Los ciberataques pueden llevar a una empresa a la insolvencia en pocas horas. ¿Cuándo un ataque de ransomware activa la obligación de solicitar concurso según el § 15a InsO, y cómo pueden los directivos protegerse de la responsabilidad personal?
Un ciberataque como amenaza existencial
En julio de 2021, el distrito de Anhalt-Bitterfeld se convirtió en el primer municipio alemán en declarar el estado de catástrofe debido a un ciberataque. Durante más de seis meses, los sistemas informáticos estuvieron en gran medida paralizados, con costes de aproximadamente 2,5 millones de euros. Lo que fue dramático pero superable para una entidad pública puede significar el fin para una empresa privada: la ciberinsolvencia.
El término describe casos en los que un ciberataque – típicamente mediante ransomware – interrumpe las operaciones empresariales de manera tan masiva que la empresa se vuelve incapaz de pagar sus deudas y debe solicitar el concurso de acreedores. El número de estos casos va en aumento. La Oficina Federal de Seguridad de la Información (BSI) registró una media de 119 nuevas vulnerabilidades por día en su informe de 2025, un aumento del 24 por ciento respecto al año anterior.
Casos destacados: de Maersk a Südwestfalen
Maersk y NotPetya: 300 millones de dólares en daños
El caso más conocido de cibercatástrofe afectó al gigante logístico danés A.P. Møller-Maersk en 2017. El malware NotPetya cifró prácticamente toda la infraestructura informática en pocas horas: 49.000 portátiles y 3.500 servidores en 130 países. Maersk, que gestiona aproximadamente el 20 por ciento del comercio mundial de contenedores, quedó inoperante durante días. El daño total ascendió a unos 300 millones de dólares. Solo una copia de seguridad que sobrevivió por casualidad en Ghana permitió la recuperación. Una empresa con menos reservas no habría sobrevivido.
Südwestfalen-IT: 103 municipios sin conexión
En octubre de 2023, un ataque de ransomware contra Südwestfalen-IT (SIT) paralizó la infraestructura informática de más de 100 municipios de Renania del Norte-Westfalia. Las oficinas de atención ciudadana no podían emitir documentos de identidad, las oficinas de matriculación de vehículos se detuvieron y las prestaciones sociales no podían abonarse. La recuperación tardó más de once meses. Dato llamativo: el consejo de administración de SIT había votado unánimemente en contra de contratar un ciberseguro tan solo semanas antes del ataque.
Pymes alemanas: Fasana y Einhaus
El Mittelstand alemán es particularmente vulnerable. El fabricante de servilletas Fasana de Euskirchen tuvo que solicitar el concurso en 2024 tras un ataque de ransomware: solo el primer día no pudieron ejecutarse pedidos por valor de más de 250.000 euros, y las pérdidas de facturación en las dos semanas siguientes ascendieron a unos dos millones de euros. Un destino similar corrió el grupo Einhaus de Hamm, antes líder alemán en seguros de electrónica, que se encontró al borde de la ruina económica tras un ataque del grupo de ransomware «Royal».
¿Cuándo un ciberataque activa la obligación de solicitar el concurso?
Incapacidad de pago por interrupción operativa
La pregunta central para los administradores afectados es: ¿cuándo una incidencia informática se convierte en una obligación concursal? Según el § 15a InsO, los administradores de una GmbH deben presentar la solicitud de concurso sin demora culpable, y a más tardar dentro de las tres semanas siguientes a la aparición de la incapacidad de pago.
La incapacidad de pago en el sentido del § 17 InsO existe cuando la empresa no puede cumplir con sus obligaciones de pago vencidas. El estándar IDW S 11 precisa que una mera perturbación de pagos – es decir, un déficit temporal de liquidez inferior al diez por ciento que puede resolverse en tres semanas – aún no es suficiente.
Sin embargo, un ataque de ransomware puede superar rápidamente este umbral:
- Paro de producción: cuando los sistemas informáticos están cifrados, muchas empresas no pueden producir, entregar ni facturar
- Impagos: los sistemas de banca online y contabilidad están bloqueados; los salarios y facturas de proveedores vencidos no pueden abonarse
- Pérdida de clientes: los grandes clientes resuelven contratos cuando no se cumplen los plazos de entrega
- Costes de recuperación: el análisis forense y la reconstrucción de la infraestructura informática consumen recursos considerables
El plazo de tres semanas en la práctica
El plazo del § 15a InsO comienza objetivamente con la aparición de la incapacidad de pago, no cuando el administrador la reconoce. En la práctica, la recomendación es clara: realizar inmediatamente un análisis de liquidez tras un ciberataque grave. Documente continuamente el estado de la capacidad de pago y solicite asesoramiento jurídico sin demora.
El sobreendeudamiento como motivo adicional de concurso
Además de la incapacidad de pago, puede existir un sobreendeudamiento (§ 19 InsO) cuando las deudas superan el patrimonio y ya no es posible un pronóstico positivo de continuidad. Un ciberataque puede deteriorar masivamente el pronóstico de continuidad, por ejemplo si datos esenciales de clientes se pierden irremediablemente o se destruye la confianza de los socios comerciales.
