Derecho de Seguros

14/04/2026

Ciberataques y Fraude del CEO: ¿Qué cubre tu seguro?

A menudo pensamos en un ciberataque como una compleja operación técnica donde piratas informáticos rompen las barreras de seguridad de una empresa para secuestrar información. Sin embargo, la principal amenaza para sufrir un ciberataque se encuentra en la confianza humana. 

¿Qué es el Fraude del CEO? 

Imagina el siguiente escenario: Es viernes, pasadas las dos de la tarde y el responsable de contabilidad recibe un correo electrónico urgente del director general que ya no se encuentra en la oficina, el mensaje es tajante y exige una transferencia inmediata de 45.000 euros a un proveedor extranjero para cerrar una operación urgente. El estilo de redacción, la firma y hasta el dominio del correo parecen idénticos a los habituales. El empleado, presionado por la urgencia y la autoridad del remitente, ejecuta la orden. El lunes por la mañana, la realidad golpea: el director nunca envió ese correo, el dinero ha volado a una cuenta que no se puede rastrear y tu empresa acaba de ser víctima del temido «Fraude del CEO».

El Fraude del CEO es ciberataque en la que un empleado con capacidad para realizar transferencias o con acceso a recursos económicos, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa en el que le pide ayuda para realizar una operación financiera con carácter urgente y confidencial. Si el usuario no detecta que se trata de una suplantación de identidad, puede responder al correo revelando datos de extrema sensibilidad y realizando la operación solicitada.

Los delincuentes estudian previamente la estructura de tu negocio, interceptan las comunicaciones y suplantan la identidad de un alto directivo para engañar a los empleados con capacidad de pago y lograr que desvíen fondos legítimos hacia cuentas fraudulentas.

Aquí es donde el pánico inicial se transforma en un grave problema legal y financiero. Porque, cuando el gerente descuelga el teléfono para informar del desastre a su compañía de seguros, confiando en que la póliza Multirriesgo o de Responsabilidad Civil General de la empresa se hará cargo, la respuesta suele ser un jarro de agua fría: «Lo sentimos, pero este siniestro está excluido de sus coberturas».

¿Cubre mi póliza Multirriesgo o de RC General la transferencia fraudulenta de fondos?

En la mayoría de los casos, las pólizas Multirriesgo o de Responsabilidad Civil  General no cubren la transferencia fraudulenta de fondos. Este seguro ofrece protección ante una variedad de riesgos, tales como:

  • Incendios y explosiones.
  • Robos y vandalismo.
  • Daños por agua o inundaciones.
  • Responsabilidad civil ante terceros.

El enfoque de este tipo de pólizas es garantizar que cualquier daño material a los activos físicos de la empresa esté completamente cubierto. Sin embargo, las empresas deben ser conscientes de que esto no implica una protección contra el fraude, que requiere de una póliza específica para abordar ese tipo de amenazas.

Podemos encontrarnos pólizas que excluyan expresamente los riesgos cibernéticos y estafas informáticas (ransomware, fugas de datos, fraude digital, etc.), o bien, pólizas que no incluyan una cláusula de exclusión, sin embargo, esto último no significa que necesariamente esté cubierto, puesto que si no se menciona  de forma clara, suelen quedar fuera del objeto asegurado.

Cobertura de Daños Propios vs. Daños a Terceros: ¿Y si el dinero era de un cliente?

La externalización de servicios y el almacenamiento en la nube es la forma de operar de muchas organizaciones. Cuando los datos de los clientes se ven comprometidos por un ataque a uno de sus proveedores, ¿es la empresa una simple víctima o también es legalmente responsable de los perjuicios causados?

Ante esta situación, tu empresa es, sin duda, una víctima directa, sin embargo, desde la perspectiva de tus clientes, tu empresa es su único interlocutor. Por tanto, aunque seas una víctima de un ciberataque, la ley no te exime automáticamente de la responsabilidad civil frente a los daños y perjuicios que sufran tus clientes (robo de fondos, filtración de datos sensibles o paralización de su propia actividad).

Entre tu empresa y tus clientes existe un contrato que lleva implícita la obligación de custodiar su información. Si los datos se exponen, hay un cumplimiento defectuoso, por lo que puede dar lugar a la responsabilidad civil contractual.

Por otro lado el Reglamento General de Protección de Datos obliga tanto al responsable (tu empresa) como al encargado (tu proveedor) a aplicar medidas de seguridad acordes al riesgo, estableciéndose en dicho reglamento el derecho a la indemnización y determinando una responsabilidad solidaria. Esto significa que el cliente afectado puede  reclamarte el 100% de la indemnización, obligándote a pagar primero aunque luego puedas intentar repetir (reclamar) contra tu proveedor tecnológico.

