Compliance
ciberseguro
requisitos ciberseguro
MFA

Requisitos del Ciberseguro: Controles Mínimos 2026

Requisitos del ciberseguro en 2026: MFA, EDR, backups, pentest y plan de respuesta. Controles mínimos que exigen las aseguradoras.

Secra6 de julio de 20269 min de lectura

Los requisitos del ciberseguro han cambiado por completo en los últimos tres años. Tras la ola de siniestros por ransomware que disparó la siniestralidad del ramo, las aseguradoras dejaron de vender pólizas contra un simple cuestionario y ahora exigen controles técnicos mínimos verificables antes de emitir cobertura (binding). Si tu organización no acredita esos controles, la propuesta se rechaza, la prima se dispara o, peor aún, el siniestro se deniega por discrepancia entre lo declarado y lo implementado. Esta guía detalla qué piden hoy realmente los suscriptores, qué documentación técnica sirve como evidencia y cómo un pentest o una auditoría reciente se han convertido en la prueba que marca la diferencia.

Qué exigen las aseguradoras antes de emitir la póliza

El cuestionario de suscripción (proposal form) de 2026 ya no pregunta si tienes "antivirus". Pregunta por una lista concreta de controles cuya ausencia es motivo directo de rechazo. Estos son los requisitos mínimos que aparecen de forma casi universal:

  • MFA en todos los accesos críticos: correo electrónico, acceso remoto (VPN, RDP), cuentas privilegiadas y consolas de administración cloud.
  • EDR o XDR desplegado en endpoints y servidores, preferiblemente con monitorización gestionada (SOC o MDR) 24/7.
  • Copias de seguridad offline o inmutables, segregadas del dominio, con restauraciones probadas periódicamente.
  • Gestión de parches con cadencia definida: parcheo de vulnerabilidades críticas en plazos cortos, con prioridad a las del catálogo KEV de CISA (explotadas de forma conocida).
  • Plan de respuesta a incidentes documentado, probado y, en muchos casos, con un retainer de respuesta contratado.
  • Formación y simulacros de phishing periódicos para toda la plantilla.
  • Filtrado de correo y protección antiphishing en la pasarela de email.
  • Evidencia de un pentest o auditoría reciente (habitualmente de los últimos 12 a 24 meses).

El principio de fondo es sencillo: la aseguradora quiere transferir el riesgo residual, no el riesgo derivado de una higiene de seguridad inexistente. Cada control de esta lista reduce la probabilidad o el impacto de los siniestros más caros del ramo (ransomware, business email compromise y filtración de datos).

Checklist de cobertura y cuestionario de suscripción

Antes de sentarte con el bróker, conviene autoevaluar tu postura con la misma lógica que aplicará el suscriptor. La siguiente tabla resume las áreas de control, lo que suele preguntar el cuestionario y la evidencia técnica que respalda cada respuesta.

Área de controlQué pregunta el cuestionarioEvidencia que lo respalda
Autenticación¿MFA en email, VPN, RDP y cuentas admin?Política de IdP, capturas de configuración, informe de cobertura MFA
Endpoint¿EDR/XDR en el 100% de equipos y servidores?Consola EDR, inventario de agentes, cobertura por host
Backups¿Copias inmutables u offline y restauración probada?Registro de pruebas de restauración, arquitectura 3-2-1
Vulnerabilidades¿Cadencia de parcheo y gestión de exposición?Informe de escaneo, SLA de remediación, cobertura KEV
Respuesta¿Plan de IR probado y equipo de respuesta?Playbook de IR, acta del último tabletop, contrato de retainer
Accesos¿PAM, mínimo privilegio y protocolos legacy deshabilitados?Revisión de privilegios, política de PAM
Personas¿Formación y simulacros de phishing?Métricas de campañas, tasa de clic, cobertura de formación
Validación¿Pentest o auditoría en los últimos 12-24 meses?Informe ejecutivo del pentest, plan de remediación cerrado

Este checklist funciona además como mapa de trabajo: cada fila en la que no puedas aportar evidencia es una brecha que la aseguradora penalizará con prima, exclusiones o directamente con un rechazo. Metodologías de análisis de riesgos como la que explicamos en Qué es Magerit ayudan a priorizar qué brechas cerrar primero según su impacto real.

MFA: el requisito que decide la suscripción

Ningún control pesa hoy más en la decisión de suscripción que la autenticación multifactor (MFA). Es el primer filtro y, en la práctica, un requisito eliminatorio. La pregunta ya no es "¿tenéis MFA?", sino "¿dónde exactamente lo tenéis desplegado?". Los suscriptores exigen MFA de forma explícita en cuatro superficies:

  1. Correo electrónico (Microsoft 365, Google Workspace y webmail), origen habitual del business email compromise.
  2. Acceso remoto a la red: cualquier VPN y, muy especialmente, todo acceso RDP, que nunca debe estar expuesto directamente a Internet.
  3. Cuentas privilegiadas y administradores de dominio, incluidas las de servicio cuando es técnicamente viable.
  4. Consolas de administración cloud y accesos a sistemas de gestión.

Además, cada vez más aseguradoras degradan o rechazan el MFA por SMS o llamada de voz por su vulnerabilidad al SIM swapping y al MFA fatigue (bombardeo de notificaciones). La tendencia es exigir métodos resistentes al phishing: FIDO2, passkeys, autenticación basada en certificados o, como mínimo, number matching en las notificaciones push. El motivo técnico es directo: la MFA neutraliza la reutilización de credenciales robadas, el vector que analizamos en Qué es el credential stuffing. Sin MFA, un único volcado de credenciales convierte cualquier acceso remoto en una puerta abierta, precisamente el punto de entrada que precede a la mayoría de despliegues de ransomware descritos en Qué es un ransomware.

