· Jonathan Izquierdo · Peritaje Judicial ·
Informe pericial informatico para seguros: siniestros cyber y reclamaciones 2026
El mercado de ciberseguros en Espana crece un 30% anual. Explico como preparar el informe pericial que necesitas para activar tu poliza cyber y recuperar la indemnizacion.
El mercado de ciberseguros en España crece un 30% anual y ya mueve más de 500 millones de euros en primas. El dato es de Swiss Re y MAPFRE, que coinciden en que 2026 será el año en el que la mayoria de PYMEs españolas contrate por primera vez una poliza cyber. Cada vez más aseguradoras me llaman directamente para que actue como perito independiente en siniestros cyber, y lo que veo, una y otra vez, es que la mayoria de empresas no sabe que necesita un informe pericial hasta que la aseguradora se lo pide y el plazo ya corre en su contra.
He visto a empresas perder coberturas de 200.000 euros por no preservar la evidencia correctamente. He visto a PYMEs aceptar ofertas de 40.000 euros cuando les correspondian 180.000. Y he visto a aseguradoras denegar reclamaciones enteras porque el informe que les presentaron no incluia una seccion que, para el gestor de siniestros, es obligatoria.
Este artículo es la guía que envio a mis clientes antes de empezar un peritaje de siniestro cyber. Lo que funciona, lo que no, y los errores que he visto provocar denegaciones de cobertura por decenas de miles de euros. Es la guía más completa que vas a encontrar en español sobre este tema, porque no existe un manual equivalente: las aseguradoras no publican sus criterios internos de evaluación, y los peritajes de siniestros cyber son una especialidad que pocos peritos informáticos dominan en España.
Si eres abogado representando a una empresa en una reclamación de siniestro cyber, si eres el responsable de IT de una PYME que acaba de sufrir un ataque, o si eres un corredor de seguros que necesita entender que ocurre después de la contratación de la poliza, esta guía te va a ahorrar tiempo, dinero y frustracion. Los conceptos son los mismos independientemente de la aseguradora o el tipo de siniestro: la clave siempre es documentar, cuantificar y presentar antes de que lo haga la otra parte.
Mi consejo más importante: contrata al perito ANTES de contactar a la aseguradora. Una vez que notificas el siniestro, la compañía enviara su propio perito y el reloj de plazos empieza a correr. Si ya tienes tu informe avanzado o completado, negociaras desde una posición de fuerza. Si no, iras siempre detras de los plazos que marca la aseguradora.
Resumen rápido
- El informe pericial informático es obligatorio en la mayoria de polizas cyber para activar la cobertura por siniestro.
- Debe incluir cronologia forense, causa raiz, cuantificacion económica e impacto en protección de datos.
- El perito del asegurado y el perito de la aseguradora tienen intereses distintos: contratar tu propio perito antes de notificar el siniestro es clave.
- Coste habitual: 1.500 a 5.000 euros, frecuentemente cubierto por la propia poliza.
- Errores como la alteracion de evidencia, la notificación tardía o la falta de medidas preventivas documentadas provocan denegaciones.
- Las empresas que presentan informe pericial propio obtienen indemnizaciones entre un 50% y un 300% superiores a la primera oferta de la aseguradora.
- El mercado de ciberseguros en España supera los 500 millones de euros en primás anuales y crece al 30%.
El mercado de ciberseguros en España: cifras y principales aseguradoras
España es el tercer pais europeo con mayor crecimiento en contratación de ciberseguros, solo por detras de Alemania y Francia. Según datos de Swiss Re (Global Cyber Insurance Report 2025), el mercado mundial de primás cyber alcanzo los 14.000 millones de dolares en 2025 y se proyecta a 29.000 millones en 2028. En España, el mercado de primás cyber supero los 500 millones de euros en 2025, con un crecimiento interanual del 30% sostenido desde 2022 (ICEA, Informe sobre el seguro de ciberriesgos 2025).
Lo que he notado en los últimos 12 meses es un cambio de perfil en los clientes que me contactan. Antes eran casí exclusivamente empresas grandes con departamento de IT propio. Ahora recibo consultas de despachos de abogados con 10 empleados, clinicas dentales, empresas de transporte, gestorias. La razón es simple: las aseguradoras estan vendiendo polizas cyber a empresas que nunca habian pensado en ciberseguridad, y cuando llega el siniestro, nadie sabe como activar la cobertura.
Las primás anuales para PYMEs arrancan desde 600 euros anuales con coberturas de 50.000 euros, y pueden llegar hasta 25.000 euros anuales para coberturas de 5 millones en empresas medianas. La tendencia es clara: cada vez más empresas contratan, pero pocas entienden las condiciones reales de la poliza hasta que necesitan activarla.
Principales aseguradoras cyber en España
El mercado español de ciberseguros esta dominado por un grupo reducido de compañías que ofrecen productos diferenciados. Conocer sus particularidades es relevante porque cada aseguradora tiene sus propios criterios de evaluación de siniestros, sus propios formularios y sus propios equipos de peritos. Tras haber trabajado con la mayoria de ellas, puedo compartir lo que he observado desde dentro:
MAPFRE (Ciber On) - Coberturas de 50.000 a 1.000.000 EUR. Orientada a PYMEs y grandes empresas españolas. Tiene equipo de siniestros interno y exige informe detallado con causa raiz. Trabaja con un panel de proveedores propio para respuesta a incidentes. Mi experiencia: son rigurosos en la evaluación pero razonables en la negociación si el informe es solido.
Zurich (Cyber Security) - Coberturas de 100.000 a 5.000.000 EUR. Orientada a medianas y grandes empresas. El cuestionario de suscripción es exhaustivo y la aseguradora es rigurosa en verificar que las medidas declaradas son reales. Mi experiencia: la verificación post-siniestro es muy detallada. No dejes huecos entre lo que declaraste y la realidad.
AXA (Cyber Protect) - Coberturas de 50.000 a 2.000.000 EUR. Producto accesible para PYMEs y profesionales, con primás desde 600 EUR/año. Tiempos de respuesta rápidos en siniestros menores. Mi experiencia: buen producto para PYMEs, pero los sublimites pueden ser ajustados en coberturas básicas.
Hiscox (CyberClear) - Coberturas de 100.000 a 5.000.000 EUR. Especialista en cyber, orientada a empresas tecnologicas y profesionales. Proceso de siniestros más agil que las generalistas. Mi experiencia: aceptan informes de perito del asegurado con mayor facilidad que otras compañías. Es la aseguradora con la que he tenido las negociaciones más eficientes.
Beazley (Breach Response) - Coberturas de 250.000 a 10.000.000 EUR. Referencia mundial en cyber insurance, orientada a grandes corporaciones y mid-market. Panel internacional de peritos. Mi experiencia: documentación en ingles aceptada, lo que facilita los casos transfronterizos.
Chubb (Cyber Enterprise Risk) - Coberturas de 500.000 a 25.000.000 EUR. Grandes corporaciones. Coberturas amplias pero exclusiones muy detalladas. Mi experiencia: proceso de siniestros largo y exigente, pero las indemnizaciones finales suelen ser justas si el informe es completo.
Markel (CyberFlex) - Coberturas de 50.000 a 1.000.000 EUR. PYMEs y startups. Producto flexible con buen equilibrio cobertura-precio. Mi experiencia: panel de respuesta a incidentes con SLA de 4 horas, lo que acelera la contencion.
Berkley (Cyber Guard) - Coberturas de 100.000 a 3.000.000 EUR. Industria y servicios. Fuerte en cobertura de lucro cesante. Mi experiencia: exigen evidencia muy detallada de los días de parada y la facturacion pérdida, pero si la documentas bien, pagan.
Datos clave del mercado español
Estos son los datos que contextualizan por que el mercado de ciberseguros crece tan rápido y por que el informe pericial se ha convertido en una pieza esencial:
INCIBE gestiono 83.517 incidentes en 2024, un 26% más que el año anterior.
El 57% de las PYMEs españolas que sufrieron ransomware en 2025 no recuperaron todos sus datos aunque pagaran el rescate (Veeam Data Protection Report 2025).
El coste medio de una brecha de datos en España es de 3,56 millones de euros (IBM Cost of a Data Breach 2025).
Solo el 18% de las PYMEs españolas tenia un ciberseguro activo en 2024 (Camara de Comercio de España).
El 72% de las reclamaciones de siniestros cyber en Europa se resuelven con alguna reduccion sobre la cobertura contratada (Marsh Cyber Claims Report 2025). Es decir, incluso cuando la aseguradora paga, rara vez paga el 100%.
España es el sexto pais del mundo en ataques de ransomware, con 164 ataques documentados en 2025 (Thales Cyber Threat Report 2025).
El 73% de las empresas españolas que sufrieron un siniestro cyber y tenian poliza tardaron más de 3 meses en cobrar la indemnizacion (UNESPA, Estudio de siniestralidad cyber 2025).