¿Cómo puede tu empresa defenderse y exonerarse de esta responsabilidad?

Para quedar exonerado (y para que tu seguro de Responsabilidad Civil Ciber no te deniegue la cobertura), debes demostrar de forma incuestionable que actuaste con la máxima diligencia. Esto no se limita a: «yo contraté a una empresa de informática y me desentendí», sino que exige pruebas legales sólidas:

Auditoría de proveedores: Debes demostrar que investigaste las medidas de seguridad de tu proveedor antes de contratarlo.

Contratos blindados: El acuerdo con tu proveedor debe incluir cláusulas específicas de ciberseguridad, protocolos de respuesta, obligación de notificarte las brechas de inmediato y una clara delimitación de responsabilidades económicas.

Medidas internas: Demostrar el uso de protocolos seguros en tu propia plantilla (doble factor de autenticación, control de accesos, formación anti-phishing).

Cumplimiento normativo estricto: Haber notificado la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en el plazo legal e improrrogable de 72 horas.

El Ciberseguro: ¿qué cubre?

A diferencia de la RC profesional o el seguro multirriesgo, el ciberseguro se centra en daños digitales (forense, recuperación de sistemas, notificaciones regulatorias, gestión de crisis, interrupción de negocio por incidente cibernético).

Una póliza de ciberseguro específica puede cubrir, según lo contratado, costes de respuesta ante ransomware (tipo de software malicioso o malware que secuestra la información de un usuario o empresa, cifrando sus archivos o bloqueando sus sistemas, para luego exigir el pago de un rescate), fraude del CEO, fugas de datos y otras interrupciones que afecten a ingresos, reputación o cumplimiento normativo. Algunas de las coberturas de este tipo de póliza son:

  • Respuesta a incidentes y forense: En un ataque, las primeras horas son vitales. La póliza debe garantizarte acceso ininterrumpido (24/7) a un equipo de Incident Response. Esto financia la contención inmediata del ataque, el análisis forense para descubrir la causa raíz (la brecha de seguridad) y proporciona la guía técnico-jurídica indispensable para no dar pasos en falso. 
  • Interrupción de negocio (BI – Business Interruption): Si un ransomware encripta tus servidores y paraliza la actividad durante semanas, tu empresa deja de facturar, pero los costes fijos continúan. Esta cobertura es el pulmón financiero de la empresa, ya que compensa la pérdida de ingresos y los gastos extraordinarios derivados de la caída de los sistemas.
  • Responsabilidad por Datos y Reguladores (RGPD): Si la información confidencial de tus clientes queda expuesta, el problema técnico se convierte en una crisis legal. El seguro debe cubrir los gastos de defensa jurídica, peritajes, los costes logísticos de notificar obligatoriamente a los afectados y el apoyo especializado ante inspecciones o sanciones de la Agencia Española de Protección de Datos (AEPD). 
  • Gestión Reputacional y Relaciones Públicas (PR): Un ciberataque mal gestionado de cara al público puede arruinar el prestigio de tu marca. Las buenas pólizas asumen los costes de una comunicación de crisis profesional, la monitorización de tu empresa en medios y redes, e incluso la habilitación de un call center para gestionar la avalancha de dudas de tus clientes. 
  • Fraude del CEO (BEC) y la trampa de la «letra pequeña»: Aunque la póliza cubra la pérdida de fondos por transferencias engañadas o suplantación de identidad, requiere extrema precaución. Las aseguradoras suelen aplicar «sublímites» (indemnizan una cantidad muy inferior al límite general de la póliza) y exigen requisitos estrictos de seguridad. Si la compañía de seguros demuestra que tu empresa no tenía implementada una «doble validación» para los pagos o una correcta «segregación de funciones», se puede acabar rehusando la indemnización alegando falta de diligencia. 

La realidad de una crisis cibernética exige un producto diseñado a medida, normalmente la redacción de las cláusulas de este tipo de pólizas resulta compleja, por lo que una auditoria legal preventiva de la póliza de ciberrriesgos puede garantizar que las exigencias técnicas de la aseguradora coincidan con los protocolos reales de tu empresa. 

Y si el ataque ya ha ocurrido, contar con un despacho de abogados experto en responsabilidad civil y seguros es la vía para defender el patrimonio de tu empresa, tanto para las gestiones con la aseguradora como con los clientes y los proveedores, para ello, puede consultar Departamento de Seguros de HispaColex, y su equipo especializado de abogados en Granada, Jaén y Málaga resolverá sus dudas al respecto.

Foto del avatar  Cecilia Garcí­a Gutiérrez - HispaColex

Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario

< Anterior

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *