Ciberseguro para pymes: qué te pedirán para aceptarte (y pagar menos)
Las aseguradoras de ciber ya no aceptan “a ciegas”. Te pedirán controles mínimos (MFA, backups, EDR/antivirus, parches, formación) y evidencias. Si los tienes, entras y además pagas menos. Aquí tienes la guía práctica con tablas, checklist y FAQ.
¿Quieres que te envíe el cuestionario tipo y una plantilla de evidencias? Relacionado: Seguros de negocios – OGP
Lo que van a pedirte (sí o sí)
| Control | Qué es | Mínimo aceptable | Impacto en prima |
|---|---|---|---|
| MFA (doble factor) | Segundo paso para entrar | En correo, VPN, panel del proveedor y admin | ↓ Descuento y evita rechazos |
| Backups 3-2-1 | 3 copias, 2 medios, 1 offline/inmutable | Copia diaria, prueba de restauración trimestral | ↓ Menos recargo y mejor sublímite de ransomware |
| EDR/Antivirus en endpoints | Detección/aislamiento de malware | En 100% de equipos/servidores críticos | ↓ |
| Parches (Sistemas/apps) | Actualizaciones de seguridad | ≤30 días para críticas | ↓ |
| Formación anti-phishing | Simulaciones + microcursos | 1–2 campañas/año, registro de resultados | ↓ |
| Email seguro | SPF + DKIM + DMARC (quarantine/reject) | Políticas publicadas y monitorizadas | ↓ |
| Gestión de privilegios | Admin solo para quien toque | Cuentas admin separadas; no compartir credenciales | ↓ |
| Plan de respuesta | Pasos y contactos ante incidente | Documento y prueba anual | ↓ |
Sin MFA y sin backups verificados, muchas aseguradoras rechazan o limitan ransomware.
“Semáforo” de aceptación
| Nivel | ¿Qué tienes? | Probabilidad de aceptación | Prima típica |
|---|---|---|---|
| 🔴 Básico insuficiente | Antivirus simple, sin MFA, backups sin probar | Baja (exclusiones fuertes) | Alta/No cotiza |
| 🟠 Minimos | MFA correo/VPN, EDR, backups 3-2-1 probados, parches 30 días | Media-Alta | Media |
| 🟢 Sólido | Todo lo anterior + DMARC en reject, formación con simulaciones, PAM/segregación, logs | Alta | Media-Baja |
Preguntas del cuestionario (que verás casi siempre)
- ¿Tienes MFA en correo, VPN, RDP, panel cloud (M365/Google, proveedores, hosting), y cuentas admin?
- ¿Cómo son tus backups? ¿Tienes copia offline/inmutable y pruebas de restauración documentadas?
- ¿Usas EDR/antivirus en todos los endpoints? ¿Y antimalware en servidores?
- ¿Parcheas vulnerabilidades críticas en ≤30 días? ¿Usas WSUS/Intune o similar?
- ¿Tienes SPF, DKIM y DMARC activos? ¿Filtrado de adjuntos/URL?
- ¿Hay formación anti-phishing y simulaciones anuales?
- ¿Quién es tu proveedor IT y qué SLA tiene para incidentes?
- ¿Guardas logs (365 días) y tienes un plan de respuesta con contactos legales, forense y comunicación?
Evidencias que conviene preparar (te ahorran ida-y-vuelta)
- Capturas de MFA activado (M365/Google/Okta/VPN).
- Informe de backups + acta de restauración superada (último trimestre).
- Listado de endpoints con EDR instalado.
- Política de parcheo + reporte mensual.
- Registro de simulaciones de phishing y formación.
- DNS con SPF/DKIM/DMARC (pantallazo y reporte).
- Plan de respuesta (1–2 páginas) con roles, tiempos y contactos.
Tabla de “controles ⇒ coberturas que mejoran”
| Control implantado | Coberturas donde verás mejora |
|---|---|
| MFA + EDR + parches | Ransomware (menos franquisia, sublímites más altos) |
| Backups probados | Interrupción de negocio (mejores periodos de indemnización) |
| DMARC activo | Ingeniería social / fraude por email (menos recargos, más elegibilidad) |
| Formación + simulaciones | Fraude por transferencia (algunas exigen verificación por doble canal) |
| Plan de respuesta + logs | Gastos forenses/PR (límites y aceptación) |
Checklist exprés (implanta esto y baja prima)
- Activa MFA: correo, VPN/RDP, paneles cloud, admin.
- Backups 3-2-1 con prueba de restauración trimestral.
- EDR en todos los equipos (no solo antivirus básico).
- Parches: ciclo mensual + emergencia para críticas (≤7–30 días).
- SPF + DKIM + DMARC (en quarantine/reject).
- Simulaciones de phishing 2 veces/año.
- Política de pagos: doble verificación por canal alternativo en cambios de IBAN.
- Plan de respuesta de 1–2 páginas (contacto legal, forense, PR, mediador).
BYOD, proveedores y otras preguntas “trampa”
- BYOD (dispositivos personales): exige cifrado, bloqueo y MFA para correo y apps de trabajo.
- Proveedores (ERP, gestoría, facturación): pide DPA (encargado de tratamiento), MFA y notificación de brechas.
- Usuarios privilegiados: cuentas admin separadas; no usar admin para el día a día.
- Correo: filtra adjuntos/URLs y bloquea macros por defecto.
- Vulnerabilidades: valora escaneo trimestral (externo) y corrige findings.
Qué cubre un buen ciber (resumen rápido)
- Respuesta a incidentes (forense, contención, PR).
- Datos personales: notificación a afectados y autoridad, defensa.
- Interrupción de negocio: pérdida de beneficios por caída de sistemas.
- Responsabilidad frente a terceros (clientes/proveedores).
- Fraude por ingeniería social (si lo añades) con requisitos de verificación.
- Multas administrativas: en general no indemnizan, pero sí defensa (lee condiciones).
Errores que hacen perder cobertura
- Decir que tienes MFA y no tenerlo (o solo en algunos).
- Backups que no se pueden restaurar (no probados).
- Parches sin política ni registro.
- No avisar a tiempo del incidente (hay plazos).
- No cumplir procedimientos de verificación en pagos (para fraude).
Preguntas frecuentes
¿Me van a auditar antes de aceptar?
Pueden hacerlo (cuestionario + verificación ligera). Si el capital es alto, a veces hay escaneo externo.
¿Sin MFA me aceptan?
Cada vez menos. Si aceptan, será con exclusiones/sublímites de ransomware y prima alta.
¿Qué es EDR y por qué no vale el antivirus “de siempre”?
El EDR detecta comportamientos maliciosos y puede aislar el equipo; el antivirus clásico solo firma-virus.
¿El fraude por transferencia me lo cubren?
Solo si contratas la extensión y cumples doble verificación de IBAN por canal alternativo.
Enlaces útiles
AEPD – notificación de brechas y modelos de comunicación.
INCIBE – guías para pymes (MFA, copias de seguridad, phishing).
No responses yet