Las aseguradoras de primera línea, aquéllas que suscriben directamente las pólizas, son especialmente vulnerables. El tiempo de inactividad operativa no solo supone una pérdida de ingresos, sino que además puede acarrear sanciones normativas, daños a la reputación y una avalancha de reclamaciones por parte de los asegurados afectados. Aunque pueda parecer contradictorio, esta vulnerabilidad no solo no mejora, sino que a menudo se ve agravada por la naturaleza altamente regulada del sector. Las compañías de seguros deben lidiar con marcos de cumplimiento complejos, a veces contradictorios, al tiempo que se defienden de ciber-amenazas cada vez más sofisticadas. El reto no es simplemente cumplir los requisitos normativos, sino desarrollar una resiliencia genuina que proteja tanto las operaciones comerciales como la confianza de los clientes.
Al igual que en muchos otros sectores, la resiliencia se ha convertido en la piedra angular de las estrategias de ciberseguridad eficaces para las aseguradoras. Es imprescindible reducir los tiempos de recuperación y minimizar el tiempo de inactividad operativa tras un incidente. Por supuesto, esto requiere protocolos sólidos de gestión de crisis y una supervisión exhaustiva de la cadena de suministro de los que carecen muchas organizaciones, lo que genera un mayor riesgo ante la inevitabilidad de un incidente.
Quizás la evolución más significativa en la ciberseguridad del sector asegurador sea el reconocimiento de que el perímetro de seguridad de una organización va mucho más allá de su propia infraestructura. Las cadenas de suministro del sector tienden a ser casi totalmente digitales, enormemente interconectadas e interdependientes, e implican a terceros, cuartos y enésimos, cada uno de los cuales representa una potencial vulnerabilidad.
“La verdadera ciber-resiliencia para las aseguradoras no solo consiste en mitigar internamente el riesgo, sino también en mirar hacia fuera, hacia la cadena de suministro. Para hacer frente a los ciber-incidentes de manera eficaz, las empresas deben elegir proveedores cuya madurez cibernética se ajuste a su apetito de riesgo y asociarse con ellos para crear una estrategia de resiliencia basada en riesgos”.
Dieter Künzli Director Ejecutivo, Forvis Mazars en Suiza
Sin embargo, una evaluación puntual de los proveedores no constituye una gestión de riesgos suficiente. A menudo, por ejemplo, los proveedores de tecnología de rápido crecimiento crecen mediante estrategias de adquisición agresivas, integrando rápidamente a empresas recién adquiridas sin armonizar plenamente los estándares de ciberseguridad. Cuando estos productos integrados contienen vulnerabilidades, exponen a todas las empresas clientes que dependen de ellos, incluidas las aseguradoras. Un proveedor puede haber superado con facilidad los controles de adquisición iniciales pero, ante la falta de una gestión continua del riesgo de terceros, la aseguradora hereda riesgos innecesarios.
“La gestión de riesgos de terceros es fundamental para la resiliencia operativa, ya que una parte de los ataques cada vez mayor proviene ahora de la cadena de suministro. Dado que las aseguradoras dependen de numerosas herramientas digitales, el panorama se vuelve rápidamente más complejo, especialmente cuando los proveedores crecen mediante adquisiciones e integran productos que pueden ser ya vulnerables”.
Ioannis Asaridis Responsable de Servicios de Ciberseguridad, Forvis Mazars en Suiza
Las aseguradoras más grandes están empezando a abordar este asunto mediante evaluaciones de proveedores y requisitos contractuales más rigurosos, pero la gestión de una crisis sigue siendo un punto débil en gran parte del sector. Con demasiada frecuencia, las organizaciones esperan a que se produzca un incidente antes de desarrollar un plan de respuesta integral, momento en el que ya es demasiado tarde.
Este mismo principio también se está manifestando cada vez más en las fusiones y adquisiciones del sector asegurador. El coste de integrar dos organizaciones con niveles y posturas de ciberseguridad dispares puede ser considerable, no solo en términos de correcciones técnicas, sino también en cuanto al cumplimiento normativo y la posible exposición a vulnerabilidades heredadas. Las empresas con visión de futuro están llevando a cabo ahora exhaustivas ciber-evaluaciones, antes de cerrar las transacciones, lo que convierte la madurez cibernética en un factor clave en el valor de las mismas. Pero esta práctica dista mucho de ser universal. El resultado es una brecha cada vez mayor entre los líderes del mercado, que tratan la ciberseguridad como una prioridad estratégica, y los rezagados, que la ven principalmente como un requisito de cumplimiento que hay que marcar en una lista.
En 2026, la regulación suele ser el principal motor de la inversión cibernética y esto no es menos cierto en el sector de los seguros, fuertemente regulado. Más allá de la creciente aparición de legislación y directivas específicas sobre ciberseguridad, en jurisdicciones como Suiza, las regulaciones financieras imponen requisitos estrictos tanto a las aseguradoras como a los bancos y las empresas más pequeñas se ven cada vez más obligadas a cumplir las mismas normas que sus homólogas de mayor tamaño. Esta presión regulatoria impulsa la actividad, lo que hace que la ciberseguridad aparezca con mayor frecuencia en las agendas de los consejos de administración y que se amplíen los programas de cumplimiento.
