Metodología y fuentes
Esta calculadora estima el coste de un ciberataque del mismo modo que las aseguradoras tarifican las pólizas cibernéticas: como una pérdida anual esperada, calibrada con datos reales de siniestros de seguros cibernéticos. Somos transparentes con cada hipótesis para que pueda valorar —y cuestionar— las cifras. Es una estimación a título orientativo, no una cotización.
Pérdida anual esperada = Σ Probabilidad(incidente) × Coste(incidente)
Sumada a lo largo de cinco escenarios independientes. Es la «prima pura» actuarial de la que parte una aseguradora antes de añadir gastos y margen.
Cómo se construye la estimación
1. Severidad: cuánto cuesta un incidente
La facturación es el principal determinante del coste de un incidente: los datos de siniestros de seguros cibernéticos (NetDiligence) muestran que el coste total varía en función de la facturación y solo guarda una relación débil con el número de registros, por lo que escalamos el coste de cada escenario a partir de su facturación y lo ajustamos según el sector, el tamaño y la sensibilidad de los datos que almacena (los registros son un complemento menor para los costes de notificación). El ransomware combina el pago de un rescate ponderado por probabilidad con el coste de recuperación; una filtración de datos combina el análisis forense, el asesoramiento jurídico y la notificación; la interrupción de la actividad se modela a partir de sus ingresos diarios y del tiempo de inactividad habitual.
2. Frecuencia: qué probabilidad tiene
Cada escenario tiene una probabilidad anual de base de sufrir un incidente de importancia, fundamentada en grandes encuestas con muestras aleatorias (por ejemplo, la UK Cyber Security Breaches Survey) y no en titulares de proveedores. La mayoría de los ataques nunca provocan una pérdida de importancia, por lo que estas tasas son muy inferiores a las tasas brutas de «ataques». Las escalamos según su tamaño y su sector, y las elevamos si ha sufrido un incidente reciente: el indicador más fiable que utilizan las aseguradoras.
3. Controles: cuánto la reduce
Cada control de seguridad que active reduce la frecuencia o la severidad de los escenarios a los que afecta, según el efecto medido de ese control en los informes de referencia. La comparativa le contrasta con una empresa idéntica sin controles.
4. Prima indicativa
Las aseguradoras fijan una prima por encima de la pérdida esperada para cubrir sus propios costes, su beneficio y su margen de riesgo, normalmente con un ratio de siniestralidad objetivo del 55-80 %. Mostramos ese intervalo. Las cotizaciones reales suelen ser inferiores, ya que las pólizas limitan la indemnización a un importe máximo elegido e incluyen una franquicia.
Por qué importan los controles
Una identidad sólida (MFA), la detección en endpoints, las copias de seguridad probadas, la formación del personal, un plan de respuesta a incidentes y el cifrado se han demostrado repetidamente como las formas de mayor impacto y menor coste para reducir la pérdida por ciberataque. El modelo refleja su efecto medido: actívelos para ver cómo disminuye su exposición.
Fuentes
Todas las cifras se modelan a partir de estos informes y reglamentos públicos. Utilizamos medianas y promedios, no titulares basados en el peor de los casos.
- Cost of a Data Breach Report 2024 — IBM Security / Ponemon Institute (2024)
- Data Breach Investigations Report (DBIR) 2024 — Verizon (2024)
- The State of Ransomware 2024 — Sophos (2024)
- Quarterly Ransomware Report (Q4 2024) — Coveware (2024)
- Cyber Claims Study 2024 — NetDiligence (2024)
- Cyber Security Breaches Survey — UK Government (DSIT) (2025)
- One simple action to prevent 99.9% of account attacks (MFA) — Microsoft Security (2023)
- ENISA Threat Landscape 2024 — European Union Agency for Cybersecurity (ENISA) (2024)
- Internet Crime Report 2023 — FBI Internet Crime Complaint Center (IC3) (2023)
- Hiscox Cyber Readiness Report 2023 — Hiscox (2023)
- GDPR Article 83 — administrative fines — EUR-Lex (Regulation (EU) 2016/679) (2016)
- UK GDPR / Data Protection Act 2018 penalties — UK Information Commissioner's Office (ICO) (2018)
Importante
Esta herramienta genera estimaciones a partir de promedios públicos del sector y de los datos que usted introduce. Tiene únicamente fines orientativos y no constituye una cotización de seguro, una valoración actuarial ni asesoramiento financiero o jurídico. Su exposición real depende de factores específicos de su organización.