Pentesting y seguro de ciberriesgo: qué exigen las aseguradoras en España

Contratar un seguro de ciberriesgo sin haber auditado tu seguridad es cada vez más difícil: las aseguradoras han endurecido sus requisitos tras años de siniestralidad alta en ransomware y fraude del CEO, y piden evidencia técnica concreta antes de emitir una póliza o para aplicar mejores condiciones. Un pentesting reciente no es un trámite burocrático para el seguro — es la prueba que la aseguradora usa para estimar cuánto riesgo estás transfiriendo realmente.

Por qué las aseguradoras piden evidencia técnica antes de asegurar

El mercado de ciberseguros ha pasado de cuestionarios de autoevaluación laxos a procesos de suscripción (underwriting) mucho más estrictos. La razón es puramente actuarial: los siniestros por ransomware y compromiso de credenciales han disparado la ratio de siniestralidad del sector, y las aseguradoras necesitan datos objetivos —no declaraciones del cliente— para tasar el riesgo. MFA en todos los accesos remotos, copias de seguridad aisladas (air-gapped o inmutables), segmentación de red y evidencia de pruebas de seguridad recientes se han convertido en condiciones de acceso al mercado, no en opcionales que mejoran el precio.

Qué evidencia de pentesting suelen exigir (y cuál no sirve)

Las aseguradoras y sus brokers especializados en ciberriesgo suelen pedir: (1) un informe de pentesting con fecha reciente (habitualmente de los últimos 12 meses) sobre los activos críticos —web, red perimetral, Active Directory—; (2) evidencia de que las vulnerabilidades críticas y altas encontradas se han remediado, no solo el informe original; (3) en pólizas de mayor cobertura, un análisis de vulnerabilidades continuo, no solo puntual. Un escaneo automático de vulnerabilidades no suele ser suficiente por sí solo para las coberturas más altas: las aseguradoras distinguen entre un escaneo (que detecta lo conocido) y un pentesting manual (que demuestra explotabilidad real), y valoran más el segundo.

Cómo un pentesting reduce la prima

Más allá de ser un requisito de acceso, un historial de pentesting recurrente con vulnerabilidades remediadas es una de las palancas más directas para reducir la prima: reduce la probabilidad percibida de siniestro, lo que se traduce en mejores condiciones o límites de cobertura más altos al mismo precio. Algunas aseguradoras ofrecen explícitamente descuentos o coberturas ampliadas a cambio de evidencia de pruebas de seguridad periódicas —anuales o semestrales— frente a una auditoría única y antigua.

Qué pasa si sufres un incidente sin haber auditado tu seguridad

El riesgo no es solo el precio: es la cobertura efectiva. Si en el proceso de reclamación tras un incidente la aseguradora determina que declaraste medidas de seguridad que no estaban implementadas —por ejemplo, MFA que en realidad no cubría todos los accesos, o controles que un pentesting habría revelado como inexistentes—, puede invocar la cláusula de declaraciones inexactas para reducir o denegar la indemnización. Un pentesting reciente y su plan de remediación documentado son, en la práctica, la evidencia que te protege tanto en la suscripción como en un eventual siniestro.

FAQ

¿Qué antigüedad máxima acepta una aseguradora para un informe de pentesting?

Depende de la aseguradora y del tamaño de la póliza, pero lo habitual es exigir un informe de los últimos 12 meses. Para pólizas de mayor cobertura o sectores regulados, algunas exigen cadencia anual obligatoria como condición de renovación.

¿Sirve el mismo pentesting para varias aseguradoras o brokers?

Sí, un informe técnico de pentesting con metodología reconocida (OWASP, PTES) y evidencias claras es válido para presentarlo a distintas aseguradoras o brokers durante el proceso de comparación de pólizas — no necesitas repetir la auditoría para cada cotización.