El tiempo medio de cifrado en un ataque de ransomware es de 3 horas, pero el tiempo medio de detección es de 72 horas. Esa brecha temporal es la que el informe pericial debe documentar con precision.
La conclusión es clara: el mercado crece, los siniestros crecen, y las aseguradoras son cada vez más exigentes con la documentación que piden para activar las coberturas. El problema es que contratar la poliza es solo el principio. Cuando llega el siniestro, la aseguradora exige pruebas. Y esas pruebas son, en la práctica, un informe pericial informático.
10 tipos de incidentes cubiertos por polizas cyber
No todos los incidentes activan la poliza, y no todos los siniestros requieren el mismo nivel de informe pericial. La clave esta en entender que la aseguradora necesita respuestas concretas a preguntas muy específicas: que paso exactamente, cuando paso, por que paso, cuanto ha costado y que se ha hecho para que no vuelva a pasar.
En los siniestros que he peritado, estos son los 10 tipos de incidentes que cubren las polizas cyber con mayor frecuencia. Para cada uno, detallo que cubre la poliza, que debe documentar el perito, y la cuantia típica de reclamación que he visto en España:
1. Ransomware
Que cubre la poliza: respuesta a incidentes, pago del rescate (en algunas polizas y con autorización previa), lucro cesante por interrupcion del negocio, costes de restauracion de datos y sistemas.
Que documenta el perito: vector de entrada exacto (phishing, RDP expuesto, vulnerabilidad explotada), timeline completo desde el acceso inicial hasta el cifrado, movimiento lateral por la red, exfiltración de datos previa al cifrado (doble extorsion), días reales de parada operativa, eficacia de los backups.
Cuantia típica: 50.000 - 500.000 EUR.
2. Fraude BEC (Business Email Compromise)
Que cubre la poliza: pérdida financiera directa por transferencia fraudulenta, gastos de investigación forense, gastos de recuperación de fondos.
Que documenta el perito: análisis de cabeceras SMTP del email fraudulento, trazabilidad de la suplantacion (spoofing, compromiso de cuenta, dominio similar), descarte de complicidad o negligencia interna, identificación de las cuentas receptoras.
Cuantia típica: 20.000 - 300.000 EUR.
3. Brecha de datos personales
Que cubre la poliza: costes de notificación a la AEPD y a los afectados, defensa jurídica ante procedimientos sancionadores, responsabilidad civil frente a terceros, monitorizacion de credito para afectados.
Que documenta el perito: volumen exacto de registros afectados, clasificacion por tipo y sensibilidad de datos, causa raiz técnica de la brecha, evaluación del cumplimiento RGPD previo al incidente, medidas de mitigación aplicadas.
Cuantia típica: 30.000 - 2.000.000 EUR.
4. DDoS (denegacion de servicio distribuido)
Que cubre la poliza: lucro cesante durante la interrupcion, costes de mitigación (servicios anti-DDoS de emergencia), costes de infraestructura adicional.
Que documenta el perito: duracion real del ataque con precision horaria, volumetria y tipo de ataque, impacto en facturacion hora a hora, medidas de mitigación aplicadas y su eficacia, costes documentados de servicios de emergencia.
Cuantia típica: 10.000 - 200.000 EUR.
5. Amenaza interna (insider threat)
Que cubre la poliza: investigación forense, pérdida financiera causada por el empleado, defensa jurídica en procedimientos laborales y penales.
Que documenta el perito: identificación del responsable mediante análisis de logs de acceso, trazabilidad completa de la exfiltración o sabotaje, preservación de evidencia con cadena de custodía para via penal, evaluación de controles de acceso previos.
Cuantia típica: 25.000 - 400.000 EUR.
6. Ingenieria social (vishing, smishing, pretexting)
Que cubre la poliza: pérdida financiera por engaño, gastos de investigación. Atencion: muchas polizas tienen sublimites específicos para ingenieria social muy inferiores a la cobertura principal.
Que documenta el perito: reconstruccion del engaño paso a paso, canales utilizados (teléfono, email, SMS, redes sociales), descarte de complicidad interna, análisis de los procedimientos internos de verificación.
Cuantia típica: 15.000 - 250.000 EUR.
7. Fallo de sistemás (system failure)
Que cubre la poliza: lucro cesante por interrupcion no maliciosa, costes de restauracion. No todas las polizas cubren fallos no maliciosos; depende del producto.
Que documenta el perito: causa raiz del fallo (error de configuración, fallo hardware, actualizacion defectuosa), tiempo real de inactividad, impacto en operaciones, configuración y mantenimiento previo del sistema.
Cuantia típica: 10.000 - 150.000 EUR.
8. Caida de proveedor cloud
Que cubre la poliza: lucro cesante, costes de migracion de emergencia a proveedor alternativo, costes de recuperación de datos.
Que documenta el perito: verificación de los SLA del proveedor y su cumplimiento, tiempo real de indisponibilidad, medidas de redundancia contratadas por el asegurado, impacto cuantificado en operaciones propias.
Cuantia típica: 20.000 - 300.000 EUR.
9. Robo de propiedad intelectual
Que cubre la poliza: investigación forense, defensa jurídica, daños y perjuicios si hay responsabilidad del asegurado frente a terceros.
Que documenta el perito: identificación del vector de exfiltración, cuantificacion del valor de la propiedad intelectual robada, trazabilidad del acceso no autorizado, evaluación de las medidas de protección de la IP previas al incidente.
Cuantia típica: 50.000 - 1.000.000 EUR.
10. Sanciones regulatorias (AEPD, CNMV)
Que cubre la poliza: defensa jurídica ante el regulador, gastos de compliance de emergencia, multas en algunas polizas (aunque esto es controversial y no todas las jurisdicciones lo permiten).
Que documenta el perito: grado de cumplimiento previo al incidente, evaluación técnica de la brecha que motivo el procedimiento sancionador, medidas correctoras implementadas, calculo de atenuantes aplicables.
Cuantia típica: 30.000 - 500.000 EUR.
Consideraciones transversales
Un detalle que he aprendido con la experiencia: las polizas suelen tener sublimites por tipo de cobertura. Una poliza de 500.000 euros puede tener un sublimite de 100.000 para ransomware, otro de 50.000 para gastos de notificación AEPD y otro de 200.000 para lucro cesante. Conocer estos sublimites antes de preparar el informe permite orientar la cuantificacion hacia las partidas con mayor cobertura disponible. No se trata de inflar cifras, sino de clasificar correctamente los gastos para que encajen en las coberturas donde hay margen.
En mi experiencia, los siniestros que generan mayor conflicto entre asegurado y aseguradora son los de ingenieria social y amenaza interna, porque la linea entre lo cubierto y lo excluido es más difusa. Un CEO que transfiere 150.000 euros a una cuenta fraudulenta porque recibio un email que parecia de su proveedor habitual: es fraude externo cubierto o es un error humaño excluido? El informe pericial es lo que determina de que lado de la linea cae el siniestro.
Otro aspecto que cada vez es más relevante: la doble extorsion en ransomware. El atacante no solo cifra los datos, sino que los exfiltra previamente y amenaza con publicarlos. Esto activa coberturas adicionales de brecha de datos y puede multiplicar la cuantia de la reclamación. Mi informe siempre investiga si hubo exfiltración aunque el ransomware sea el incidente principal, porque esa exfiltración puede representar una parte significativa de la indemnizacion total.
Que debe contener el informe pericial para que la aseguradora lo acepte
He visto informes rechazados por aseguradoras porque les faltaba una seccion crítica o porque la cuantificacion económica no estaba suficientemente documentada. No es lo mismo un informe pericial para un juzgado que para una aseguradora: el juez quiere saber que paso y si hay responsabilidad penal; la aseguradora quiere saber si el siniestro encaja en la poliza y cuanto cuesta exactamente.
Despues de decenas de peritajes para siniestros cyber, este es el esquema que funciona:
Resumen ejecutivo para no técnicos - Esta seccion va dirigida al gestor de siniestros de la aseguradora, que es un profesional del seguro, no de la informática. Debe explicar en una página que ocurrio, cuando, que se ha perdido y cuanto cuesta. Sin jerga técnica. Es la seccion más leida del informe y la que determina si el gestor abre expediente de indemnizacion o de investigación adicional. Yo la redacto al final pero la coloco al principio.
Cronologia forense del incidente - Timeline minuto a minuto si es posible, o hora a hora como mínimo. Cuando se produjo el acceso inicial, cuando se movio el atacante lateralmente, cuando se detecto, cuando se contuvo, cuando se restauraron las operaciones. La aseguradora usara esta cronologia para calcular el lucro cesante (horas de parada) y para evaluar si la respuesta fue diligente. Un retraso injustificado en la detección o la contencion puede reducir la indemnizacion.
Análisis de causa raiz - Vector de entrada exacto: phishing dirigido, vulnerabilidad CVE explotada, credenciales comprometidas en filtracion previa, acceso físico no autorizado. Sin causa raiz técnica documentada, no hay informe válido. La aseguradora necesita la causa raiz para determinar si aplica alguna exclusion y para evaluar si las medidas de seguridad declaradas en el cuestionario de suscripción eran reales.
