoreo activo determina si calificas o no.
El impacto en prima es cuantificable. Coalition, una de las principales aseguradoras del sector, ofrece créditos de prima de hasta un 12.5% para empresas que implementan servicios de MDR (Managed Detection and Response) calificados desde enero de 2024. Cowbell, en el mercado de Reino Unido, aplica descuentos equivalentes para configuraciones similares. Combinado con los controles del bloque anterior, las empresas con controles fundamentales implementados pagan entre un 20% y un 50% menos en primas que organizaciones equivalentes sin estos controles (MoneyGeek, 2026).
IBM reporta que las organizaciones con capacidad de detección y respuesta mejorada por monitoreo activo ahorran un promedio de USD 1.8 millones por brecha, principalmente por reducción del tiempo de contención.
Para empresas que no cuentan con un equipo interno de operaciones de seguridad, TecnetSOC ofrece monitoreo continuo con cobertura documentada, retención de logs y capacidad de respuesta dentro de los tiempos de SLA acordados. Las aseguradoras no exigen que el SOC sea propio; exigen que el monitoreo sea real, continuo y documentado.
Las aseguradoras evalúan el entorno de amenazas regional al calcular la prima. Estos números explican por qué LATAM recibe un escrutinio particular:
FortiGuard Labs detectó más de 921 mil millones de actividades maliciosas en América Latina durante 2024. México concentra el 35.22% de esa actividad. Check Point registró que en diciembre de 2025, las organizaciones latinoamericanas enfrentaban 3,065 ataques por semana, un incremento del 26% interanual y el mayor aumento a nivel global.
El 79% de los eventos cibernéticos en LATAM corresponden a ransomware, frente al 53% global (Liberty Specialty Markets). Los grupos más activos: RansomHub, Hunters International, LockBit y Medusa. Intel 471 registró más de 450 eventos confirmados de ransomware en la región durante 2025, un incremento del 78% sobre 2024.
El costo de un incidente de ransomware en la región, incluyendo remediación, tiempo de inactividad y costos legales, alcanza aproximadamente USD 5 millones en promedio.
Frente a este panorama, solo el 27% de las empresas latinoamericanas tiene ciberseguro (ESET Security Report 2025). El gap de protección es real, y quienes tienen los controles implementados acceden a pólizas con mejores condiciones porque representan menor riesgo para el suscriptor.
¿Qué control técnico tiene mayor impacto para obtener cobertura de ciberseguro? El MFA forzado en todos los sistemas es el control con mayor peso. Marsh McLennan (2025) reporta que el 99% de las solicitudes de ciberseguro ya incluyen preguntas específicas sobre implementación de MFA. Según datos de Coalition ampliamente citados en la industria (2024), el 82% de las reclamaciones denegadas involucraron organizaciones donde el MFA no estaba completamente implementado en el momento del incidente.
¿La certificación ISO 27001 reduce el precio del ciberseguro? Sí, de forma directa. Las aseguradoras aplican descuentos del 5% al 25% en prima para empresas certificadas ISO 27001, dado que la certificación demuestra un sistema de gestión de seguridad activo y auditado. Empresas certificadas también reportan un 62% menos de impacto financiero por brechas según datos de 890 organizaciones en LATAM (G-Certi, 2024-2025).
¿Un SOC externo satisface los requisitos de monitoreo de las aseguradoras? Sí. Las aseguradoras no exigen que el SOC sea propio; exigen que el monitoreo sea real, continuo y documentado. Un servicio como TecnetSOC, con cobertura documentada, retención de logs y capacidad de respuesta dentro de los tiempos de SLA acordados, cumple los requisitos de suscripción y puede contribuir a reducciones de prima verificables según Coalition y Cowbell (2024).
¿Qué pasa si mi empresa opera sistemas en End-of-Life? Operar sistemas sin soporte activo del fabricante es una señal roja que puede resultar en rechazo de la solicitud o en exclusiones específicas de cobertura para incidentes que involucren esos sistemas. Es uno de los factores más frecuentes de condicionamiento en la suscripción.
¿Cuánto tiempo toma estar listo para aplicar a un ciberseguro? Depende del estado actual de tus controles. Una empresa con MFA, EDR y respaldos funcionando puede aplicar en semanas. Una empresa que parte desde cero necesita entre 3 y 9 meses para implementar los controles mínimos con solidez. El diagnóstico previo define el mapa de trabajo y el tiempo real.
El momento de prepararse para el ciberseguro no es cuando la aseguradora te pide los documentos. Es varios meses antes.
El proceso que seguimos en TecnetOne para acompañar a empresas en este camino tiene una secuencia clara:
Diagnóstico. Antes de implementar cualquier control, entendemos tu postura actual: qué tienes, qué falta, qué está mal configurado. El diagnóstico define el alcance real del trabajo, no la lista genérica de controles.
Diseño por fases. Estabilización primero (MFA, EDR, respaldos), protección después (segmentación, monitoreo), optimización al final (gestión de vulnerabilidades, pentesting, certificación). No todo al mismo tiempo.
Implementación con alcance definido. Tiempos establecidos, responsables claros, documentación en paralelo a la implementación.
Monitoreo continuo. Los controles que no se monitorean no funcionan. La capacidad de detección y respuesta en tiempo real es lo que las aseguradoras valoran y lo que protege tu operación cuando el incidente ocurre.