¿Por qué la frecuencia y el monto de las reclamaciones de ciberseguros alcanzaron récords históricos en 2026?
La respuesta es directa: la evolución de las técnicas de ransomware, la persistencia del fraude financiero y el aumento de los costos de litigios de terceros se combinan para que las aseguradoras paguen sumas récord. El informe InsurSec 2026 de At-Bay, que abarca datos de reclamaciones de más de 100.000 años-póliza, describe claramente una realidad cruel: las amenazas cibernéticas ya no son eventos esporádicos, sino riesgos operativos normalizados.
En concreto, la frecuencia general de reclamaciones aumentó un 7% interanual, y el monto promedio por reclamación alcanzó los 221.000 dólares, una cifra sin precedentes. Entre ellas, el monto promedio por ransomware fue de 508.000 dólares, un 16% más que el año anterior, lo que lo convierte en el tipo de incidente más costoso. Aunque los fraudes financieros tienen montos individuales más bajos, su alta frecuencia (aproximadamente el 30% del total de reclamaciones) genera un impacto financiero acumulativo igualmente significativo.
Aún más preocupante es el rápido crecimiento de las reclamaciones relacionadas con litigios. Las demandas colectivas tras filtraciones de datos, las reclamaciones por interrupción de la cadena de suministro de terceros y las multas regulatorias obligan a las aseguradoras a aumentar significativamente las primas o reducir la cobertura. Esto significa que las empresas tendrán que pagar más para obtener una cobertura adecuada de ciberseguro en el futuro, e incluso podrían enfrentar el riesgo de ser rechazadas.
La principal vulnerabilidad de intrusión del ransomware: ¿por qué los servicios de acceso remoto son los favoritos de los hackers?
Los servicios de acceso remoto representaron el 87% de las reclamaciones por ransomware en 2025, de los cuales las vulnerabilidades de VPN constituyeron el 73%. Esta cifra ha aumentado desde el 38% en 2023, lo que muestra que los atacantes han abandonado por completo las técnicas tradicionales de phishing por correo electrónico y se han centrado en atacar directamente los dispositivos de acceso remoto expuestos en Internet.
Según los datos de At-Bay, en 2025 el correo electrónico no generó ninguna reclamación por ransomware. Esto no se debe a que el correo electrónico sea más seguro, sino a que los filtros de seguridad de correo electrónico implementados por las empresas ya son bastante maduros, y los atacantes buscan objetivos más fáciles: dispositivos VPN sin parches de seguridad, servicios de Protocolo de Escritorio Remoto (RDP) y otras herramientas de administración remota.
Aún más impactante es que una de cada tres reclamaciones por ransomware involucra dispositivos SonicWall. Los firewalls y productos VPN de esta empresa son ampliamente utilizados por pymes en todo el mundo, pero la brecha entre la velocidad de parcheo de vulnerabilidades y la disposición de los usuarios a actualizar proporciona a los atacantes una excelente puerta de entrada. Los atacantes no necesitan ingeniería social compleja; solo necesitan escanear dispositivos con vulnerabilidades conocidas en la red para obtener acceso completo a la red en cuestión de horas o incluso minutos.
graph TD
A[Atacante escanea Internet] --> B{Descubre dispositivo VPN expuesto}
B -->|Vulnerabilidad conocida| C[Explota vulnerabilidad e invade]
B -->|Sin vulnerabilidad| D[Se dirige a otros objetivos]
C --> E[Obtiene acceso a la red interna]
E --> F[Se mueve lateralmente y despliega ransomware]
F --> G[Cifra datos y exige rescate]
style A fill:#ff6b6b,color:#fff
style C fill:#f0ad4e,color:#fff
style G fill:#d9534f,color:#fff
La esencia de esta cadena de ataque es la velocidad. Los atacantes ya no necesitan perder tiempo convenciendo a los empleados de que hagan clic en enlaces maliciosos; un solo dispositivo VPN expuesto puede dar acceso directo a los sistemas centrales. Para las empresas, esto significa que la capacitación tradicional de empleados y los filtros de correo electrónico ya no pueden detener esta vía de ataque; deben abordar el problema a nivel de arquitectura de red.
---¿Por qué el ransomware Akira aumentó un 364% en la segunda mitad de 2025? ¿Cómo deben protegerse las empresas?