Sin embargo, la regulación establece estándares mínimos, en lugar de buenas prácticas. Muchas organizaciones tienen dificultades para pasar de enfoques basados en el cumplimiento a estrategias de seguridad genuinamente basadas en riesgos. Parte de este desafío deriva de la dificultad de cuantificar el valor de los programas de ciberseguridad, en ausencia de un incidente grave. Sin una referencia clara o métricas concretas de retorno de la inversión, conseguir la financiación adecuada sigue siendo una ardua tarea.
Aun así, cumplir la normativa no se traduce automáticamente en comprender y gestionar las amenazas reales. Lo primero puede reducir el riesgo de incumplimiento, pero es lo segundo lo que creará una verdadera resiliencia.
Mientras tanto, tecnologías emergentes como la IA presentan tanto oportunidades como retos. La IA apoya cada vez más las operaciones comerciales de las aseguradoras, como el análisis de datos y la gestión de siniestros, pero requiere marcos de gobernanza sólidos que la ciberseguridad basada en el cumplimiento normativo no aborda necesariamente. En particular, dada la naturaleza de los datos protegidos que manejan las aseguradoras, la integración de la IA debe abordarse con la ciberseguridad en primer plano. Dado que el 47% de los ejecutivos espera que la IA ofrezca el mayor retorno de la inversión (ROI) en 2026 y que casi la misma proporción identifica la ciberseguridad como uno de los principales impulsores del ROI, estas dos prioridades ya no pueden tratarse por separado. Un enfoque dual, que amplíe simultáneamente los sistemas de IA y refuerce las prácticas de ciberseguridad, será esencial para acelerar la transformación digital.
Además, la concienciación de la plantilla cobra especial importancia, a medida que se expande la adopción de la IA, ya que no es ningún secreto que los empleados suelen ser la mayor ciber-vulnerabilidad. Cuando se introduce la IA, las aportaciones y la interacción de los empleados se convierten en otra posible vulnerabilidad para las organizaciones que la adoptan.
“Al igual que se forma a la plantilla sobre los correos electrónicos de phishing, debe formarse sobre la IA. La diferencia es que la formación debe ser específica para cada organización, de modo que los usuarios finales comprendan qué datos pueden introducir, cómo validar los resultados de la IA y otros aspectos específicos de cada caso de uso”.
Diman Kamp Director, Forvis Mazars en Países Bajos
Por supuesto, los propios equipos de ciberseguridad también pueden aprovechar la IA, especialmente en casos de uso como los centros de operaciones de seguridad, pero actualmente las empresas más grandes demuestran una mayor madurez a la hora de implementar controles adecuados sobre estas tecnologías.
A medida que avanza el año 2026, el sector de los seguros se enfrenta a un punto de inflexión crítico. La resiliencia operativa —la capacidad de detectar ataques rápidamente, responder de forma eficaz y recuperarse con rapidez— debe convertirse en una capacidad fundamental. Esto requiere inversión en ciberseguridad, no solo en tecnología, sino también en personas, procesos y capacidades de gestión de crisis que abarquen cadenas de suministro complejas.
Es probable que la brecha cada vez mayor entre los líderes en ciberseguridad y los que se quedan atrás tendrá implicaciones comerciales, ya que los clientes, los reguladores y los socios exigen cada vez más pruebas de prácticas de seguridad sólidas. El camino a seguir exige que las aseguradoras vayan más allá del cumplimiento de requisitos básicos y avancen hacia una ciberseguridad genuinamente basada en el riesgo que reconozca la naturaleza interconectada de las operaciones de seguros modernas.
Para un sector basado en la gestión de riesgos, el mensaje es claro: es hora de aplicar ese mismo rigor a la creación de una verdadera ciberresiliencia.
Las aseguradoras almacenan datos sensibles, tramitan reclamaciones de gran valor y dependen de operaciones estrictamente reguladas, lo que las convierte en objetivos atractivos para los ciberdelincuentes que buscan obtener el máximo beneficio.
Las cadenas de suministro digitales implican a muchos proveedores interconectados; sin una supervisión continua, las aseguradoras pueden heredar nuevas vulnerabilidades mucho tiempo después de las comprobaciones realizadas durante la adquisición.
Las aseguradoras utilizan cada vez más la IA para mejorar la detección de amenazas y las operaciones de seguridad, pero su adopción requiere una sólida gobernanza para prevenir nuevos riesgos.
Nuestro último estudio revela un mundo empresarial que está impulsando el cambio, invirtiendo en tecnología y en las personas, y replanteando estrategias para mantenerse a la vanguardia frente a la disrupción y la competencia El éxito ahora depende tanto de la adaptabilidad como de la ambición.
Explora cómo la rápida innovación, las amenazas en constante evolución y los cambios regulatorios darán forma a la ciberseguridad en 2026.
Fortaleciendo las cadenas de suministro digitales y construyendo resiliencia para el crecimiento empresarial
Este sitio web utiliza cookies.
Algunas de ellas son necesarias, mientras que otras nos ayudan a analizar el tráfico, ofrecer publicidad y otorgar experiencias personalizadas para usted.
Para más información sobre las cookies que usamos, por favor consulte nuestra Política de Privacidad.
Este sitio web no puede funcionar correctamente sin estas cookies.
Las cookies analíticas nos ayudan a mejorar nuestro sitio web mediante la recopilación de información sobre su uso.
Utilizamos cookies de marketing para aumentar la relevancia de nuestras campañas publicitarias.