Sistemás y datos afectados - Inventario completo: que servidores, que estaciones de trabajo, que bases de datos, que aplicaciones, que datos personales. Para cada sistema, estado antes y después del incidente. Esta seccion alimenta directamente la cuantificacion económica y la evaluación de impacto RGPD.
Cuantificacion del impacto económico - Desglose en: costes directos (respuesta al incidente, restauracion, equipos sustituidos), lucro cesante (facturacion diaria medía x días de parada, con soporte documental), costes de oportunidad (contratos perdidos, clientes que se fueron), costes de personal (horas extras, personal externo), y costes regulatorios (notificación AEPD, asesoria jurídica, posibles sanciones). Cada cifra con su factura, contrato o documento de soporte.
Evaluación de cumplimiento y medidas preventivas - Que medidas de seguridad existian antes del incidente y si se alineaban con lo declarado en el cuestionario de suscripción de la poliza. Antivirus, backups, MFA, segmentación de red, formación de empleados, politica de contraseñas, gestión de parches. Un buen peritaje no solo lista las medidas, sino que evalua si eran razonables para el tamaño y sector de la empresa.
Medidas de mitigación aplicadas - Que se hizo para contener el incidente durante la crisis y que se ha implementado después para evitar recurrencia. Demuestra diligencia post-incidente, que es un factor que las aseguradoras valoran positivamente.
Recomendaciones de prevención - Acciones específicas para evitar que el mismo tipo de incidente se repita. Aunque no afecta directamente a la indemnizacion del siniestro actual, las aseguradoras valoran que el asegurado tome medidas correctoras, especialmente de cara a la renovacion de la poliza.
Conclusiones y anexos técnicos - Resumen de hallazgos, imagenes forenses con hash SHA-256 verificado, logs relevantes, cadena de custodía documentada, certificados de herramientas utilizadas, curriculum del perito. Los anexos dan solidez técnica al informe y previenen cuestionamientos metodologicos.
Diferencias entre el informe para aseguradora y el informe forense estandar
Una confusion frecuente: el informe pericial para una aseguradora no es identico al informe forense estandar para un juzgado. Tienen diferencias significativas que, si no se entienden, pueden causar que la aseguradora solicite información adicional que retrase el proceso semanas:
| Aspecto | Informe forense judicial | Informe para aseguradora |
|---|---|---|
| Audiencia principal | Juez, fiscal, abogados | Gestor de siniestros, ajustador, perito de la aseguradora |
| Enfoque | Determinar hechos y responsabilidades | Determinar cobertura y cuantificar daño económico |
| Resumen ejecutivo | Opcional, técnico | Obligatorio, no técnico, orientado a la decisión de cobertura |
| Cuantificacion económica | Secundaria | Central, con desglose por partidas de la poliza |
| Evaluación de negligencia | No es competencia del perito | Critica: determina si aplican exclusiones |
| Medidas preventivas | Relevancia limitada | Máxima relevancia: se comparan con el cuestionario |
| Cadena de custodia | Obligatoria con rigor máximo | Necesaria pero con menor exigencia formal |
| Cronologia | Detallada para atribucion | Detallada para calcular periodo de interrupcion |
| Recomendaciones | Opcionales | Esperadas por la aseguradora |
| Formato | Formalista, citando legislación | Flexible, orientado a facilitar la decisión |
El informe debe ser comprensible para un gestor de siniestros que no es técnico, pero con suficiente profundidad técnica para que el perito de la aseguradora no pueda cuestionar la metodología. Ese equilibrio es lo que marca la diferencia entre un informe que activa la cobertura y uno que la retrasa meses.
Un detalle que muchos peritajes omiten y que yo siempre incluyo: la correlación temporal entre el vector de entrada y las medidas de seguridad vigentes. Por ejemplo, si el atacante exploto una vulnerabilidad CVE publicada 3 días antes del ataque, eso demuestra que no hubo negligencia en el parcheo. Si la vulnerabilidad tenia 6 meses, la narrativa cambia. La aseguradora siempre buscara ese dato, y es mejor que lo proporciones tu a que lo descubra su perito.
Otro aspecto crítico es la cuantificacion del lucro cesante. No basta con decir “la empresa estuvo parada 5 días”. Hay que documentar la facturacion medía diaria de los últimos 12 meses, los pedidos perdidos con nombre y apellidos, las penalizaciones contractuales con clientes, y las horas extraordinarias del personal de IT. Cada euro reclamado necesita un documento que lo respalde. Puedes ver más sobre la estructura de un informe pericial profesional.
El perito del asegurado vs el perito de la aseguradora
Aqui es donde la mayoria de empresas cometen su primer error grave: asumir que el perito que envia la aseguradora trabaja para ellos.
No es así. Y entender esta distincion puede significar la diferencia entre recuperar decenas de miles de euros o no recuperar nada.
El perito de la aseguradora: que busca realmente
El perito de la aseguradora tiene un objetivo legítimo pero distinto al tuyo: validar que el siniestro cumple las condiciones de la poliza y que la cuantificacion es ajustada. En la práctica, esto significa que buscara:
Exclusiones aplicables. Si el ataque entro por una vulnerabilidad conocida no parcheada, algunas polizas excluyen la cobertura. El perito de la aseguradora revisara los CVE explotados y verificara si existia parche disponible en el momento del ataque.
Negligencia previa. Si no tenias backups, si el MFA no estaba activado, si los empleados no habian recibido formación. El perito comparara las medidas reales con las declaradas en el cuestionario de suscripción. Si hay discrepancias, esas discrepancias serán la base de una posible denegacion.
Sobrevaloracion del daño. La cuantificacion económica del asegurado siempre será revisada a la baja. El perito de la aseguradora aplicara descuentos por costes que considera no directamente relacionados con el siniestro o por periodos de inactividad que considera excesivos.
Incumplimiento del cuestionario de suscripción. Si en el cuestionario previo a la contratación declaraste que tenias backups y resulta que no, la aseguradora puede cuestionar toda la poliza. Esto es especialmente grave porque puede derivar en anulacion del contrato, no solo en denegacion del siniestro concreto.
Contribucion del asegurado al daño. Si la empresa tardo 5 días en detectar un ataque que podría haberse detectado en horas con las herramientas adecuadas, el perito de la aseguradora argumentara que parte del daño fue evitable y que la indemnizacion debe reducirse proporcionalmente.
He trabajado en los dos lados de esta ecuacion. He sido perito del asegurado en la mayoria de mis encargos, pero también he realizado peritajes por encargo de aseguradoras. Esa doble perspectiva me permite anticipar exactamente que va a buscar el perito contrario y preparar el informe para que esas preguntas ya esten respondidas antes de que las formule.
El perito del asegurado: tu defensa técnica
El perito del asegurado, que es el papel que yo juego en la mayoria de estos encargos, tiene un objetivo complementario: documentar el siniestro de forma técnica, objetiva y completa, asegurando que nada quede fuera del informe. No se trata de inflar la reclamación, sino de que la aseguradora disponga de toda la información para evaluar correctamente la cobertura.
En mi experiencia, las empresas que presentan su propio informe pericial antes de que llegue el perito de la aseguradora obtienen resoluciónes un 40-60% más rápidas y discuten menos sobre la cuantificacion. El motivo es simple: cuando tu informe ya responde todas las preguntas técnicas, el perito de la aseguradora tiene menos que investigar y menos motivos para solicitar información adicional que retrase el proceso.
El mecanismo del tercer perito (artículo 38 Ley de Contrato de Seguro)
Hay un aspecto legal importante que pocos empresarios conocen: el artículo 38 de la Ley de Contrato de Seguro (Ley 50/1980) establece el procedimiento de pericial contradictoria. Este mecanismo es la alternativa a la via judicial y funciona así:
Desacuerdo en la valoración - El asegurado y la aseguradora no se ponen de acuerdo en la cuantificacion del daño. Cada parte nombra un perito propio.
Los peritos confrontan informes - Los dos peritos intercambian sus informes y tratan de llegar a un acuerdo sobre la valoración. Si coinciden, la valoración acordada es vinculante para ambas partes.
Designación del tercer perito - Si los peritos no llegan a acuerdo, se designa un tercer perito como arbitro. Este tercer perito puede ser propuesto de común acuerdo entre las partes o, si no hay acuerdo, designado por el juez de primera instancia del lugar del siniestro.
Dictamen vinculante - El tercer perito emite su dictamen, que es vinculante dentro de los margenes definidos por los dictamenes de los peritos de las partes. Es decir, la valoración del tercer perito no puede ser inferior a la del perito de la aseguradora ni superior a la del perito del asegurado.
Pago o via judicial - Si alguna de las partes no acepta el dictamen del tercer perito, el único recurso es la via judicial ordinaria.