Responsabilidad de los administradores: cuando el ataque se convierte en riesgo personal
Deber de diligencia según el § 43 GmbHG
Según el § 43 GmbHG, los administradores deben aplicar la diligencia de un empresario prudente. Según la opinión dominante, este deber incluye también la seguridad informática. Un administrador que no implemente medidas de ciberseguridad adecuadas se expone a una responsabilidad personal frente a la sociedad.
La responsabilidad puede concretarse mediante:
- Falta de inversiones en seguridad informática a pesar de un panorama de amenazas conocido
- Ausencia de planes de contingencia (Business Continuity Management)
- Falta de seguro: renunciar deliberadamente a un ciberseguro puede constituir fundamento de responsabilidad
- Reacción tardía tras un ataque, especialmente en la presentación de la solicitud de concurso
La presentación tardía del concurso como delito
Si la solicitud de concurso se presenta con retraso tras un ciberataque, el administrador se enfrenta no solo a responsabilidad civil, sino también a persecución penal por presentación tardía del concurso (§ 15a ap. 4 InsO). La pena: prisión de hasta tres años o multa. La mera negligencia es suficiente.
Ciberseguro: protección con lagunas
El mercado de ciberseguros en Alemania crece rápidamente – Alemania posee la mayor cuota de mercado de Europa con un 24,4 por ciento. Sin embargo, el ciberseguro no es la panacea:
- Mayores tasas de rechazo: casi una de cada tres solicitudes es rechazada, ya que las aseguradoras imponen requisitos más estrictos de seguridad informática
- Lagunas de cobertura: muchas pólizas no cubren la totalidad de las pérdidas por interrupción de negocio, especialmente los beneficios cesantes a largo plazo
- Obligaciones del asegurado: si no se cumplen los estándares de seguridad acordados, la aseguradora puede denegar la prestación
- Límites de cobertura: las sumas aseguradas frecuentemente son insuficientes para un ataque que amenace la existencia de la empresa
No obstante, un ciberseguro adecuado es un pilar esencial de la estrategia de riesgos y puede marcar la diferencia entre una reestructuración y una insolvencia en caso de emergencia.
Medidas preventivas: lo que las empresas deben hacer ahora
Business Continuity Management según el estándar BSI 200-4
El BSI ha publicado una guía práctica para el Business Continuity Management (BCM) con el Estándar 200-4. Las siguientes medidas son centrales para la ciberresiliencia:
- Análisis de impacto en el negocio: identifique los procesos críticos y su dependencia de los sistemas informáticos
- Planes de contingencia: elabore planes documentados para operar sin TI, al menos para los procesos esenciales
- Estrategia de copias de seguridad: implemente la regla 3-2-1 (tres copias, dos tipos de soporte, una externa) con pruebas de restauración periódicas
- Equipo de respuesta a incidentes: defina roles y responsabilidades para situaciones de crisis, incluyendo proveedores forenses externos y asesores jurídicos
Medidas técnicas y organizativas
- Segmentación de red: evite la propagación lateral del malware
- Autenticación multifactor: proteja especialmente los accesos privilegiados y las conexiones VPN
- Formación de empleados: el 90 por ciento de todos los ciberataques comienzan con phishing – la formación periódica de concienciación es imprescindible
- Gestión de parches: cierre las vulnerabilidades de seguridad con prontitud – el ataque a SIT explotó una vulnerabilidad VPN conocida
Precauciones jurídicas
- Revise las cláusulas contractuales: ¿contiene su ciberseguro disposiciones de fuerza mayor? ¿Están sus contratos de suministro preparados para una interrupción operativa informática?
- Documentación: registre por escrito todas las medidas de seguridad y decisiones de inversión – esta documentación puede ser decisiva en caso de responsabilidad
- Plan de comunicación de crisis: prepare con antelación la comunicación con clientes, proveedores, autoridades y medios
Recomendaciones para administradores
La ciberinsolvencia ya no es un riesgo teórico, sino una realidad empresarial. Para los administradores, esto genera deberes concretos:
- La seguridad informática es asunto de la dirección: la responsabilidad no puede delegarse íntegramente al departamento de TI
- Evaluaciones de riesgo periódicas: evalúe sus ciberriesgos al menos anualmente, teniendo en cuenta el informe actual del BSI
- Reservas de liquidez: mantenga reservas que puedan cubrir una interrupción operativa de varias semanas
- Involucre asesoramiento jurídico: haga examinar sus riesgos de responsabilidad y revisar sus pólizas de seguro
- Pruebe el plan de crisis: realice ejercicios periódicos – un plan de contingencia no probado no es un plan de contingencia
En compleneo le apoyamos en la intersección del derecho concursal, el derecho societario y el asesoramiento en crisis. Ya sea análisis preventivo de responsabilidad, planificación de contingencia o gestión de crisis aguda tras un ciberataque, contáctenos.