La frecuencia de ataques de Akira en el tercer y cuarto trimestre de 2025 aumentó un 364%, con una demanda de rescate promedio de 1,2 millones de dólares, y una velocidad de ataque extremadamente rápida: desde la intrusión inicial hasta el despliegue del ransomware, solo horas o incluso minutos. El patrón de ataque de este grupo difiere significativamente del ransomware tradicional, lo que merece una alta vigilancia por parte de las empresas.
El éxito de Akira se basa en tres factores clave. Primero, se enfocan con precisión en dispositivos VPN expuestos, especialmente aquellos sin autenticación multifactor o con vulnerabilidades conocidas. Segundo, su velocidad de ataque es extremadamente rápida, lo que no da tiempo a las empresas para reaccionar. Los ataques de ransomware tradicionales pueden requerir días o semanas de latencia, mientras que Akira a menudo comienza a cifrar archivos en cuestión de horas después de obtener acceso. Tercero, sus demandas de rescate son inusualmente altas, un 50% más que los ataques no Akira en promedio, pero el monto real pagado promedia 452.000 dólares, lo que indica que las víctimas aún tienen margen de negociación.
Es notable que todas las víctimas de Akira que lograron evitar el cifrado de datos tenían implementado un servicio de monitoreo MDR 24/7. Esto no es una coincidencia: los equipos MDR pueden intervenir en el momento en que el atacante comienza a moverse lateralmente o desplegar el ransomware, interrumpiendo la cadena de ataque. Además, dos tercios de los ataques de Akira ocurren durante la noche o los fines de semana, lo que deja a las empresas sin monitoreo las 24 horas prácticamente sin oportunidad de detener el ataque.
sequenceDiagram
participant Atacante as Atacante
participant VPN as Dispositivo VPN
participant RedInterna as Red interna
participant MDR as Centro de monitoreo MDR
Atacante->>VPN: Escanea y explota vulnerabilidad
VPN->>RedInterna: Proporciona acceso
Atacante->>RedInterna: Movimiento lateral y reconocimiento
MDR->>RedInterna: Detecta comportamiento anómalo
MDR->>Atacante: Interrumpe conexión y aísla dispositivo
Note over Atacante,MDR: Sin MDR: el atacante despliega ransomware con éxito
La estrategia de defensa de las empresas debe ser en capas. La primera capa es eliminar inmediatamente todos los dispositivos VPN con vulnerabilidades conocidas y migrar a soluciones de acceso remoto basadas en la nube o SaaS, como Zscaler o Cloudflare Access. La segunda capa es implementar herramientas EDR (detección y respuesta de endpoints) y activar la función de bloqueo automático. Adam Tyra, CISO de At-Bay, afirma directamente: "La mayoría de las empresas compran herramientas EDR pero no se atreven a activar el bloqueo automático. Esto debe cambiar. Quizás no puedas permitirte un servicio MDR profesional, pero definitivamente puedes maximizar el uso de las herramientas que ya has comprado."
---¿Por qué las pymes se han convertido en nuevos objetivos de ataques de ransomware? ¿Qué impacto tiene en el mercado de ciberseguros?
Las empresas con ingresos inferiores a 25 millones de dólares experimentaron un aumento interanual del 21% en la frecuencia de reclamaciones por ransomware en 2025, y el monto promedio de las reclamaciones aumentó un 40% hasta los 422.000 dólares. Estas cifras rompen la percepción tradicional de que “las grandes empresas son el objetivo principal”, mostrando que los atacantes han ampliado su alcance a cada eslabón de la cadena de suministro.
La razón radica en el cambio de tácticas de ataque. Grupos de ransomware como Akira ya no realizan ataques personalizados contra empresas específicas, sino que utilizan escaneos masivos para buscar dispositivos VPN expuestos. Mientras el dispositivo tenga una vulnerabilidad, independientemente del tamaño de la empresa, se convierte en un objetivo. Las pymes suelen carecer de equipos de seguridad dedicados, actualizan lentamente los dispositivos VPN y a menudo no tienen autenticación multifactor, lo que las convierte en presas fáciles.