Tener tu propio informe pericial desde el principio te coloca en una posición mucho más solida si el caso llega a pericial contradictoria. He participado en cuatro periciales contradictarias en los últimos dos años, y en tres de ellas el tercer perito se acerco más a la valoración del perito del asegurado que a la del perito de la aseguradora. La razón es consistente: cuando el informe del asegurado es más detallado, mejor documentado y con una cuantificacion más granular, el tercer perito tiene más datos para trabajar y tiende a dar mayor peso a ese informe.
Un dato práctico: el coste de la pericial contradictaria se reparte por mitades entre asegurado y aseguradora. El coste del tercer perito en siniestros cyber de complejidad medía suele estar entre 2.000 y 5.000 euros. Es una fraccion insignificante comparada con las cuantias en juego, que habitualmente superan los 100.000 euros.
Puedo usar al mismo perito que gestiono la respuesta al incidente?
Me preguntan esto con frecuencia. La respuesta es que se puede, pero no es lo ideal. El perito que gestiono la respuesta al incidente puede tener un sesgo involuntario hacia las decisiones que tomo durante la crisis. Un perito independiente que revise la evidencia con perspectiva suele producir un informe más robusto frente a la aseguradora.
Dicho esto, en PYMEs con presupuesto limitado, usar al mismo perito puede ser la opcion más práctica. Lo importante en ese caso es que el perito sea transparente en el informe sobre su doble rol y que documente cualquier decisión tomada durante la respuesta que pudiera haber afectado a la evidencia.
8 razones por las que las aseguradoras deniegan reclamaciones cyber
En los siniestros que he peritado, estos son los errores y circunstancias que he visto provocar denegaciones totales o parciales de cobertura. Cada uno con un caso real que ilustra las consecuencias y las acciones concretas para evitarlo.
1. Notificación fuera de plazo contractual
El problema: la mayoria de polizas cyber exigen notificación del siniestro en un plazo de 24 a 72 horas desde el conocimiento del incidente. Algunas polizas son incluso más restrictivas y exigen notificación “inmediata” sin definir un plazo concreto, lo que genera ambiguedad.
Caso real: una empresa de servicios financieros detecto un acceso no autorizado a su sistema CRM un viernes por la tarde. El responsable de IT considero que era un incidente menor y decidio investigarlo internamente el lunes. El lunes descubrio que habia habido exfiltración de datos de 3.000 clientes. Notifico a la aseguradora el martes, 4 días después de la detección inicial. La aseguradora alego que la notificación fue extemporanea y redujo la indemnizacion un 35%.
Como evitarlo: notificar inmediatamente, aunque no tengas todos los datos. Una notificación provisional es válida y protege tus plazos. La frase que recomiendo a mis clientes: “Notificamos un posible siniestro cyber pendiente de confirmacion y cuantificacion”. Eso abre el expediente sin comprometerte a una valoración que aun no tienes.
2. Vulnerabilidad preexistente no declarada en el cuestionario
El problema: el cuestionario de suscripción de la poliza pregunta por las medidas de seguridad existentes. Si declaraste que tenias backups cifrados y resulta que los backups no estaban cifrados, la aseguradora puede invocar la nulidad del contrato por declaración inexacta del riesgo (artículo 10 de la Ley de Contrato de Seguro).
Caso real: una empresa de comercio electrónico declaro en el cuestionario que tenia “backups diarios automáticos en ubicacion remota”. En realidad, los backups eran semanales y se almacenaban en un disco externo conectado al mismo servidor. Cuando un ransomware cifro el servidor y los backups juntos, la aseguradora argumento que la declaración inexacta habia alterado la valoración del riesgo y denego la cobertura integramente. La reclamación era de 120.000 euros. La empresa perdio todo.
Como evitarlo: rellenar el cuestionario de suscripción con absoluta precision. Si no tienes MFA, no marques que lo tienes. Es preferible pagar una prima ligeramente superior por un perfil de riesgo real que arriesgarte a una denegacion total. Si no estas seguro del estado real de tus medidas de seguridad, pide una auditoria previa a la contratación.
3. Falta de medidas de seguridad básicas (no MFA, no backups)
El problema: las polizas cyber suelen incluir una cláusula de “medidas mínimás de seguridad” que el asegurado debe mantener durante la vigencia del contrato. Las medidas más habituales son: antivirus actualizado, backups regulares, MFA en accesos remotos, formación básica de empleados y gestión de parches críticos.
Caso real: una consultora con 30 empleados sufrio un ataque de ransomware que entro por el RDP expuesto a internet sin MFA. La poliza cyber exigia explicitamente “autenticación multifactor en todos los accesos remotos”. La aseguradora denego los 95.000 euros de reclamación integramente, argumentando incumplimiento de las condiciones de seguridad. La empresa ni siquiera llego a pericial contradictoria porque su abogado le confirmo que la cláusula era clara y el incumplimiento evidente.
Como evitarlo: revisa las cláusulas de seguridad de tu poliza y verifica que las cumples todas. Si no cumples alguna, implementala inmediatamente o notificalo a la aseguradora para que ajuste la poliza. Es mejor una prima más cara que una cobertura nula.
4. Alteracion o destrucción de evidencia digital
El problema: en el panico de las primeras horas tras un ataque, la reacción natural es restaurar los sistemás lo antes posible. Pero si restauras, formateas o reinstalar sin hacer imagen forense previa, destruyes la evidencia que necesitas para la reclamación. Sin evidencia, no hay informe pericial. Sin informe, no hay indemnizacion.
Caso real: una empresa de transporte sufrio ransomware un sabado. El administrador de sistemas, actuando de buena fe, restauro los 6 servidores afectados desde backup durante el fin de semana. El lunes, cuando la empresa notifico el siniestro, la aseguradora pidio imagen forense de los servidores. No existia. Sin evidencia, fue imposible determinar la causa raiz, el alcance real del ataque ni si hubo exfiltración de datos. La aseguradora ofrecio una indemnizacion de 18.000 euros por “costes de restauracion documentados” frente a una reclamación de 95.000 euros que incluia lucro cesante. La empresa acepto porque no tenia evidencia para sostener una cuantia mayor.
Como evitarlo: antes de tocar nada, hacer imagen forense completa. Un análisis forense digital profesional preserva la evidencia antes de cualquier restauracion. La regla es: primero preservar, segundo notificar, tercero restaurar.
5. Preservación tardía de la evidencia
El problema: diferente a la destrucción activa, aquí el problema es la demora. Los logs rotan, los correos se sobreescriben, la memoria RAM se pierde al reiniciar. Cada hora que pasa sin preservar evidencia reduce las posibilidades de un informe pericial completo.
Caso real: una empresa detecto un fraude BEC y perdio 60.000 euros. Notifico a la aseguradora al día siguiente, pero no contacto con un perito hasta 3 semanas después. Para entonces, el servidor de correo habia rotado los logs SMTP del periodo del ataque (retención configurada a 14 días). Sin logs de cabeceras, fue imposible demostrar tecnicamente que el email fue manipulado externamente. La aseguradora aplico la exclusion de “error humaño interno” y denego la cobertura. 60.000 euros perdidos por esperar 3 semanas.
Como evitarlo: preservar la evidencia en las primeras horas. En caso de fraude BEC: exportar los emails originales con cabeceras completas (no reenviarlos, no imprimirlos en PDF, exportarlos en formato .eml o .msg). En caso de ransomware: no apagar los servidores (para preservar la RAM) y hacer imagen forense antes de restaurar.
6. Exclusion de ingenieria social
El problema: muchas polizas cyber tienen exclusiones específicas para siniestros causados por ingenieria social, o los cubren con sublimites muy inferiores a la cobertura principal. Un fraude donde el empleado realizo la transferencia voluntariamente (aunque engañado) puede caer en esta exclusion.
Caso real: el director financiero de una empresa recibio una llamada telefónica de alguien que se identifico como el CEO, pidiendole una transferencia urgente de 85.000 euros a un proveedor “nuevo”. La voz era convincente (posiblemente generada con IA). El director financiero realizo la transferencia siguiendo el protocolo habitual de autorizaciones verbales. La poliza cyber cubria fraude informático hasta 500.000 euros, pero tenia un sublimite de 15.000 euros para “fraude por ingenieria social”. La aseguradora aplico el sublimite. 85.000 euros de pérdida real, 15.000 euros de indemnizacion.
Como evitarlo: revisar las cláusulas de ingenieria social de tu poliza antes de la contratación. Si tu empresa es vulnerable a este tipo de ataques (y todas lo son), negociar un sublimite mayor o buscar una poliza que cubra ingenieria social sin sublimite. Ademas, implementar procedimientos internos de verificación: ninguna transferencia superior a un importe definido debería aprobarse solo con una llamada telefónica o un email.