Qué NO cubre un ciberseguro

Entender las exclusiones es tan importante como cumplir los requisitos, porque determina cuándo la póliza responde de verdad. Las exclusiones más frecuentes en 2026 son:

  • Sanciones internacionales: ninguna aseguradora paga un rescate a una entidad sancionada (listas OFAC y equivalentes de la UE). Pagar en esos casos es, además, potencialmente ilegal.
  • CVE conocidas sin parchear: si el siniestro explota una vulnerabilidad conocida y disponible de parche desde hace tiempo, la cláusula de "mantenimiento de estándares mínimos" puede activar la denegación.
  • Declaraciones falsas de controles: si en el cuestionario declaraste MFA universal y el forense demuestra que no existía, la aseguradora puede rescindir la póliza por misrepresentation y anular la cobertura de forma retroactiva.
  • Guerra y actos de Estado-nación: las cláusulas de exclusión de guerra revisadas por el mercado de Lloyd's desde 2023 restringen la cobertura de ataques atribuibles a operaciones estatales hostiles.
  • Hechos previos conocidos (prior known / prior acts): incidentes o brechas que ya conocías antes de contratar la póliza.

Por eso la coherencia entre lo declarado y lo implementado es crítica: la mayor causa de denegación no es la falta de cobertura, sino la discrepancia entre el cuestionario y la realidad técnica.

Tipos de ciberseguro: primera y tercera parte

Una póliza de ciber suele combinar dos grandes bloques de cobertura que conviene distinguir:

  • Coberturas de primera parte (first-party): pérdidas propias de la organización. Incluyen interrupción de negocio, restauración de datos y sistemas, gastos forenses, gestión de crisis, costes de notificación y, en muchas pólizas, la extorsión por ransomware.
  • Coberturas de tercera parte (third-party): responsabilidad frente a terceros afectados. Incluyen responsabilidad por privacidad y filtración de datos, defensa jurídica y, donde sea legalmente asegurable, sanciones regulatorias.

El matiz europeo es relevante: en la UE, las multas del RGPD generalmente no son asegurables por razones de orden público, a diferencia de mercados como el estadounidense. Tenlo en cuenta al valorar límites y sublímites.

El ángulo europeo: NIS2 y DORA como evidencia de suscripción

Aquí es donde una empresa europea juega con ventaja frente a los incumbentes del SERP centrados en EE. UU. Los controles que exige el suscriptor se solapan casi por completo con las medidas del artículo 21 de NIS2 y con los requisitos de gestión de riesgo TIC de DORA: MFA, gestión de vulnerabilidades, continuidad, respuesta a incidentes y seguridad de la cadena de suministro.

La consecuencia práctica es doble. Primero, si ya estás avanzando en cumplimiento NIS2 o DORA, gran parte de la evidencia de suscripción ya está generada (gap analysis, política de seguridad, plan de continuidad). Segundo, un informe de pentest o una auditoría de ciberseguridad reciente sirve simultáneamente como evidencia regulatoria y como prueba técnica ante la aseguradora. El mismo esfuerzo cubre dos frentes. Si además quieres saber qué indemniza realmente la póliza y a qué precio, lo desglosamos en qué cubre un seguro de ciberriesgo.

Cómo prepararte con Secra

En Secra posicionamos el pentest y la auditoría como la evidencia técnica que las aseguradoras exigen para emitir o renovar cobertura. Realizamos una evaluación de preparación para el ciberseguro que mapea tu postura real frente al cuestionario de suscripción, identifica las brechas que penalizan la prima y entrega el informe que acredita tus controles.

  • Consultoría GRC: alineamos tu evidencia de suscripción con NIS2 y DORA.
  • Pentesting: el informe reciente que valida tus controles ante el suscriptor.

Preguntas frecuentes

¿Es obligatorio tener MFA para contratar un ciberseguro?

En la práctica, sí. La MFA es un requisito eliminatorio en la mayoría de cuestionarios de suscripción de 2026, exigido de forma explícita en correo, acceso remoto (VPN y RDP), cuentas privilegiadas y consolas cloud. Sin MFA, la propuesta se rechaza o la prima se encarece de forma notable.

¿Sirve un pentest antiguo como evidencia ante la aseguradora?

Depende de la antigüedad. La mayoría de suscriptores piden evidencia de pruebas de seguridad realizadas en los últimos 12 a 24 meses. Un informe más antiguo pierde valor probatorio porque no refleja la exposición actual tras cambios de infraestructura, nuevas vulnerabilidades o CVE recientes.

¿Pueden denegar un siniestro por declarar controles que no tenía?

Sí. Es una de las causas de denegación más frecuentes. Si el análisis forense demuestra que un control declarado en el cuestionario no existía (por ejemplo, MFA universal), la aseguradora puede rescindir la póliza por declaración inexacta (misrepresentation) y anular la cobertura retroactivamente.

¿Cubre el ciberseguro las multas del RGPD en la UE?

Por lo general, no. En la Unión Europea, las sanciones administrativas del RGPD se consideran habitualmente no asegurables por razones de orden público, a diferencia de mercados como el estadounidense. La póliza sí puede cubrir los costes de defensa, forense y notificación asociados a la brecha.

¿Qué diferencia hay entre cobertura de primera y de tercera parte?

La cobertura de primera parte indemniza las pérdidas propias de tu organización (interrupción, restauración, forense, extorsión). La de tercera parte responde por la responsabilidad frente a terceros afectados (responsabilidad por privacidad, defensa jurídica). Una póliza completa suele combinar ambas.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo