Una gran volatilidad conlleva un gran riesgo cibernético. Descubra cómo una combinación de controles de seguridad, seguros contra riesgos cibernéticos y cumplimiento normativo puede ayudar a su organización a gestionar, mitigar y transferir el riesgo cibernético.
Conclusiones clave
- Las organizaciones se mostraron más comprometidas y resilientes en 2024, acercándose a la madurez en ámbitos clave del riesgo cibernético. Sin embargo, estaban menos preparadas en lo que respecta al riesgo de terceros y la resiliencia empresarial.
- Los ataques de ransomware fueron más frecuentes, pero el refuerzo de los controles cibernéticos hizo que su gravedad disminuyera. A nivel mundial, la proporción entre el pago y el importe de la demanda se redujo al 28 %.
- El mercado de los seguros cibernéticos nunca ha sido tan accesible, especialmente para las empresas del mercado medio. La entrada de nuevos participantes y la afluencia de capital nuevo provocaron una bajada de los precios y un gran alcance y escala para las renovaciones.
Aunque persisten las diferencias entre países, Europa se sumó a la tendencia hacia la madurez en materia de ciberseguridad en 2024. El mercado pasó de una normativa centrada en los datos a otra centrada en la resiliencia y en la capacidad de las organizaciones para resistir y recuperarse de los ataques y evitar la interrupción de la actividad empresarial. Fuimos testigos de un aumento en la implementación efectiva de controles de seguridad, particularmente con respecto a la gestión y la recuperación de ataques de ransomware, la maduración del mercado de seguros cibernéticos tanto en capacidad de suscripción como en capacidad de cobertura, y la influencia de los marcos regulatorios en la resiliencia.
En 2024, Europa se vio afectada por importantes ciberincidentes de tipo sistémico y se agudizaron las tensiones geopolíticas, lo que provocó volatilidad y un aumento del riesgo. El Servicio Nacional de Salud del Reino Unido sufrió múltiples ataques a lo largo del año, entre los que destaca el ataque de ransomware perpetrado en junio contra un proveedor de servicios de patología. Esta brecha provocó la cancelación de citas y procedimientos, así como interrupciones en las transfusiones de sangre y los resultados de las pruebas.1 La interrupción de CrowdStrike en julio de 2024 sirvió como un oportuno recordatorio de la gravedad de las pérdidas potenciales asociadas a la interconexión de la cadena de suministro digital. El incidente provocó el colapso de más de 8,5 millones de sistemas, lo que interrumpió las operaciones en todo el mundo durante días y afectó a los vuelos comerciales, los hospitales y los servicios financieros.2
La volatilidad también dio lugar a actores más agresivos y perniciosos, similares a los de los Estados nacionales, ya fuera de forma directa o a través de organismos auxiliares. Las infraestructuras críticas fueron un objetivo clave y, entre enero de 2023 y enero de 2024, las infraestructuras críticas mundiales se enfrentaron a más de 420 millones de ciberataques, es decir, 13 ataques por segundo, con distintos niveles de gravedad.3 Estos ataques se produjeron en todo el mundo, siendo Estados Unidos el país más frecuentemente atacado, seguido del Reino Unido y Alemania.4 A medida que Estados Unidos y China compiten más comercialmente, prevemos un aumento del espionaje de tipo comercial, que probablemente afectará a Europa. Muchas compañías de seguros ya están reaccionando a esta volatilidad.
Los controles técnicos se refuerzan, pero aumenta el riesgo de terceros.
A lo largo del año se observó una base de clientes más comprometida y resistente, a medida que las organizaciones lograban avances significativos en la implementación de controles técnicos y el fortalecimiento de los dominios digitales. Los clientes de Aon en toda Europa obtuvieron una puntuación global de riesgo de Aon —una métrica clave que mide la preparación en seis dominios críticos de la ciberseguridad— de 2,53 sobre 4. Las organizaciones obtuvieron mejores resultados en seguridad de terminales, seguridad de redes y control de acceso, mientras que, como era de esperar, se mostraron menos preparadas para gestionar el riesgo de terceros y la resiliencia empresarial.
Los ataques de ransomware persistieron en toda Europa en 2024. Si bien las medidas policiales de los últimos años para desmantelar los grupos responsables de las amenazas de ransomware desestabilizaron el espacio, también dieron lugar a la aparición de docenas de grupos escindidos.
A medida que aumentaba la frecuencia de los ataques de ransomware, los grupos de atacantes ampliaron sus esfuerzos y se centraron en organizaciones más pequeñas. Sin embargo, la gravedad de los ataques disminuyó, en parte gracias al refuerzo de los controles de ciberseguridad y a la preparación ante el ransomware. A nivel mundial, la proporción entre los pagos y el tamaño de las demandas disminuyó hasta el 28 %, desde el 41 % en 2023, y el importe medio de los pagos por ransomware se redujo en un 77 %. Si bien esta disminución de la gravedad es un panorama prometedor, el aumento de la frecuencia de los incidentes de ransomware hace necesario ofrecer orientación sobre cómo informar y gestionar las notificaciones.