7. Exclusion de guerra, terrorismo o actos de estado
El problema: las polizas cyber suelen excluir actos de guerra, terrorismo y, cada vez mas, ciberataques atribuidos a estados o grupos patrocinados por estados. Con la proliferacion de grupos hacktivistas pro-rusos, pro-iranies y pro-chinos, esta exclusion se ha convertido en un campo de batalla entre asegurados y aseguradoras.
Caso real: una empresa española sufrio un ataque de ransomware perpetrado por un grupo afiliado a Conti (vinculado a actores rusos). La aseguradora intento aplicar la exclusion de “actos de guerra” argumentando que el grupo operaba bajo directrices del gobierno ruso. El informe pericial demostro que el ataque fue oportunista (no dirigido contra la empresa específicamente), que el vector de entrada fue una vulnerabilidad generica explotada por un kit automatizado, y que no habia evidencia de motivación geopolitica. La aseguradora retiro la alegacion y pago la indemnizacion.
Como evitarlo: el informe pericial debe analizar la atribucion del ataque y distinguir claramente entre ataques dirigidos con motivación estatal y ataques oportunistas realizados por grupos criminales, aunque esos grupos tengan vinculaciones estatales. La atribucion en ciberseguridad es compleja y rara vez definitiva, lo que juega a favor del asegurado si el informe pericial expone esa complejidad correctamente.
8. Exceder los sublimites de la poliza
El problema: las polizas cyber tienen sublimites por tipo de cobertura y por partida de gasto. Es habitual que la reclamación total este dentro de la cobertura principal, pero que alguna partida concreta exceda su sublimite. La aseguradora pagara hasta el sublimite de cada partida, no mas.
Caso real: una empresa presento una reclamación de 280.000 euros desglosada en: 180.000 de lucro cesante, 60.000 de restauracion de sistemás y 40.000 de gastos de notificación y defensa jurídica. La poliza tenia cobertura total de 500.000 euros, pero un sublimite de 100.000 para lucro cesante y otro de 25.000 para gastos legales. La aseguradora pago 185.000 euros en total: 100.000 de lucro cesante (tope del sublimite), 60.000 de restauracion (sin sublimite aplicable) y 25.000 de gastos legales (tope del sublimite). Los 95.000 euros restantes se perdieron por exceso de sublimite.
Como evitarlo: conocer los sublimites antes del siniestro y, si es posible, negociar sublimites más altos en la renovacion. Si ya tienes el siniestro, el peritaje debe clasificar los costes de forma que maximice la cobertura disponible. Por ejemplo, ciertos gastos de restauracion pueden clasificarse como “gastos de investigación forense” si hay sublimite más alto en esa partida. No se trata de maquillar las cifras, sino de clasificar correctamente cada gasto en la partida que le corresponde.
Regla de oro ante un siniestro cyber
Antes de restaurar, formatear, reenviar o mover cualquier cosa: llama a tu perito, llama a tu aseguradora, y no toques nada mas. El orden importa. Primero preservar la evidencia, segundo notificar, tercero restaurar. Invertir ese orden es el error más caro que puedes cometer. Para entender que hacer en las primeras horas, revisa mi guía de análisis forense digital.
5 casos prácticos de reclamaciones de siniestros cyber
Los datos identificativos han sido anonimizados en todos los casos para proteger la confidencialidad de los clientes. Los importes y circunstancias son representativos de siniestros reales que he gestionado.
Caso 1: PYME de logistica recupera 180.000 euros por ransomware
Perfil: empresa de logistica, 45 empleados, corredor del Mediterraneo. Siniestro: ransomware, octubre 2025. Poliza: 250.000 EUR de cobertura (respuesta a incidentes, lucro cesante, RC brecha de datos). Primera oferta aseguradora: 42.000 EUR. Indemnizacion final: 180.000 EUR.
El atacante accedio a traves de una VPN sin MFA, cifro los servidores de gestión de almacen y exfiltro datos de 1.200 clientes. La aseguradora envio su propio equipo de respuesta y, tres semanas después, ofrecio 42.000 euros.
El cliente me contacto porque la cifra no cubria ni el 25% de las pérdidas reales. Esto es lo que hicimos:
Imagen forense completa de los 4 servidores afectados y 12 estaciones de trabajo, antes de que el equipo de la aseguradora terminara su análisis.
Reconstruccion de la cronologia del ataque: el acceso inicial fue 6 días antes del cifrado. Durante esos 6 días, el atacante se movio lateralmente por la red. La aseguradora habia asumido que el ataque duro 1 dia.
Cuantificacion económica detallada: 11 días de parada operativa (no 4 como estimaba la aseguradora), 180 pedidos no procesados con margen medio documentado, 6 empleados dedicados a tiempo completo durante 3 semanas, coste de notificación AEPD y asesoramiento jurídico RGPD.
Evaluación de medidas preventivas: backups diarios verificados, antivirus actualizado, formación en ciberseguridad semestral documentada. La única carencia era la falta de MFA en la VPN, que la empresa ya habia presupuestado implementar en el Q1 2026.
Informe pericial de 47 páginas entregado a la aseguradora con toda la documentación de soporte.
La aseguradora reviso el informe, solicito dos aclaraciones técnicas menores, y en 6 semanas aprobo 180.000 euros: 135.000 de lucro cesante, 28.000 de restauracion, 17.000 de notificación y defensa jurídica.
Claves que marcaron la diferencia:
La cronologia demostro 6 días de movimiento lateral, no 1 día de ataque. Esto triplico el periodo de lucro cesante reconocido.
Los backups diarios documentados demostraron que la empresa tenia medidas preventivas razonables. La falta de MFA era una carencia, pero no negligencia grave porque estaba presupuestada.
La cuantificacion pedido a pedido, con contratos y ordenes de compra, era irrebatible.
La notificación fue en plazo (48 horas) y se preservo la evidencia desde el primer momento.
Coste del peritaje: 3.800 euros, cubierto por la poliza. La empresa no pago nada de su bolsillo y recupero 138.000 euros más de lo que la aseguradora ofrecio inicialmente.
Caso 2: empresa denegada por no tener MFA (95.000 euros perdidos)
Perfil: consultora de ingenieria, 30 empleados. Siniestro: ransomware via RDP sin MFA. Poliza: 200.000 EUR de cobertura. Reclamación: 95.000 EUR. Indemnizacion: 0 EUR (denegacion total).
El atacante accedio con credenciales compradas en un mercado de la dark web, se movio lateralmente durante 48 horas y cifro 3 servidores de producción y el servidor de backups (que estaba en la misma red, sin segmentación).
La poliza exigia “autenticación multifactor en todos los accesos remotos a la red corporativa”. El cuestionario de suscripción, firmado 8 meses antes, declaraba que la empresa tenia MFA implementado. En realidad, el MFA se habia desactivado temporalmente 3 meses antes para resolver un problema de compatibilidad con una aplicación interna, y nunca se reactivo.
Me contactaron después de recibir la denegacion. Revise la documentación y, lamentablemente, tuve que confirmarles que la posición de la aseguradora era solida. La cláusula era clara, el incumplimiento era evidente (el log del servidor RDP mostraba accesos con solo usuario y contraseña), y la declaración inexacta en el cuestionario agravaba la situación.
Leccion: una medida de seguridad desactivada “temporalmente” puede costarte toda la cobertura. Si desactivas una medida que la poliza exige, notificalo a la aseguradora inmediatamente. Si no puedes mantener la medida, negocia una exclusion o un ajuste de prima, pero no dejes un hueco sin documentar.
Caso 3: disputa resuelta por tercer perito (diferencia de 130.000 euros)
Perfil: empresa de comercio electrónico, 80 empleados. Siniestro: brecha de datos, 45.000 clientes afectados. Poliza: 500.000 EUR de cobertura. Valoración perito asegurado (yo): 210.000 EUR. Valoración perito aseguradora: 80.000 EUR. Valoración tercer perito: 175.000 EUR.
Los datos expuestos incluian nombres, emails, direcciones y los últimos 4 digitos de tarjetas de credito. Mi informe cuantifico: 45.000 euros de notificación y monitorizacion de credito, 80.000 de lucro cesante (3 semanas con e-commerce inactivo), 55.000 de restauracion y hardening, 30.000 de asesoria jurídica y defensa AEPD.
El perito de la aseguradora valoro 80.000 euros, argumentando que la monitorizacion no era necesaria porque no se expusieron números completos de tarjeta, que el lucro cesante se limitaba a 5 días, y que el hardening no era consecuencia directa del siniestro.
Se activo la pericial contradictoria del artículo 38. El tercer perito acepto la monitorizacion de credito (reducida a 6 meses), válido el lucro cesante de 3 semanas con ligera reduccion, y acepto parcialmente los costes de hardening. Resultado: 175.000 euros.
Leccion: la pericial contradictoria funciona. Si tu informe es solido y bien documentado, el tercer perito tiende a posicionarse más cerca de tu valoración. Cada cifra necesita soporte documental irrebatible.
