**Ciberseguros frente al riesgo sistémico: el reto de proteger al asegurado y la infraestructura crítica**

—

### Introducción

El auge de los ciberataques dirigidos a infraestructuras críticas y cadenas de suministro ha puesto de manifiesto la vulnerabilidad sistémica de los ecosistemas digitales actuales. Este fenómeno, conocido como riesgo sistémico, plantea un desafío sin precedentes para el sector de los seguros cibernéticos, obligando a replantear coberturas, límites de responsabilidad y modelos de gestión de incidentes. El reciente debate entre Carmen Gutiérrez Lorenzo, Gerente de Suscripción y Negocio en Telefónica Seguros, y Pilar Rodríguez López, Partner en DAC Beachcroft, durante el CyberInsurance Day 2025, ha arrojado luz sobre las implicaciones técnicas y regulatorias de este tipo de amenazas, así como sobre las posibles estrategias de mitigación.

### Contexto del Incidente o Vulnerabilidad

El sector asegurador se enfrenta actualmente a ataques coordinados que explotan vulnerabilidades en proveedores críticos y servicios compartidos, afectando simultáneamente a múltiples clientes. Casos recientes como los incidentes de ransomware a gran escala —por ejemplo, el ataque a Kaseya (2021) o la explotación masiva de Microsoft Exchange (CVE-2021-26855 y asociados)— han demostrado la capacidad de los actores maliciosos para desencadenar pérdidas multimillonarias y comprometer la continuidad operativa de numerosas organizaciones en distintos sectores. Esta situación erosiona la capacidad de las aseguradoras para calcular el riesgo agregado y amenaza la viabilidad de los modelos tradicionales de ciberseguro.

### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los ataques sistémicos suelen aprovechar vulnerabilidades de día cero en software ampliamente distribuido o servicios cloud críticos. Ejemplos concretos incluyen:

– **CVE-2021-44228 (Log4Shell):** explotada para comprometer infraestructuras a nivel global mediante ejecución remota de código.
– **CVE-2023-34362 (MOVEit Transfer):** vector de exfiltración de datos en cientos de organizaciones mediante SQLi y acceso no autorizado.

En cuanto a Tácticas, Técnicas y Procedimientos (TTP) según el framework MITRE ATT&CK, los atacantes suelen emplear:

– **Initial Access:** explotación de vulnerabilidades en aplicaciones públicas (T1190).
– **Lateral Movement:** uso de herramientas legítimas o malware (Cobalt Strike, Metasploit) para escalar privilegios y propagarse.
– **Data Exfiltration:** canales cifrados y técnicas de living-off-the-land para evitar detección.

Indicadores de compromiso (IoC) típicos incluyen conexiones a C2, artefactos de malware personalizados y modificaciones en el registro o en servicios críticos del sistema.

### Impacto y Riesgos

El impacto de los ciberataques sistémicos es considerable y afecta a:

– **Empresas aseguradas:** interrupciones operativas, pérdida de datos, costes de recuperación y sanciones regulatorias (especialmente bajo GDPR y NIS2).
– **Aseguradoras:** exposición a reclamaciones masivas que pueden superar la capacidad de reaseguro, poniendo en riesgo la solvencia del sector.
– **Sector público y servicios críticos:** potenciales efectos cascada en infraestructuras esenciales (salud, energía, transporte).

Según estimaciones de la industria, los incidentes sistémicos pueden representar hasta el 40% del total de las reclamaciones por ciberseguro, con pérdidas agregadas que superan los 5.000 millones de euros anuales a nivel europeo.

### Medidas de Mitigación y Recomendaciones

Para reducir el riesgo sistémico, los expertos recomiendan:

– **Segmentación de coberturas:** limitar la exposición a incidentes masivos mediante exclusiones o sublímites para ataques sistémicos.
– **Modelos de coaseguro y reaseguro específicos:** crear fondos de contingencia y compartir el riesgo entre múltiples actores.
– **Evaluación continua de proveedores críticos:** monitorización de la cadena de suministro y exigencia de cumplimiento de estándares (ISO 27001, NIST CSF).
– **Simulacros de respuesta coordinada:** ejercicios sectoriales para mejorar la resiliencia y la colaboración público-privada.
– **Inversión en threat intelligence y detección proactiva:** despliegue de soluciones EDR/XDR, honeypots y análisis de amenazas emergentes.

### Opinión de Expertos

Carmen Gutiérrez Lorenzo subrayó la necesidad de evolucionar el modelo de suscripción para incluir análisis de riesgo agregado y límites dinámicos, adaptándose al perfil cambiante de la amenaza. Pilar Rodríguez López, por su parte, destacó la creciente importancia de la colaboración intersectorial y la transparencia en la notificación de incidentes, en línea con los requisitos de la Directiva NIS2 y el RGPD, para prevenir la materialización de riesgos sistémicos.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus pólizas de ciberseguro, clarificando exclusiones relacionadas con incidentes de carácter sistémico y revisando los requisitos de seguridad exigidos por las aseguradoras. El cumplimiento normativo (GDPR, NIS2) y la gestión de riesgos de terceros adquieren un papel central, así como la necesidad de realizar pruebas periódicas de resiliencia y simulacros de crisis.

Para los usuarios finales, el fortalecimiento de la ciberseguridad de las empresas proveedoras repercute en una mayor protección de sus datos y servicios, aunque la posible reducción de coberturas sistémicas puede limitar las compensaciones ante incidentes masivos.

### Conclusiones

El riesgo sistémico representa uno de los mayores desafíos para el sector de los ciberseguros en 2025. La sofisticación y el alcance de los ciberataques requieren una revisión profunda de los modelos de cobertura, una mayor coordinación entre aseguradoras, empresas y reguladores, y una apuesta decidida por la prevención y la resiliencia. El futuro del ciberseguro dependerá de la capacidad del sector para equilibrar la protección del asegurado con la protección del sistema en su conjunto.

(Fuente: www.cybersecuritynews.es)