Saber que existe el peligro no es lo mismo que saber esquivarlo
En 2024, los clics en enlaces de correo fraudulento se triplicaron: más de ocho de cada mil empleados hicieron clic mensualmente, un incremento del 190% frente a 2023. El problema no es que ignoren el peligro, sino que no saben reaccionar cuando llega disfrazado de urgencia o autoridad.
La psicología distingue entre el conocimiento declarativo (saber que algo existe) y el procedimental (saber hacer). El segundo solo se adquiere practicando, de forma similar a como se entrena un simulacro de evacuación.
Cada año, millones de empleados en toda Europa asisten a una sesión de ciberseguridad. Dura entre cuarenta y cinco minutos y una hora. Hay diapositivas. Hay ejemplos de correos fraudulentos. Hay una lista de recomendaciones. Y al salir de la sala, o al cerrar la ventana del navegador, la mayoría de los asistentes vuelve a su puesto sin haber cambiado nada en la forma en que toma decisiones digitales.
Cada año, millones de empleados en toda Europa asisten a una sesión de ciberseguridad. Dura entre cuarenta y cinco minutos y una hora. Hay diapositivas. Hay ejemplos de correos fraudulentos. Hay una lista de recomendaciones. Y al salir de la sala, o al cerrar la ventana del navegador, la mayoría de los asistentes vuelve a su puesto sin haber cambiado nada en la forma en que toma decisiones digitales.
Eso no es formación. Es concienciación. Y la diferencia entre las dos cosas es, literalmente, la diferencia entre una organización que resiste y una que cae.
El problema no es que los empleados no sepan que existe el peligro. El problema es que saberlo no les prepara para reaccionar correctamente cuando el peligro llega disfrazado de presupuesto urgente, de correo del director financiero o de mensaje del servicio de paquetería.
Hay una distinción que la psicología del aprendizaje lleva décadas documentando y que la mayoría de los programas de ciberseguridad empresarial sigue ignorando: el conocimiento declarativo y el conocimiento procedimental no son lo mismo.
El conocimiento declarativo es saber que algo existe. Saber que hay correos fraudulentos, que los atacantes suplantan identidades, que no hay que hacer clic en enlaces sospechosos. La mayoría de los empleados que han asistido a una sesión de concienciación tienen ese conocimiento. Y aun así caen.
El conocimiento procedimental es saber hacer. Reconocer, en tiempo real, que el correo que acaba de llegar tiene características de un ataque. Activar el análisis crítico antes de actuar. Saber qué hacer exactamente en los primeros treinta segundos después de sospechar. Ese conocimiento no se adquiere escuchando una presentación. Se adquiere practicando.
La analogía con los simulacros de evacuación es exacta. Ninguna empresa confía en que sus empleados sabrán salir del edificio en una emergencia porque alguien les explicó una vez el plano de salidas. Los practican. Los repiten. Los cronometran. La ciberseguridad merece el mismo tratamiento, y en la mayoría de las organizaciones no lo recibe.
La concienciación tiene valor. No cero. Elevar el nivel general de alerta en una organización reduce la superficie de ataque. Un empleado que sabe que existen los correos fraudulentos es menos vulnerable que uno que nunca ha oído hablar de ellos. Pero ese es el techo de lo que la concienciación puede conseguir.
Lo que la concienciación no puede hacer es cambiar comportamientos bajo presión. Y los ataques de ingeniería social ocurren, precisamente, bajo presión. La urgencia artificial, la autoridad simulada, el miedo a meter la pata delante del jefe: todo eso activa el sistema de respuesta rápida del cerebro, el que reacciona antes de que el análisis crítico pueda intervenir. Una presentación de diapositivas no entrena ese sistema. Solo la práctica repetida lo hace.
Dos de cada tres empresas españolas no imparten formación a sus empleados en ciberseguridad, según datos de InfoJobs de 2024. Y entre las que sí lo hacen, la mayoría se queda en el nivel de la concienciación: la sesión anual, el correo recordatorio, el cartel en la sala de descanso. Eso, con el panorama de amenazas actual, no es suficiente.
Los ataques han pasado de ser masivos a industriales y sofisticados. En 2024, campañas de correo fraudulento que imitaban a la Agencia Tributaria lograron recolectar miles de datos personales en España. Asimismo, se han documentado casos donde grupos criminales usan inteligencia artificial para suplantar la voz de directivos y obtener transferencias millonarias.