Caso 4: intento de fraude al seguro detectado por la forensia
Perfil: empresa industrial, 60 empleados. Siniestro declarado: ransomware, reclamación de 320.000 EUR. Resultado: denegacion total + acciones legales de la aseguradora.
Este caso es delicado, pero es importante mencionarlo porque ocurre más de lo que la gente cree. La aseguradora me contrato como perito para investigar el siniestro.
El análisis forense revelo inconsistencias graves:
- El ransomware se ejecuto desde una cuenta de administrador local, no desde un acceso externo.
- No habia evidencia de movimiento lateral ni de acceso remoto previo.
- El horario de ejecución coincidio con el horario laboral de un empleado concreto.
- Los logs del firewall no mostraban conexiones entrantes sospechosas en las semanas previas.
- La empresa estaba en dificultades financieras documentadas.
- La poliza cyber se habia contratado solo 3 meses antes del supuesto ataque.
Mi informe concluyo que la evidencia era inconsistente con un ataque externo y compatible con una ejecución interna deliberada. La aseguradora denego la cobertura y, según me informaron posteriormente, inicio acciones legales por fraude.
Leccion: el análisis forense no miente. Los logs, los timestamps, los patrones de acceso cuentan una historia que no se puede fabricar facilmente. Cualquier intento de manipular un siniestro será detectado por un peritaje riguroso. El fraude al seguro es un delito penal (artículo 248 del Código Penal) que puede acarrear penas de 1 a 3 años de prision.
Caso 5: reclamación transfronteriza España-Portugal
Perfil: empresa con sede en Madrid y operaciones logisticas en Lisboa, 120 empleados. Siniestro: ransomware que afecto servidores en ambos paises. Poliza: 750.000 EUR (aseguradora española). Reclamación: 340.000 EUR. Indemnizacion: 295.000 EUR.
La complejidad de este caso radicaba en tres factores:
Primero, la legislación de protección de datos aplicable era diferente (AEPD en España, CNPD en Portugal, aunque ambas bajo el paraguas del RGPD). Los plazos de notificación, los formularios y los criterios de sanción difieren entre autoridades nacionales.
Segundo, los costes laborales y de restauracion eran distintos en cada pais. El lucro cesante en las operaciones portuguesas se calculaba con costes locales, no con costes españoles.
Tercero, la evidencia estaba distribuida en dos jurisdicciones con idiomás diferentes. Los logs de los servidores portugueses estaban en portugues y requerieron análisis específico.
Mi informe cubrio ambas jurisdicciones con secciones separadas para cada pais, una cuantificacion económica diferenciada y un análisis de cumplimiento regulatorio paralelo. La clave fue demostrar que se trataba de un único siniestro (un solo vector de entrada, un solo atacante, una sola campana de ransomware) con impacto en dos paises, para evitar que la aseguradora intentara tratar cada pais como un siniestro separado con franquicias independientes.
La aseguradora acepto 295.000 euros tras una negociación de 8 semanas basada en el informe pericial. La reduccion de 45.000 euros se debio a un sublimite de lucro cesante en las operaciones portuguesas.
Leccion: en empresas con operaciones internacionales, el informe pericial debe cubrir todas las jurisdicciones afectadas y demostrar la unicidad del siniestro. La coordinacion y la coherencia del informe son fundamentales. Si la aseguradora consigue tratar cada jurisdicción como un siniestro separado, aplicara franquicias y sublimites independientes que pueden reducir significativamente la indemnizacion total. El informe pericial es la herramienta que impide esa fragmentacion.
Cuanto cuesta el informe pericial y quien lo paga
Esta es la pregunta que más recibo. La respuesta corta es: entre 1.500 y 5.000 euros en la mayoria de los casos, y frecuentemente lo cubre la propia poliza.
La respuesta larga requiere un desglose por complejidad:
| Complejidad | Alcance típico | Rango de precio | Plazo |
|---|---|---|---|
| Baja | Un equipo afectado, incidente contenido, logs disponibles | 1.500 - 2.500 EUR | 5-10 días |
| Media | Red parcialmente afectada, multiples sistemas, recuperación de evidencia necesaria | 2.500 - 4.000 EUR | 10-20 días |
| Alta | Infraestructura completa comprometida, multiples sedes, exfiltración confirmada, AEPD | 4.000 - 8.000 EUR | 15-30 días |
| Critica | Grupo empresarial, multiples jurisdicciones, datos sensibles, procedimiento judicial paralelo | 8.000 - 15.000+ EUR | 30-60 días |
Los precios incluyen la adquisición forense, el análisis, la redaccion del informe y las aclaraciones posteriores con la aseguradora. No incluyen la ratificación presencial en pericial contradictoria, que se presupuesta aparte (habitualmente entre 500 y 1.500 euros adicionales).
Análisis de retorno de inversion
Muchas empresas dudan en contratar un perito propio porque ven el coste como un gasto adicional en un momento ya de por si estresante. Pero los números hablan por si solos:
| Escenario | Coste peritaje | Oferta inicial | Indemnizacion final | ROI |
|---|---|---|---|---|
| Ransomware PYME (caso 1) | 3.800 EUR | 42.000 EUR | 180.000 EUR | 3.600% |
| BEC fraude email | 2.200 EUR | 0 EUR (denegacion) | 48.000 EUR | 2.100% |
| Brecha datos (caso 3) | 4.500 EUR | 80.000 EUR | 175.000 EUR | 2.100% |
| Ransomware transfronterizo (caso 5) | 6.000 EUR | 110.000 EUR | 295.000 EUR | 3.000% |
En todos los casos que he gestionado, la diferencia entre la primera oferta de la aseguradora y la indemnizacion final tras presentar informe pericial independiente ha superado el coste del peritaje por un factor de 20 a 40 veces. Es, probablemente, la mejor inversion que puede hacer una empresa tras sufrir un siniestro cyber.
Quien paga: la poliza o la empresa
Lo que muchas empresas no saben es que la mayoria de polizas cyber cubren los gastos de investigación forense. Es decir, el coste del informe pericial suele estar incluido en la cobertura. Pero hay un matiz importante: algunas polizas solo cubren al perito que la aseguradora designe, no al que tu elijas.
Recomiendo revisar la cláusula de “libre eleccion de profesionales” de tu poliza antes de que ocurra el siniestro. Si la poliza lo permite, contratar a tu propio perito y luego repercutir el coste a la aseguradora es la mejor estrategia.
Cuando revises tu poliza, busca específicamente estas cláusulas:
Gastos de investigación forense - Cubre el análisis técnico del incidente. Es la cláusula más directa para el informe pericial.
Gastos de gestión de crisis - Incluye consultores externos, comunicación de crisis, y a veces el peritaje. Mas amplia pero con limites por partida.
Gastos de defensa jurídica - Si el siniestro deriva en procedimiento judicial o sancionador (AEPD), el peritaje puede encajar aquí.
Sublimite de investigación - Algunas polizas tienen un sublimite específico para gastos de investigación, separado de la cobertura principal. Verifica que ese sublimite sea suficiente para cubrir un peritaje completo.
En muchas polizas, el peritaje entra dentro de una de estas categorías, pero no siempre en la misma. Saber donde encaja antes del siniestro te ahorra semanas de discusion después.
Desglose detallado del coste del peritaje
Para que entiendas por que un peritaje de complejidad medía cuesta entre 2.500 y 4.000 euros, este es el desglose típico de horas y tareas:
| Fase del peritaje | Horas típicas | Que incluye |
|---|---|---|
| Adquisición forense | 4-8 horas | Desplazamiento, imagen forense de discos y RAM, hash SHA-256, cadena de custodía |
| Recopilación de logs | 2-4 horas | Logs de firewall, Active Directory, servidor email, VPN, cloud, antivirus |
| Análisis forense | 8-16 horas | Timeline del ataque, causa raiz, movimiento lateral, exfiltración, IOCs |
| Cuantificacion económica | 4-8 horas | Revision de facturacion, contratos, pedidos, nominas, facturas proveedores |
| Redaccion del informe | 8-12 horas | Informe estructurado de 30-50 páginas con anexos técnicos |
| Revision y aclaraciones | 2-4 horas | Aclaraciones con aseguradora, revision de contrainforme si lo hay |
| Total | 28-52 horas | A tarifa de 80-120 EUR/hora según especialidad |
Las tarifas de perito informático forense en España oscilan entre 80 y 150 euros por hora según la experiencia del perito, la urgencia del encargo y la complejidad técnica. Un peritaje de emergencia (inicio en 24 horas) puede tener un recargo del 30-50% sobre la tarifa estandar.
Lo que no se incluye en el presupuesto base pero puede ser necesario:
- Desplazamiento fuera de la provincia: se factura aparte (kilometraje + dietas).
- Ratificación en pericial contradictoria: 500-1.500 EUR adicionales por sesion.
- Ampliacion del informe: si la aseguradora solicita análisis de sistemás adicionales no contemplados inicialmente.
- Testificacion judicial: si el caso llega a juicio, la ratificación en sala se presupuesta como partida separada.