El riesgo de terceros, que se refiere al riesgo potencial de proveedores, vendedores o socios, siguió siendo un reto. Esta puntuación es una llamada a la acción para muchas empresas. Los acontecimientos de 2024 ponen de relieve el impacto potencial que puede tener una infracción de terceros.
Las organizaciones también obtuvieron malos resultados en la gestión de la resiliencia empresarial, incluyendo las copias de seguridad, la respuesta a incidentes y la gestión de la continuidad del negocio. Los ataques de phishing y de ingeniería social aumentaron en un tercio en 2024, lo que representa casi uno de cada cinco de los principales vectores de incidentes cuando se suman al robo de identidad y la piratería de cuentas. La mayoría de los grandes operadores de telecomunicaciones, servicios financieros y comercio electrónico examinados registraron un aumento de los ataques fraudulentos en general, incluidos los robos de identidad y las apropiaciones de cuentas. Como resultado, esperamos que las organizaciones dediquen más tiempo y esfuerzo a la prevención del fraude y a las políticas y procedimientos de resiliencia empresarial con el fin de proteger el entorno en general.
Los seguros cibernéticos y las regulaciones contribuyen a impulsar la madurez
A lo largo de 2024, las regulaciones cibernéticas exigieron que más organizaciones identificaran, evaluaran y mitigaran sus riesgos cibernéticos. La Directiva sobre seguridad de las redes y la información (NIS2) de la Unión Europea amplió las regulaciones a 18 sectores, entre ellos el energético, el transporte, la salud, las finanzas y la infraestructura digital, abarcando tanto a entidades esenciales como importantes dentro de estos sectores. También instó a los Estados miembros de la UE a definir sus estrategias nacionales de ciberseguridad y a colaborar en la reacción y la aplicación transfronterizas. Otra ley de la UE, la Ley de Resiliencia Operativa Digital (DORA), se centra en la ciberseguridad de las instituciones financieras, como bancos, compañías de seguros y empresas de inversión, con el fin de garantizar que el sector financiero europeo sea más resistente en caso de una grave interrupción operativa.
A medida que las organizaciones cumplían con la normativa en 2024, también trabajaban para garantizar los seguros cibernéticos y la suscripción, lo que contribuyó a impulsar la ciberseguridad. Al mismo tiempo, las compañías de seguros experimentaron una mayor competencia. El mercado europeo de seguros nunca ha sido tan accesible gracias a la llegada de muchos nuevos participantes y a la afluencia de capital nuevo al mercado de los seguros cibernéticos, lo que ha dado lugar a una bajada de los precios y a un gran alcance y escala para las renovaciones y los nuevos compradores.
Se produjo una ampliación de la cobertura en áreas inesperadas, incluido el riesgo de terceros. Muchos agentes generales de gestión ofrecen ahora soluciones y paquetes llave en mano, como la combinación de la detección de amenazas o la detección y respuesta en los puntos finales (EDR) con un seguro cibernético reactivo sustancial en un paquete completo.
A medida que la competitividad continúe, las compañías de seguros serán más innovadoras en sus productos y coberturas. En lo que respecta a los incidentes y las reclamaciones, las compañías tendrán que gestionar reclamaciones más complejas relacionadas con la cadena de suministro, hacer frente a un aumento continuo de las notificaciones y realizar ajustes más complejos por interrupción del negocio.
Acciones recomendadas
- Realice un análisis basado en datos de la postura de riesgo cibernético de su organización. Refuerce los ámbitos de resiliencia de terceros y empresarial.
- Realice un análisis periódico y colabore con otros profesionales del sector para identificar los retos y amenazas específicos del sector. Trabaje para eliminar o reducir la vulnerabilidad a estas amenazas.
- Contrate una póliza de seguro cibernético amplia que tenga en cuenta y cubra los riesgos de la cadena de suministro. Utilice la información del mercado de seguros para planificar la ciberseguridad.
- Asegúrese de que existen controles sólidos de seguridad y gobernanza de los datos antes de implementar tecnologías de IA. Defina claramente los casos de uso para todas las implementaciones de IA y evalúe rigurosamente los riesgos asociados a esos casos para determinar las estrategias de mitigación adecuadas.
- Desarrolle políticas de uso de la IA y persiga el uso no autorizado de herramientas y tecnologías de IA por parte de los empleados. Lleve a cabo una campaña interna de educación y concienciación.
- Descargar estos resultados
Referencias
1Update on Cyber Incident: Clinical impact in southeast London – Thursday 26 September 2024. NHS England
2Raphael Yahalom. What the 2024 CrowdStrike Glitch Can Teach Us About Cyber Risk. Harvard Business Review. January 10, 2025.
3A growing geopolitical weapon. World Pipelines. Alfred Hamer. December 31, 2024.
4ibid.
5Rapporto Clusit 2025. Sulla Cybersecurity in Italia e nel mondo. Clusit.
6Tackling evolving fraud threats. Experian, by Forrester Consulting. 2025.
7NIS2 Directive: new rules on cybersecurity of network and information systems. European Commission. January 15, 2025.
8Digital Operational Resilience Act (DORA). European Insurance and Occupational Pensions Authority.
Contacta con nuestros especialistas
- Verónica Jiménez Romero
Directora Specialty Cyber Insurance en Aon
veronica.jimenez@aon.es