El fraude ya no es artesanal. Es industrial. Los atacantes usan inteligencia artificial para personalizar los mensajes, analizar el comportamiento de las víctimas y optimizar el momento del envío. El resultado es que un correo fraudulento hoy puede ser indistinguible de una comunicación legítima no solo en la forma, sino en el contexto: sabe cómo se llama tu jefe, conoce el nombre del proyecto en el que estás trabajando, llega en el momento exacto en que estás a punto de salir a comer.
Frente a eso, la respuesta no puede ser una presentación anual. Tiene que ser entrenamiento continuo, específico y medible.
El simulacro de correo fraudulento es la herramienta más eficaz disponible para entrenar la detección de ataques de ingeniería social. Consiste en enviar a los empleados correos que imitan los patrones reales de los ataques, sin avisar de antemano, y medir cómo reaccionan: cuántos hacen clic, cuántos reportan el correo como sospechoso, cuántos ignoran el mensaje.
Las empresas que realizan simulaciones periódicas de este tipo reportan reducciones significativas en la tasa de clics sobre correos fraudulentos reales. Pero el efecto solo se mantiene si los simulacros son continuos. Uno al año no cambia hábitos. Uno al trimestre, con retroalimentación inmediata después de cada simulacro, sí lo hace.
La retroalimentación es la clave. Cuando un empleado hace clic en un enlace del simulacro, lo que debe encontrar al otro lado no es una reprimenda, sino una explicación inmediata: aquí están las señales que deberías haber visto. Eso es aprendizaje en el momento exacto en que el cerebro está más receptivo.
Saber reconocer un ataque es la mitad del trabajo. La otra mitad es saber qué hacer exactamente. Muchos empleados que detectan algo sospechoso no lo reportan porque no saben a quién, porque temen parecer paranoicos o porque el proceso de reporte les parece engorroso.
Un programa de formación efectivo incluye protocolos concretos: a quién se avisa, por qué canal, en qué plazo. Y esos protocolos se practican. El empleado que ha simulado reportar un incidente dos veces al año tarda menos en hacerlo cuando es real. Y en los ataques de ransomware, esos minutos pueden ser la diferencia entre contener el daño en un equipo o ver cómo se expande por toda la red.
No todos los empleados tienen el mismo perfil de riesgo. El director financiero, el responsable de compras, el técnico de recursos humanos y el empleado de atención al cliente tienen accesos diferentes, interactúan con interlocutores distintos y son objetivos de tácticas específicas. Un programa de formación genérico que trata a todos igual es menos eficaz que uno que adapta los escenarios al perfil de cada persona.
Los atacantes saben perfectamente qué empleados tienen acceso a qué sistemas. Los programas de formación deberían saberlo también y entrenar a cada perfil con los escenarios que le son más relevantes. El director financiero necesita practicar cómo responde ante una solicitud urgente de transferencia que llega supuestamente de un alto directivo. El técnico de sistemas necesita entrenar cómo verifica la identidad de alguien que llama pidiendo acceso a un servidor.
Un programa de formación sin métricas es un gasto sin retorno medible. Los programas efectivos miden la tasa de clics en simulacros antes y después de cada ciclo de formación, el tiempo medio de reporte de incidentes sospechosos, el porcentaje de empleados que completan los módulos formativos y la evolución de esos indicadores a lo largo del tiempo.
Esas métricas sirven para dos cosas. La primera, identificar qué departamentos o perfiles necesitan más atención. La segunda, justificar ante la dirección la inversión en formación con datos concretos. Una empresa que puede demostrar que su tasa de clics en correos fraudulentos bajó un 60% después de implantar un programa de simulacros tiene un argumento mucho más sólido para renovar el presupuesto que una que solo puede decir que hizo una sesión.
Este es el elemento más difícil de construir y el más determinante. Si los empleados temen las consecuencias de reportar un error propio o de alertar sobre algo que luego resulta no ser un ataque, no lo harán. Y el sistema de detección temprana que podría salvar a la organización se desactiva.
Las organizaciones que han conseguido reducir su exposición al fraude digital no son las que castigan a quien cae en un simulacro. Son las que celebran a quien reporta uno. La cultura de seguridad se construye normalizando el reporte, valorando la alerta temprana y dejando claro que caer en un intento de fraude sofisticado no es un fracaso personal: es una información valiosa sobre las tácticas que están usando los atacantes.