Mi recomendación es solicitar un presupuesto cerrado antes de empezar. Yo trabajo con presupuesto cerrado en la mayoria de mis encargos: el cliente sabe exactamente cuanto va a pagar antes de que empiece el peritaje, salvo que el alcance cambie significativamente durante la investigación. Esto es importante porque en un momento de crisis, lo último que necesita una empresa es incertidumbre sobre los costes del peritaje. Un presupuesto cerrado también facilita la justificacion del gasto ante la aseguradora cuando se solicita el reembolso dentro de la cláusula de gastos de investigación forense.
Cronologia típica de una reclamación con informe pericial
Para que tengas una expectativa realista de plazos, esta es la cronologia que veo de forma habitual en los siniestros que perito:
| Fase | Plazo típico | Que ocurre |
|---|---|---|
| Detección del incidente | Dia 0 | La empresa descubre el ataque. Preservación inmediata de evidencia |
| Notificación a la aseguradora | 24-72 horas | Notificación provisional con datos básicos del siniestro |
| Inicio del peritaje forense | Dias 1-3 | Adquisición de imagenes forenses, recopilación de logs, entrevistas |
| Análisis y redaccion | Dias 3-20 | Análisis técnico, reconstruccion del timeline, cuantificacion |
| Entrega del informe | Dias 15-30 | Informe completo con anexos técnicos y documentación de soporte |
| Evaluación aseguradora | Dias 30-60 | La aseguradora revisa, solicita aclaraciones |
| Negociacion | Dias 45-75 | Intercambio de aclaraciones, posible ajuste de cuantias |
| Resolución | Dias 60-120 | Pago de indemnizacion o inicio de pericial contradictoria |
El plazo total desde el siniestro hasta cobrar la indemnizacion suele ser de 2 a 4 meses si el informe pericial es solido. Sin informe, o con un informe incompleto, he visto reclamaciones que se alargan 8-12 meses o que acaban en via judicial.
Lo que más acelera el proceso es tener el informe pericial listo antes de que la aseguradora termine su propia investigación. Cuando ambos informes llegan al gestor de siniestros a la vez, la resolución es mucho más rápida.
Notificación a la AEPD y coordinacion con la reclamación
Un apunte importante sobre la notificación a la AEPD en caso de brecha de datos personales: el RGPD exige notificación en 72 horas si hay riesgo para los derechos de los afectados. Esta notificación es independiente de la reclamación al seguro, pero el informe pericial puede (y debe) servir para ambas. Lo que incluyo en mis informes es una seccion específica sobre el alcance de la brecha de datos que el cliente puede usar directamente para la notificación a la AEPD, ahorrando tiempo y costes duplicados.
Con la entrada en vigor de la NIS2 y su futura transposición al derecho español, las obligaciones de notificación se amplian significativamente. Las entidades esenciales e importantes tendrán que notificar al CSIRT de referencia en 24 horas (alerta temprana) y en 72 horas (notificación completa). El informe pericial que preparamos para la aseguradora se puede adaptar para cumplir con estos requisitos regulatorios simultaneamente.
Como elegir la poliza cyber adecuada: lo que un perito te diria
Antes de hablar de la revision preventiva, quiero compartir lo que he aprendido viendo polizas cyber desde el lado de los siniestros. Las polizas se venden con folletos bonitos, pero lo que importa esta en la letra pequeña. Estos son los aspectos que yo revisaria antes de firmar:
Coberturas reales vs coberturas de marketing. Muchas polizas anuncian “cobertura integral cyber” pero cuando lees las condiciones particulares descubres sublimites que limitan drasticamente la cobertura efectiva. Una poliza de 500.000 euros que tiene sublimites de 50.000 para ransomware, 25.000 para ingenieria social y 30.000 para gastos forenses es, en la práctica, una poliza de 50.000 euros para la mayoria de siniestros reales.
Franquicias y periodos de espera. La franquicia es la cantidad que pagas de tu bolsillo antes de que la aseguradora empiece a cubrir. En polizas cyber, las franquicias oscilan entre 1.000 y 25.000 euros según el producto. Algunas polizas también tienen “periodos de espera” para el lucro cesante: las primeras 8, 12 o 24 horas de parada no se indemnizan. En un ataque de ransomware donde la parada total son 48 horas, un periodo de espera de 24 horas te reduce el lucro cesante a la mitad.
Exclusiones críticas que debes negociar. Las exclusiones más problematicas que he visto en polizas españolas son:
- Exclusion de ingenieria social (o sublimite irrisorio).
- Exclusion de “actos de guerra cibernetica” con definicion ambigua.
- Exclusion de incidentes causados por proveedores externos (supply chain).
- Exclusion de ransomware si se paga el rescate sin autorización previa.
- Exclusion de incidentes que afecten a sistemás no declarados en el cuestionario.
Cada una de estas exclusiones puede dejar sin cobertura un siniestro real y frecuente. Si no puedes eliminarlas, al menos asegurate de entender exactamente que significan y ajusta tus medidas de seguridad para minimizar el riesgo de que apliquen.
Cláusula de libre eleccion de perito. Ya lo he mencionado, pero insisto: la cláusula que te permite elegir a tu propio perito forense (y que la poliza cubra el coste) es una de las más importantes del contrato. Si no la tiene, negociala. Si no la consigues, al menos sabes que tendras que pagar de tu bolsillo al perito del asegurado si quieres maximizar tu indemnizacion.
Revision preventiva de la poliza cyber
Si tu empresa es una PYME y nunca has tenido un siniestro cyber, te recomiendo una revision preventiva de tu poliza con un perito informático. En una sesion de 2-3 horas puedo revisar las coberturas, identificar exclusiones problematicas, verificar que cumples con las condiciones de seguridad del cuestionario de suscripción, y preparar un protocolo de actuación para las primeras horas de un siniestro.
Esa revision preventiva cuesta entre 300 y 600 euros. Es una fraccion de lo que cuesta un peritaje de emergencia, y puede ser la diferencia entre cobrar la indemnizacion completa o no cobrar nada.
Lo que reviso en la auditoria preventiva:
Cuestionario de suscripción vs realidad - Verifico que lo que declaraste a la aseguradora coincide con lo que realmente tienes implementado. Si hay discrepancias, las documentamos y recomendamos corregirlas antes de que ocurra un siniestro.
Coberturas y sublimites - Analizo si las coberturas contratadas son adecuadas para tu perfil de riesgo. Muchas PYMEs tienen polizas infradimensionadas porque contrataron la más barata sin evaluar su exposicion real.
Exclusiones críticas - Identifico las exclusiones que más riesgo te suponen y recomiendo medidas para evitar que apliquen o negociar su eliminación en la renovacion.
Protocolo de primeras horas - Documento un procedimiento claro de que hacer cuando detectes un incidente: a quien llamar, en que orden, que preservar, que no tocar. Este protocolo, impreso y pegado en la pared de la oficina de IT, vale más que cualquier herramienta de ciberseguridad.
Contactos de emergencia - Preparo una lista de contactos: número de siniestros de la aseguradora, perito forense (mi número), abogado especialista, INCIBE (017), Guardía Civil (Grupo de Delitos Telematicos). Cuando llega la crisis, no es momento de buscar teléfonos.
Preguntas frecuentes
Estas son las 10 preguntas que más recibo de empresas, abogados y corredores de seguros sobre el informe pericial en siniestros cyber. Las respuestas estan basadas en mi experiencia directa con decenas de peritajes, no en teoria.
Mi poliza cyber ya incluye servicio de respuesta a incidentes. Necesito además un informe pericial independiente?
El servicio de respuesta a incidentes que ofrece la aseguradora se centra en contener el ataque y restaurar operaciones. No sustituye al informe pericial, que tiene como objetivo documentar el siniestro para la reclamación. Son complementarios: el equipo de respuesta apaga el fuego, el informe pericial documenta los daños para la indemnizacion.
Ademas, el informe del equipo de la aseguradora no necesariamente defendera tus intereses en la cuantificacion económica. En los casos que he gestionado, la diferencia entre la primera oferta de la aseguradora y la indemnizacion final tras presentar informe pericial independiente oscila entre el 50% y el 300% de la oferta inicial.
Cuanto tiempo tengo para presentar el informe pericial tras el siniestro?
Depende de la poliza, pero la mayoria establece un plazo de 30 a 90 días para presentar la documentación completa del siniestro. Lo crítico es la notificación inicial (24-72 horas) y la preservación inmediata de la evidencia. El informe pericial puede completarse después, pero la evidencia debe asegurarse desde el primer momento.
Lo que no puedes hacer es esperar 3 meses para llamar a un perito: para entonces, los logs habrán rotado, los empleados habrán olvidado detalles críticos y la cadena de custodía será cuestionable. Contactar con un perito informático forense en las primeras horas es la mejor inversion que puedes hacer.
La aseguradora puede rechazar mi informe pericial?