El impacto en el mercado de ciberseguros es profundo. Antes, las aseguradoras estaban dispuestas a cubrir a las pymes con primas relativamente bajas debido a los montos de reclamación más pequeños. Pero ahora, un monto promedio de reclamación de 422.000 dólares es devastador para empresas con ingresos inferiores a 25 millones de dólares, y también comienza a no ser rentable para las aseguradoras. En el futuro, las aseguradoras podrían tomar las siguientes medidas:
- Aumentar significativamente las primas para las pymes, especialmente aquellas sin MDR o EDR implementados
- Exigir que las empresas demuestren haber parcheado vulnerabilidades específicas (como VPN de SonicWall) para obtener cobertura
- Reducir el alcance de la cobertura, excluyendo ciertos tipos de ataques (como ransomware debido a vulnerabilidades sin parchear)
¿Qué industrias son más susceptibles a los ataques de ransomware? ¿Qué indican las diferencias en los montos de reclamación?
La frecuencia de reclamaciones por ransomware en la industria manufacturera es 2,2 veces el promedio general; el monto promedio de reclamación más alto corresponde al sector tecnológico (875.000 dólares), seguido por el financiero y de seguros (731.000 dólares) y el de atención médica (675.000 dólares). Estas cifras no son aleatorias, sino que reflejan las vulnerabilidades de ciberseguridad de diferentes industrias durante la transformación digital.
| Industria | Frecuencia de reclamaciones (respecto al promedio) | Monto promedio de reclamación (USD) | Principales debilidades |
|---|---|---|---|
| Manufactura | 2,2 veces | - | Convergencia OT/IT, equipos obsoletos, falta de personal de seguridad |
| Tecnología | 1,8 veces | 875.000 | APIs expuestas, entornos de desarrollo, dependencias de terceros |
| Financiero y seguros | 1,5 veces | 731.000 | Datos de alto valor, presión regulatoria, riesgo de proveedores externos |
| Atención médica | 1,3 veces | 675.000 | Equipos médicos obsoletos, alto valor de historiales clínicos, presupuesto limitado |
La manufactura se ha convertido en el objetivo más frecuente debido a la gran exposición de dispositivos de Internet de las Cosas Industrial (IIoT) y tecnología operativa (OT) obsoleta en Internet. Muchos sistemas PLC y SCADA en fábricas aún utilizan métodos de acceso remoto tradicionales, careciendo de autenticación básica y cifrado. Una vez que los atacantes invaden estos sistemas, no solo pueden cifrar datos, sino también afectar directamente las operaciones de producción, obligando a las empresas a pagar rescates.
El sector tecnológico tiene el monto promedio de reclamación más alto, lo que refleja que estas empresas poseen grandes cantidades de propiedad intelectual y datos de clientes de alto valor. Los atacantes saben que las consecuencias de un ransomware en una empresa tecnológica, como pérdidas por interrupción y filtración de datos, son extremadamente graves, por lo que están dispuestos a pagar rescates más altos.
¿Por qué el fraude financiero representa aproximadamente el 30% de las reclamaciones de ciberseguros durante tres años consecutivos? El correo electrónico sigue siendo la principal vía de intrusión
El fraude financiero sigue siendo el tipo de reclamación más común en ciberseguros en 2025, representando aproximadamente el 30% del total de reclamaciones, y el 82% de los fraudes tienen el correo electrónico como punto de entrada inicial. Estos datos indican que, a pesar del aumento continuo de la inversión empresarial en seguridad de correo electrónico, la ingeniería social y el fraude de correo electrónico comercial (BEC) siguen siendo difíciles de erradicar.
La mayor diferencia entre el fraude financiero y el ransomware es que el primero generalmente no requiere habilidades técnicas avanzadas. El atacante solo necesita falsificar un correo que parezca provenir del CEO o CFO, solicitando al departamento de contabilidad que transfiera fondos a una cuenta específica, y puede tener éxito. Esta técnica sigue siendo efectiva porque explota la naturaleza humana: los empleados tienden a obedecer instrucciones de sus superiores, especialmente en situaciones de presión o emergencia.
Es notable que, aunque el monto promedio por reclamación de fraude financiero es menor que el del ransomware, la pérdida total es considerable. Según datos de At-Bay, el monto promedio de reclamación por fraude financiero es de aproximadamente 80.000 a 120.000 dólares, pero debido a su alta frecuencia, el impacto financiero acumulado puede incluso superar al del ransomware.