Ningún programa de formación en ciberseguridad funciona si la dirección no lo respalda activamente. No solo con presupuesto, sino con comportamiento. Cuando los directivos participan en los simulacros, cuando reportan los intentos de fraude que reciben, cuando hablan abiertamente de los riesgos que ellos mismos enfrentan, están enviando una señal inequívoca a toda la organización: esto es serio, esto nos afecta a todos y esto importa.
El directivo que se considera demasiado ocupado para la formación en ciberseguridad es, estadísticamente, uno de los objetivos más valiosos para los atacantes. El fraude del CEO, la suplantación del director financiero, el correo falso del consejero delegado: todas estas tácticas apuntan al vértice de la jerarquía precisamente porque tienen más probabilidades de generar una respuesta inmediata y sin verificación.
Formar a la dirección no es opcional. Es urgente.
Dos de cada tres empresas españolas no forman a sus empleados en ciberseguridad. El 43% de las compañías considera que la ciberseguridad es una preocupación alta. Esa brecha entre la percepción del riesgo y la acción real es el problema central.
El argumento del coste no resiste un análisis serio. El coste medio de recuperación de un ataque de ransomware para una empresa española en 2024 fue de 2,73 millones de dólares. Un programa de formación continua con simulacros periódicos cuesta una fracción de esa cifra. Y reduce la probabilidad de que el ataque tenga éxito.
La formación en ciberseguridad no es un gasto de cumplimiento. Es una inversión en resiliencia. Las organizaciones que lo entienden así tienen programas activos, métricas de seguimiento y una cultura de alerta que las hace significativamente más difíciles de atacar. Las que no lo entienden así siguen haciendo la charla anual y esperando que sea suficiente.
El punto de partida no requiere grandes presupuestos ni consultoras externas. Requiere tomar tres decisiones:
La primera es medir el punto de partida. Un simulacro de correo fraudulento sin aviso previo, enviado a toda la organización, da en pocas horas una foto fiel de cuál es la exposición real. No el nivel de concienciación. La exposición real, medida en comportamiento.
La segunda es diseñar un ciclo de formación que combine módulos cortos de conocimiento con simulacros periódicos y retroalimentación inmediata. La frecuencia mínima para que el entrenamiento sea efectivo es trimestral. Anual no es suficiente.
La tercera es construir el canal de reporte. Que todos los empleados sepan a quién avisar, cómo y en qué plazo cuando detectan algo sospechoso. Ese canal tiene que ser fácil, rápido y libre de consecuencias negativas para quien lo usa.
Esas tres decisiones no transforman de la noche a la mañana la cultura de seguridad de una organización. Pero son el inicio del único camino que funciona. La charla anual nunca lo fue.
El problema no es que los empleados no sepan que existe el peligro. El problema es que saberlo no les prepara para reaccionar correctamente cuando el peligro llega disfrazado de presupuesto urgente, de correo del director financiero o de mensaje del servicio de paquetería.
La brecha entre saber y hacer
Hay una distinción que la psicología del aprendizaje lleva décadas documentando y que la mayoría de los programas de ciberseguridad empresarial sigue ignorando: el conocimiento declarativo y el conocimiento procedimental no son lo mismo.
El conocimiento declarativo es saber que algo existe. Saber que hay correos fraudulentos, que los atacantes suplantan identidades, que no hay que hacer clic en enlaces sospechosos. La mayoría de los empleados que han asistido a una sesión de concienciación tienen ese conocimiento. Y aun así caen.
El conocimiento procedimental es saber hacer. Reconocer, en tiempo real, que el correo que acaba de llegar tiene características de un ataque. Activar el análisis crítico antes de actuar. Saber qué hacer exactamente en los primeros treinta segundos después de sospechar. Ese conocimiento no se adquiere escuchando una presentación. Se adquiere practicando.
La analogía con los simulacros de evacuación es exacta. Ninguna empresa confía en que sus empleados sabrán salir del edificio en una emergencia porque alguien les explicó una vez el plano de salidas. Los practican. Los repiten. Los cronometran. La ciberseguridad merece el mismo tratamiento, y en la mayoría de las organizaciones no lo recibe.
Lo que hace la concienciación y lo que no puede hacer
La concienciación tiene valor. No cero. Elevar el nivel general de alerta en una organización reduce la superficie de ataque. Un empleado que sabe que existen los correos fraudulentos es menos vulnerable que uno que nunca ha oído hablar de ellos. Pero ese es el techo de lo que la concienciación puede conseguir.