Si, si el informe no cumple estandares metodologicos o si la cadena de custodía esta comprometida. Las aseguradoras suelen aceptar informes que sigan la ISO 27037 y que incluyan hashes de verificación de las imagenes forenses.
Lo que no aceptan son informes que carezcan de causa raiz técnica, que no cuantifiquen economicamente el daño o que presenten contradicciones con los logs del sistema. Un informe pericial bien estructurado rara vez es rechazado; lo habitual es que genere preguntas de aclaracion que se resuelven en días.
Si la aseguradora rechaza el informe y no estas de acuerdo, el siguiente paso es la pericial contradictoria del artículo 38 de la Ley de Contrato de Seguro, donde un tercer perito actua como arbitro.
Que pasa si la aseguradora dice que el siniestro no esta cubierto por la poliza?
Es más frecuente de lo que debería. Las polizas cyber tienen exclusiones específicas (actos de guerra, negligencia grave, incumplimiento de medidas de seguridad exigidas) y a veces la aseguradora interpreta una exclusion de forma extensiva.
En estos casos, el informe pericial es tu mejor herramienta para demostrar que el siniestro si encaja en las coberturas contratadas. He tenido casos donde la aseguradora alegaba “falta de medidas de seguridad adecuadas” y nuestro informe demostro que la empresa cumplia con todas las medidas exigidas en el cuestionario de suscripción de la poliza.
La carga de la prueba para aplicar una exclusion recae en la aseguradora, no en el asegurado. Pero sin informe pericial que contradiga su posición, es muy difícil ganar esa discusion.
Puedo contratar el informe pericial después de que la aseguradora haya emitido su resolución?
Si, y de hecho es un escenario habitual. Muchas empresas me contactan después de recibir una oferta de indemnizacion que consideran insuficiente o tras una denegacion de cobertura.
El peritaje sigue siendo posible siempre que se haya preservado la evidencia digital. El problema es que si no se hizo imagen forense en su momento, las posibilidades de un informe completo se reducen significativamente. Por eso siempre insisto: aunque no contrates a tu propio perito inmediatamente, asegurate al menos de preservar toda la evidencia digital desde el primer dia.
Que relación tiene el informe pericial para la aseguradora con la denuncia penal?
Son documentos independientes pero compatibles. El informe para la aseguradora se centra en la cobertura y la cuantificacion económica; la denuncia penal requiere un informe orientado a la identificación del autor y la tipificacion del delito.
En muchos casos, preparo un único informe base y dos versiones derivadas: una para la aseguradora y otra para el juzgado. Esto ahorra costes al cliente y garantiza coherencia entre ambos documentos. Es importante que no haya contradicciones entre lo que presentas a la aseguradora y lo que presentas al juzgado.
Las aseguradoras aceptan informes periciales en formato digital?
Todas las aseguradoras con las que he trabajado aceptan el informe en formato digital (PDF firmado electronicamente). Lo que exigen es que la firma sea cualificada (certificado digital reconocido, no una firma escaneada) y que los anexos técnicos (imagenes forenses, logs) esten referenciados con hash SHA-256 para garantizar su integridad.
No exigen papel, pero si exigen que el informe sea facilmente verificable y que la cadena de custodía digital sea trazable. Yo firmo todos mis informes con certificado digital cualificado de la FNMT y entrego los anexos en un repositorio cifrado con acceso controlado. La aseguradora recibe credenciales de acceso únicas para descargar los anexos, lo que anade una capa de trazabilidad sobre quien accedio a la evidencia y cuando.
Cuanto tarda la aseguradora en resolver después de recibir el informe?
En mi experiencia, entre 3 y 8 semanas si el informe es completo. Las aseguradoras especializadas (Hiscox, Beazley) suelen ser más rápidas (3-4 semanas). Las generalistas (MAPFRE, AXA) pueden tardar 6-8 semanas porque el expediente pasa por más niveles de aprobacion.
Si la aseguradora solicita aclaraciones, el plazo se extiende 2-3 semanas adicionales por cada ronda de preguntas. Un buen informe minimiza las rondas de aclaracion porque anticipa las preguntas que el perito de la aseguradora va a hacer.
Puedo reclamar judicialmente si no estoy de acuerdo con la resolución?
Si, pero antes de ir a la via judicial tienes el mecanismo de la pericial contradictoria (artículo 38 LCS) que es más rápido y barato. Si la pericial contradictoria no resuelve la disputa, puedes acudir a la via judicial ordinaria.
El plazo de prescripcion para reclamar es de 2 años desde la resolución de la aseguradora (artículo 23 LCS). En la via judicial, el informe pericial del asegurado es la pieza central de la demanda.
La NIS2 obliga a tener ciberseguro?
No directamente. La NIS2 (Directiva (UE) 2022/2555) impone obligaciones de ciberseguridad y notificación de incidentes, pero no obliga a contratar una poliza cyber.
Sin embargo, en la práctica, muchas empresas estan contratando ciberseguros como medida complementaria para cumplir con la obligación de “gestión de riesgos” que impone la NIS2. Las sanciones por incumplimiento de la NIS2 pueden alcanzar los 10 millones de euros o el 2% de la facturacion global, lo que hace que el ciberseguro sea, de facto, una necesidad para cualquier entidad esencial o importante.
Ademas, hay un efecto secundario importante: las aseguradoras estan empezando a exigir cumplimiento de la NIS2 como condición de suscripción para empresas en sectores regulados. Si tu empresa esta sujeta a la NIS2 y no cumple, podrias tener problemás no solo con el regulador sino también con tu aseguradora, que podría invocar incumplimiento de las condiciones de la poliza en caso de siniestro.
Preguntas relacionadas
Que es un perito informático judicial y cuando lo necesitas - Guía completa sobre el perito informático forense: funciones, cualificaciones, cuando contratarlo y como trabaja en procedimientos judiciales.
Informes periciales informáticos: estructura, validez y proceso - Detalle de los servicios de informe pericial: que incluye, metodología, plazos y precios según complejidad del caso.
Análisis forense digital: preservación de evidencia y cadena de custodia - Como funciona el análisis forense de sistemas, redes y dispositivos. Herramientas, estandares ISO 27037 y preservación de evidencia.
Ransomware forensics: como recuperar evidencias después de un ataque - Guía técnica para la recuperación de evidencia forense tras un ataque de ransomware. Timeline, herramientas y errores a evitar.
NIS2 España: obligaciones de ciberseguridad para empresas - Que exige la NIS2 a las empresas españolas, plazos de transposición, sanciones y como afecta a tu poliza cyber.
8 razones por las que las PYMEs necesitan un perito informático - Escenarios reales donde un perito informático marca la diferencia para pequeñas y medianas empresas.
Referencias y fuentes
Todas las fuentes citadas en este artículo son publicaciones oficiales de organismos reconocidos, informes de mercado de aseguradoras y consultoras de referencia, y legislación vigente. Los datos de mercado corresponden a los informes más recientes disponibles a fecha de publicacion (marzo 2026). Los casos prácticos estan anonimizados pero son representativos de siniestros reales gestionados en los últimos 18 meses.
- Swiss Re Institute, Global Cyber Insurance Market Report 2025. Publicado noviembre 2025.
- MAPFRE, Informe de mercado ciberseguros España 2025. Publicado enero 2026.
- IBM Security, Cost of a Data Breach Report 2025. Publicado julio 2025.
- INCIBE, Balance de ciberseguridad 2024. Publicado enero 2025.
- Veeam, Data Protection Trends Report 2025. Publicado febrero 2025.
- Camara de Comercio de España, Encuesta de ciberseguridad en PYMEs 2024. Publicado octubre 2024.
- Sophos, State of Ransomware 2025. Publicado mayo 2025.
- AEPD, Guía para la gestión de brechas de datos personales. Actualizada 2025.
- ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence.
- Ley 8/2011 y Real Decreto-ley 12/2018 (transposición NIS), y Directiva (UE) 2022/2555 (NIS2).
- Marsh, European Cyber Claims Report 2025. Publicado marzo 2025.
- Ley 50/1980 de Contrato de Seguro, artículos 10, 23 y 38.
- ICEA, Informe sobre el seguro de ciberriesgos en España 2025. Publicado diciembre 2025.
- Thales, Cyber Threat Intelligence Report 2025. Publicado marzo 2025.
- UNESPA, Estudio de siniestralidad cyber 2025. Publicado noviembre 2025.
- Código Penal, artículos 197 (descubrimiento y revelacion de secretos) y 248 (estafas).
- Reglamento General de Protección de Datos (UE) 2016/679, artículos 33 y 34.
- Hiscox, Cyber Readiness Report 2025. Publicado abril 2025.
Necesitas un informe pericial para tu poliza cyber?
Como perito informático forense, preparo informes periciales que cumplen los requisitos de las principales aseguradoras españolas. Preservación de evidencia, cronologia forense, cuantificacion económica y ratificación en pericial contradictoria si es necesario. Revision preventiva de poliza disponible desde 300 euros.
Más información