La estrategia de prevención de las empresas debe abordarse desde dos niveles. Primero, el nivel técnico: exigir autenticación multifactor, implementar procesos de doble confirmación para pagos y desplegar herramientas de detección de anomalías en correos electrónicos impulsadas por IA. Segundo, el nivel humano: realizar simulaciones periódicas de phishing, establecer procedimientos claros de revisión de pagos y capacitar a los empleados para que, incluso si el “jefe” envía un correo urgente solicitando una transferencia, verifiquen a través de otros canales.
Tres tendencias del mercado de ciberseguros en 2026: aumento de primas, endurecimiento de suscripción y cambios en las condiciones de reclamación
El mercado de ciberseguros está experimentando una transformación estructural. En el futuro, las empresas enfrentarán primas más altas, estándares de suscripción más estrictos y más cláusulas de exclusión en las reclamaciones. Esto no es una fluctuación de mercado a corto plazo, sino una tendencia a largo plazo de las aseguradoras para revalorizar el riesgo.
| Tendencia | Impacto en las empresas | Estrategia de respuesta recomendada |
|---|---|---|
| Aumento anual de primas del 20-40% | El costo del ciberseguro como proporción del presupuesto de TI aumenta | Reevaluar el equilibrio entre retención de riesgos y seguro |
| Requisitos de suscripción más estrictos | Deben demostrar la implementación de MDR o EDR para obtener una cotización razonable | Priorizar la inversión en controles de seguridad cuantificables |
| Aumento de cláusulas de exclusión | Los ataques de ransomware por vulnerabilidades sin parchear podrían no ser cubiertos | Establecer un SOP de parcheo de vulnerabilidades y conservar evidencia |
Ahora, las aseguradoras exigen que las empresas proporcionen informes detallados de evaluación de madurez de seguridad, incluyendo si tienen MDR implementado, si la configuración de EDR tiene bloqueo automático activado, si los dispositivos VPN están actualizados a la última versión y si se ha implementado autenticación multifactor. Las empresas que no puedan demostrar la existencia de estos controles podrían enfrentar aumentos significativos de primas o incluso ser rechazadas.
Para las empresas, la estrategia más pragmática es “invertir primero en defensa, luego comprar seguro”. El ciberseguro no debe verse como un sustituto de la inversión en seguridad, sino como la última línea de defensa en una estrategia integral de gestión de riesgos. En lugar de pagar primas elevadas cada año, es mejor destinar el presupuesto primero a servicios MDR, herramientas EDR y procesos de parcheo de vulnerabilidades, para que la aseguradora vea que el riesgo se ha reducido a un nivel aceptable.
FAQ
¿Por qué la frecuencia y el monto de las reclamaciones de ciberseguros alcanzaron récords en 2026?
En 2026, la frecuencia de reclamaciones de ciberseguros aumentó un 7% interanual, y el monto promedio por reclamación alcanzó los 221.000 dólares, un récord histórico. El monto promedio por ransomware fue de 508.000 dólares, un 16% más que el año anterior.
¿Cuál es la principal vía de intrusión en los ataques de ransomware?
Los servicios de acceso remoto representan el 87% de las intrusiones de ransomware, de los cuales las vulnerabilidades de VPN constituyen el 73%. La frecuencia de ataques de ransomware Akira a través de dispositivos VPN aumentó un 364% interanual.
¿Cómo ha cambiado el papel de las pequeñas y medianas empresas en las reclamaciones de ciberseguros?
Las empresas con ingresos inferiores a 25 millones de dólares experimentaron un aumento del 21% en la frecuencia de reclamaciones por ransomware, y el monto promedio de las reclamaciones aumentó un 40% hasta los 422.000 dólares, lo que indica que los atacantes han ampliado su objetivo a las pymes.
¿Cómo pueden las empresas reducir el riesgo de ataques de ransomware?
Deben acelerar la eliminación de dispositivos VPN vulnerables, migrar a soluciones de acceso remoto en la nube o SaaS, implementar monitoreo MDR 24/7 o maximizar el uso de herramientas EDR con bloqueo automático de actividades maliciosas.
¿Cuál es la proporción de fraudes financieros en las reclamaciones de ciberseguros?
Los fraudes financieros representan aproximadamente el 30% de las reclamaciones de ciberseguros por tercer año consecutivo, y el 82% de ellos se originan a través del correo electrónico. Las empresas deben exigir autenticación multifactor y reforzar la capacitación de los empleados.