Lo que la concienciación no puede hacer es cambiar comportamientos bajo presión. Y los ataques de ingeniería social ocurren, precisamente, bajo presión. La urgencia artificial, la autoridad simulada, el miedo a meter la pata delante del jefe: todo eso activa el sistema de respuesta rápida del cerebro, el que reacciona antes de que el análisis crítico pueda intervenir. Una presentación de diapositivas no entrena ese sistema. Solo la práctica repetida lo hace.
Dos de cada tres empresas españolas no imparten formación a sus empleados en ciberseguridad, según datos de InfoJobs de 2024. Y entre las que sí lo hacen, la mayoría se queda en el nivel de la concienciación: la sesión anual, el correo recordatorio, el cartel en la sala de descanso. Eso, con el panorama de amenazas actual, no es suficiente.
El panorama que hace urgente el cambio
Los ataques han pasado de ser masivos a industriales y sofisticados. En 2024, campañas de correo fraudulento que imitaban a la Agencia Tributaria lograron recolectar miles de datos personales en España. Asimismo, se han documentado casos donde grupos criminales usan inteligencia artificial para suplantar la voz de directivos y obtener transferencias millonarias.
El fraude ya no es artesanal. Es industrial. Los atacantes usan inteligencia artificial para personalizar los mensajes, analizar el comportamiento de las víctimas y optimizar el momento del envío. El resultado es que un correo fraudulento hoy puede ser indistinguible de una comunicación legítima no solo en la forma, sino en el contexto: sabe cómo se llama tu jefe, conoce el nombre del proyecto en el que estás trabajando, llega en el momento exacto en que estás a punto de salir a comer.
Frente a eso, la respuesta no puede ser una presentación anual. Tiene que ser entrenamiento continuo, específico y medible.
Qué hace un programa de formación efectivo
La diferencia entre un programa de formación que cambia comportamientos y uno que no lo hace no está en el presupuesto ni en la tecnología. Está en el diseño. Estos son los elementos que distinguen a los programas que funcionan:
Simulacros periódicos, no charlas puntuales
El simulacro de correo fraudulento es la herramienta más eficaz disponible para entrenar la detección de ataques de ingeniería social. Consiste en enviar a los empleados correos que imitan los patrones reales de los ataques, sin avisar de antemano, y medir cómo reaccionan: cuántos hacen clic, cuántos reportan el correo como sospechoso, cuántos ignoran el mensaje.
Las empresas que realizan simulaciones periódicas de este tipo reportan reducciones significativas en la tasa de clics sobre correos fraudulentos reales. Pero el efecto solo se mantiene si los simulacros son continuos. Uno al año no cambia hábitos. Uno al trimestre, con retroalimentación inmediata después de cada simulacro, sí lo hace.
La retroalimentación es la clave. Cuando un empleado hace clic en un enlace del simulacro, lo que debe encontrar al otro lado no es una reprimenda, sino una explicación inmediata: aquí están las señales que deberías haber visto. Eso es aprendizaje en el momento exacto en que el cerebro está más receptivo.
Protocolos claros de actuación
Saber reconocer un ataque es la mitad del trabajo. La otra mitad es saber qué hacer exactamente. Muchos empleados que detectan algo sospechoso no lo reportan porque no saben a quién, porque temen parecer paranoicos o porque el proceso de reporte les parece engorroso.
Un programa de formación efectivo incluye protocolos concretos: a quién se avisa, por qué canal, en qué plazo. Y esos protocolos se practican. El empleado que ha simulado reportar un incidente dos veces al año tarda menos en hacerlo cuando es real. Y en los ataques de ransomware, esos minutos pueden ser la diferencia entre contener el daño en un equipo o ver cómo se expande por toda la red.
Formación diferenciada por perfil de riesgo
No todos los empleados tienen el mismo perfil de riesgo. El director financiero, el responsable de compras, el técnico de recursos humanos y el empleado de atención al cliente tienen accesos diferentes, interactúan con interlocutores distintos y son objetivos de tácticas específicas. Un programa de formación genérico que trata a todos igual es menos eficaz que uno que adapta los escenarios al perfil de cada persona.
Los atacantes saben perfectamente qué empleados tienen acceso a qué sistemas. Los programas de formación deberían saberlo también y entrenar a cada perfil con los escenarios que le son más relevantes. El director financiero necesita practicar cómo responde ante una solicitud urgente de transferencia que llega supuestamente de un alto directivo. El técnico de sistemas necesita entrenar cómo verifica la identidad de alguien que llama pidiendo acceso a un servidor.
