Hackeando al humano: Por qué tu cerebro está programado para caer en el phishing (y cómo reprogramarlo)

La psicología que hace que piques aunque sepas que es una trampa

El correo llega a las 14:37. El asunto anuncia un cargo no autorizado en la tarjeta corporativa. El remitente parece el banco de siempre. El cuerpo del mensaje incluye un enlace para cancelar la operación. Quien lo lee conoce de sobra las señales de alarma. Has completado tres cursos de concienciación este año. Sabes que no debes pulsar enlaces sospechosos. Y aun así, tres segundos después, el clic ya se ha producido. El dedo se movió antes que el juicio. 

Este desenlace no responde a la ignorancia, sino a una asimetría radical entre la velocidad del estímulo y la velocidad del análisis. La neurociencia cognitiva, y en particular el modelo de procesamiento dual que popularizó Daniel Kahneman, ofrece un marco que explica por qué el conocimiento teórico se desmorona en el momento exacto en que más falta hace.

 El conocimiento no siempre gobierna el comportamiento. Eso no es una debilidad personal. Es una característica estructural de cómo funciona el cerebro humano. Y es precisamente esa característica la que los ingenieros sociales llevan décadas explotando con una eficacia que no deja de crecer.

España, objetivo favorito: por qué somos tan vulnerables al cibercrimen

En el primer trimestre de 2025, España registró 213 ciberataques verificados, el 4,5% del total mundial. Eso la situó como el tercer país más atacado del planeta, por detrás de Estados Unidos y Ucrania. Según la firma especializada Secure & IT, los incidentes contra empresas y administraciones crecieron un 64% respecto al año anterior, una tendencia que llevó a España a escalar posiciones hasta el segundo puesto mundial en momentos puntuales del periodo. Según el INCIBE, los incidentes gestionados en 2025 alcanzaron los 122.000, un 26% más que en 2024.

Estos no son datos de un año malo. Son la expresión de una tendencia sostenida que convierte a España en uno de los destinos preferidos del cibercrimen organizado. La pregunta que rara vez se hace con la profundidad que merece es por qué. No como curiosidad estadística, sino como diagnóstico que debería traducirse en acción.

 Un blanco por razones concretas

Los cibercriminales no eligen sus objetivos al azar. Evalúan oportunidades, calculan riesgos y optimizan el retorno. España presenta una combinación de factores que, vistos desde esa lógica, la convierten en un destino atractivo. Ninguno de esos factores es inevitable. Todos son, en mayor o menor medida, el resultado de decisiones tomadas o no tomadas a lo largo del tiempo.

Ciberseguridad en la empresa: deja de confundir concienciación con formación

 Saber que existe el peligro no es lo mismo que saber esquivarlo

Cada año, millones de empleados en toda Europa asisten a una sesión de ciberseguridad que dura entre cuarenta y cinco minutos y una hora. Tras ver diapositivas y ejemplos de correos fraudulentos, la mayoría vuelve a su puesto sin haber cambiado su forma de tomar decisiones digitales. Eso no es formación, es concienciación; la diferencia es crítica para la supervivencia de la organización.

En 2024, los clics en enlaces de correo fraudulento se triplicaron: más de ocho de cada mil empleados hicieron clic mensualmente, un incremento del 190% frente a 2023. El problema no es que ignoren el peligro, sino que no saben reaccionar cuando llega disfrazado de urgencia o autoridad.

La psicología distingue entre el conocimiento declarativo (saber que algo existe) y el procedimental (saber hacer). El segundo solo se adquiere practicando, de forma similar a como se entrena un simulacro de evacuación.

Cada año, millones de empleados en toda Europa asisten a una sesión de ciberseguridad. Dura entre cuarenta y cinco minutos y una hora. Hay diapositivas. Hay ejemplos de correos fraudulentos. Hay una lista de recomendaciones. Y al salir de la sala, o al cerrar la ventana del navegador, la mayoría de los asistentes vuelve a su puesto sin haber cambiado nada en la forma en que toma decisiones digitales.

El precio del silencio: Por qué no denunciar el cibercrimen nos hace más vulnerables a todos

Imagine que alguien entra en su casa mientras no está, revuelve los cajones, se lleva algo de valor y desaparece. La probabilidad de que esa persona llame a la policía es alta. Hay un espacio físico vulnerado, una sensación inmediata de invasión, una evidencia concreta del daño.

Ahora imagine que alguien entra en su cuenta bancaria, le roba 600 euros mediante una transferencia fraudulenta y desaparece igual de rápido. La probabilidad de que esa misma persona lo denuncie cae en picado. Hay vergüenza. Hay la convicción de que no servirá de nada. Hay el miedo a parecer ingenuo. Y, en el caso de las empresas, hay el temor al daño reputacional.

Ese contraste explica buena parte del problema más estructural del cibercrimen en España: no es solo que los ataques aumenten cada año, sino que la gran mayoría nunca llega a conocimiento de las autoridades. Y lo que el sistema no ve, no puede combatir.

Ransomware: la extorsión digital que paraliza empresas

Un clic. Un archivo. Una empresa paralizada.

El 5 de marzo de 2023, el Hospital Clínic de Barcelona amaneció sin sistemas. Los ordenadores no arrancaban. Las urgencias funcionaban a mano. Las operaciones programadas se cancelaban. Los historiales médicos habían desaparecido detrás de un muro de cifrado que solo los atacantes podían abrir. El precio que pedían: 4,5 millones de dólares.

No fue un ataque de película. No hubo una sala de control con pantallas parpadeantes ni un genio informático descubriendo vulnerabilidades ocultas. Fue, en origen, algo mucho más sencillo: alguien abrió lo que no debía.

Eso es el ransomware. Un tipo de programa malicioso que cifra los archivos de un sistema y exige un rescate económico a cambio de la clave para recuperarlos. La tecnología detrás es sofisticada. El punto de entrada, casi siempre, no lo es. Y entender esa diferencia es lo que separa a las organizaciones que sobreviven a un ataque de las que no se recuperan nunca del todo.

El eslabón que falta: cibercrimen, ingeniería social y error humano

 El 95% de las brechas de seguridad las provocamos nosotros mismos

Cuando el mayor riesgo eres tú

Hay una estadística que debería estar enmarcada en la pared de todas las salas de reuniones: el 95% de las brechas de seguridad que sufren las organizaciones tienen su origen en un error humano. No en un fallo del servidor. No en un antivirus desactualizado. En una persona que hizo clic donde no debía, que compartió una contraseña por teléfono creyendo que hablaba con su banco, o que transfirió dinero siguiendo instrucciones de alguien que se hacía pasar por el director financiero.

Esto no significa que la gente sea descuidada ni ignorante. Significa que el cibercrimen moderno ha dejado de ser una cuestión puramente técnica para convertirse, sobre todo, en una cuestión humana. Entender esa diferencia es el primer paso para protegerse de verdad.