El agujero negro de los ciberseguros: cuando el breach viene de fuera

Imagina que tu empresa sufre una interrupción grave. Tus clientes no pueden pagar en tu plataforma, tus datos quedan expuestos y tu equipo entra en modo crisis. Pero el origen del problema no está en tu infraestructura: está en uno de tus proveedores. Un procesador de pagos, un servicio SaaS, una plataforma cloud. La brecha viene de fuera. Y cuando acudes a tu ciberseguro, descubres que la cobertura es inexistente.

Este no es un caso hipotético. Es exactamente lo que ocurrió con Ledger, la empresa francesa de hardware wallets para criptomonedas, cuando su procesador de pagos Global-e fue comprometido. A pesar de tener ciberseguro, Ledger probablemente tenía cobertura cero, porque la brecha no se originó en sus propios sistemas.

El vacío de cobertura que nadie ve

La mayoría de pólizas de ciberseguros fueron diseñadas para un mundo con perímetros claros y riesgos internos bien definidos. Cubren escenarios como servidores comprometidos, empleados que caen en phishing o bases de datos mal configuradas. Son riesgos reales y relevantes, pero representan solo una parte de la superficie de ataque actual.

El problema aparece cuando el incidente se origina en un proveedor SaaS, un procesador de pagos, una plataforma cloud o un proveedor crítico de la cadena de suministro. En estos casos, la cobertura desaparece. Las pólizas tradicionales simplemente no contemplan estos escenarios, o los excluyen de forma explícita en la letra pequeña.

Las cifras que preocupan

Los datos confirman que este no es un riesgo marginal. Según estudios recientes, el 45% de las máquinas virtuales en AWS están mal configuradas, el 63% en Google Cloud Platform y el 70% en Azure. Además, el 28% de las empresas reportaron brechas relacionadas con servicios cloud o SaaS en el último año.

Estos porcentajes revelan una realidad incómoda: la infraestructura en la que confían las empresas para operar tiene vulnerabilidades significativas, y esas vulnerabilidades están fuera del control directo de las organizaciones que dependen de ellas.

La distinción legal que lo cambia todo

Las aseguradoras distinguen entre incidentes accidentales, que pueden estar cubiertos, e incidentes derivados de negligencia, que típicamente se excluyen. Si un proveedor tenía vulnerabilidades conocidas o controles de seguridad débiles, la aseguradora puede argumentar que la empresa debería haber identificado esos riesgos antes de confiar en ese proveedor. Y en ese caso, la cobertura queda anulada.

Esta distinción crea una zona gris peligrosa. ¿Cuánta diligencia debida se espera que realice una empresa sobre la seguridad de sus proveedores? ¿Es razonable exigir a una PYME que audite la infraestructura de seguridad de cada servicio SaaS que utiliza? Las respuestas a estas preguntas determinan si, en caso de incidente, la póliza responde o no.

El ecosistema digital como superficie de ataque

En 2026, la superficie de ataque de cualquier empresa se extiende mucho más allá de sus propios sistemas. Incluye cada proveedor SaaS, cada integración de API, cada servicio cloud y cada eslabón de la cadena de suministro digital. Y sin embargo, la mayoría de ciberseguros siguen evaluando el riesgo como si la empresa operara en un entorno aislado.

El resultado es una brecha creciente entre los riesgos reales que enfrentan las organizaciones y la protección que sus pólizas ofrecen. Las empresas pagan primas por coberturas que no responden ante los escenarios más probables de incidente.

Qué debería hacer tu empresa

La solución no pasa por dejar de usar proveedores externos, algo imposible en el entorno digital actual. Pasa por adoptar un enfoque integral que combine gestión de riesgo de terceros con una cobertura de ciberseguro adaptada a la realidad.

Analizar los riesgos de terceros. Identificar qué proveedores son críticos para la operación, qué datos manejan y qué impacto tendría una brecha en cada uno de ellos.

Identificar los incidentes no cubiertos. Revisar la póliza actual y mapear los escenarios que quedan fuera de cobertura, especialmente los relacionados con proveedores, cloud y SaaS.

Ajustar las pólizas. Negociar coberturas que incluyan explícitamente la interrupción contingente por fallos de terceros, con sublímites y períodos de espera razonables.

Integrar controles de seguridad con gobernanza. Establecer requisitos mínimos de seguridad para proveedores críticos: MFA, logs, cláusulas de notificación de incidentes, auditorías y cifrado.

En Axyom ayudamos a las empresas a cerrar esta brecha entre riesgo real y cobertura. Analizamos el ecosistema digital de cada organización, identificamos las exposiciones no cubiertas y diseñamos estrategias que combinan ciberseguridad y ciberseguro de forma coherente.

Porque en 2026, el riesgo ya no está solo dentro de tu perímetro. Y tu protección tampoco debería estarlo.