Métricas que permiten mejorar
Un programa de formación sin métricas es un gasto sin retorno medible. Los programas efectivos miden la tasa de clics en simulacros antes y después de cada ciclo de formación, el tiempo medio de reporte de incidentes sospechosos, el porcentaje de empleados que completan los módulos formativos y la evolución de esos indicadores a lo largo del tiempo.
Esas métricas sirven para dos cosas. La primera, identificar qué departamentos o perfiles necesitan más atención. La segunda, justificar ante la dirección la inversión en formación con datos concretos. Una empresa que puede demostrar que su tasa de clics en correos fraudulentos bajó un 60% después de implantar un programa de simulacros tiene un argumento mucho más sólido para renovar el presupuesto que una que solo puede decir que hizo una sesión.
Una cultura que no penaliza el error
Este es el elemento más difícil de construir y el más determinante. Si los empleados temen las consecuencias de reportar un error propio o de alertar sobre algo que luego resulta no ser un ataque, no lo harán. Y el sistema de detección temprana que podría salvar a la organización se desactiva.
Las organizaciones que han conseguido reducir su exposición al fraude digital no son las que castigan a quien cae en un simulacro. Son las que celebran a quien reporta uno. La cultura de seguridad se construye normalizando el reporte, valorando la alerta temprana y dejando claro que caer en un intento de fraude sofisticado no es un fracaso personal: es una información valiosa sobre las tácticas que están usando los atacantes.
 |
El papel de la dirección
Ningún programa de formación en ciberseguridad funciona si la dirección no lo respalda activamente. No solo con presupuesto, sino con comportamiento. Cuando los directivos participan en los simulacros, cuando reportan los intentos de fraude que reciben, cuando hablan abiertamente de los riesgos que ellos mismos enfrentan, están enviando una señal inequívoca a toda la organización: esto es serio, esto nos afecta a todos y esto importa.
El directivo que se considera demasiado ocupado para la formación en ciberseguridad es, estadísticamente, uno de los objetivos más valiosos para los atacantes. El fraude del CEO, la suplantación del director financiero, el correo falso del consejero delegado: todas estas tácticas apuntan al vértice de la jerarquía precisamente porque tienen más probabilidades de generar una respuesta inmediata y sin verificación.
Formar a la dirección no es opcional. Es urgente.
La inversión que las empresas españolas todavía no están haciendo
Dos de cada tres empresas españolas no forman a sus empleados en ciberseguridad. El 43% de las compañías considera que la ciberseguridad es una preocupación alta. Esa brecha entre la percepción del riesgo y la acción real es el problema central.
El argumento del coste no resiste un análisis serio. El coste medio de recuperación de un ataque de ransomware para una empresa española en 2024 fue de 2,73 millones de dólares. Un programa de formación continua con simulacros periódicos cuesta una fracción de esa cifra. Y reduce la probabilidad de que el ataque tenga éxito.
La formación en ciberseguridad no es un gasto de cumplimiento. Es una inversión en resiliencia. Las organizaciones que lo entienden así tienen programas activos, métricas de seguimiento y una cultura de alerta que las hace significativamente más difíciles de atacar. Las que no lo entienden así siguen haciendo la charla anual y esperando que sea suficiente.
Por dónde empezar
El punto de partida no requiere grandes presupuestos ni consultoras externas. Requiere tomar tres decisiones:
La primera es medir el punto de partida. Un simulacro de correo fraudulento sin aviso previo, enviado a toda la organización, da en pocas horas una foto fiel de cuál es la exposición real. No el nivel de concienciación. La exposición real, medida en comportamiento.
La segunda es diseñar un ciclo de formación que combine módulos cortos de conocimiento con simulacros periódicos y retroalimentación inmediata. La frecuencia mínima para que el entrenamiento sea efectivo es trimestral. Anual no es suficiente.
La tercera es construir el canal de reporte. Que todos los empleados sepan a quién avisar, cómo y en qué plazo cuando detectan algo sospechoso. Ese canal tiene que ser fácil, rápido y libre de consecuencias negativas para quien lo usa.
Esas tres decisiones no transforman de la noche a la mañana la cultura de seguridad de una organización. Pero son el inicio del único camino que funciona. La charla anual nunca lo fue.