Concienciación sobre seguridad: Lo que las empresas deben buscar en sus empleados
27. marzo 2025
Imagínese lo siguiente: Un empleado recibe un correo electrónico que parece proceder de su jefe, con un enlace que parece totalmente inofensivo. Basta un clic para que se produzca un grave incidente de seguridad. Lo que empieza como una comunicación rutinaria puede convertirse rápidamente en la puerta de entrada de ataques de phishing, malware o ingeniería social.
En el mundo laboral actual, marcado por los modelos híbridos, BYOD (Bring Your Own Device) y las soluciones basadas en la nube, los ciberdelincuentes ya no se aprovechan únicamente de las vulnerabilidades técnicas. Más a menudo, es el comportamiento humano el que abre la puerta.
Aunque las empresas invierten mucho en cortafuegos, sistemas de detección de intrusiones y protección de puntos finales, a menudo se subestima un importante factor de riesgo: el elemento humano. Rara vez se trata de una cuestión de falta de voluntad para seguir las políticas de seguridad; más a menudo, los empleados carecen de conocimientos prácticos continuos y de una comprensión de los escenarios de amenazas actuales. Por muy sofisticada que sea la infraestructura informática, si los empleados no saben a qué deben prestar atención, sigue siendo vulnerable.
Aquí es exactamente donde entra en juego la concienciación moderna en materia de seguridad. No se trata de una iniciativa de formación aislada, sino de un componente clave de una estrategia holística de ciberseguridad. El objetivo es crear un conocimiento profundo de los riesgos informáticos, donde suelen empezar los ataques: con las personas.
Factor de riesgo humano: ¿Punto débil o activo de seguridad?
A pesar de la existencia de tecnologías maduras como SIEM (Security Information and Event Management), arquitecturas de confianza cero y autenticación multifactor, los ataques siguen teniendo éxito porque se aprovechan del comportamiento humano. Los atacantes recurren a técnicas de manipulación psicológica como el fraude del CEO o el spear phishing. Estas técnicas no requieren exploits técnicos, sino que se dirigen directamente a las acciones de los empleados.
Según un estudio de Gartner, hasta el 82% de las filtraciones de datos se deben a comportamientos inseguros o involuntarios de los empleados. Especialmente alarmante: el 69% de los empleados admite saltarse las políticas de seguridad a sabiendas, aunque el 63% reconoce que sus acciones suponen un riesgo para la empresa.
Esto deja clara una cosa: para proteger eficazmente a su organización, el factor humano debe ocupar un lugar central. Esto no significa sólo «más formación», sino un cambio fundamental en la forma de entender la seguridad. Alejarse del control y acercarse a la capacitación.
Cursos de concienciación sobre seguridad: Más que cursos de TI
Un programa de concienciación eficaz va mucho más allá de enseñar normas. Crea una mentalidad en torno a la seguridad informática que se integra en el entorno de trabajo diario, desde el reconocimiento de correos electrónicos sospechosos hasta el uso seguro de dispositivos móviles o herramientas de colaboración como Microsoft Teams o Slack.
Los estudios demuestran que la formación en seguridad informática no solo reduce el riesgo de ataques, sino que también tiene un impacto positivo en la cultura corporativa. Según datos de Gartner, existe una gran necesidad de actuar: el 65% de los empleados abre ocasional o frecuentemente correos electrónicos, enlaces o archivos adjuntos de remitentes desconocidos en su dispositivo de trabajo. el 63% guarda sus contraseñas directamente en el navegador, a menudo sin la aprobación de la empresa. Un programa de concienciación bien concebido puede contribuir decisivamente a minimizar los comportamientos de riesgo y a fomentar una cultura de responsabilidad compartida en materia de seguridad. Un programa de concienciación bien diseñado puede reducir significativamente los comportamientos de riesgo y contribuir a establecer una cultura de responsabilidad compartida en materia de seguridad.
Lo que no funciona: enviar un PDF anual con consejos de seguridad o impartir cursos de formación «al margen» Estas acciones puntuales son ineficaces, especialmente en entornos informáticos complejos con acceso remoto, servicios en la nube y equipos muy descentralizados.
Lo que funciona: Formatos modernos, mensajes específicos
Para fomentar un comportamiento duradero en materia de seguridad, las iniciativas de concienciación deben ser claras, pertinentes y repetibles. Entre los factores clave del éxito se incluyen:
- Personalización en lugar de «talla única»: Las distintas funciones y departamentos requieren contenidos adaptados. Por ejemplo, el equipo de TI debe estar sensibilizado con los ataques al acceso a los sistemas, mientras que la dirección necesita estar preparada para los riesgos de fraude y cumplimiento de los CEO.
- Coherencia frente a esfuerzos puntuales: Las ciberamenazas evolucionan constantemente. La formación debe actualizarse periódicamente e impartirse varias veces al año, idealmente a través de una plataforma de aprendizaje con mecanismos de retroalimentación integrados.
- Formatos interactivos frente a contenidos estáticos: Los formatos como las simulaciones de phishing, los módulos de microaprendizaje, las formaciones en vídeo o la gamificación aumentan el compromiso y la retención. Un cuestionario interactivo después de un módulo es más eficaz que una presentación en PowerPoint.
- Más motivación que obligación: La concienciación sobre la seguridad no puede imponerse: debe crecer orgánicamente. Esto incluye una comunicación respetuosa y la participación de los empleados como contribuyentes activos a la cultura de seguridad.
- Resultados medibles en lugar de suposiciones: Sólo midiendo periódicamente la retención de conocimientos se puede mejorar continuamente la formación.
Cómo ayuda CONVOTIS a las empresas
Con vídeos de formación breves y prácticos, CONVOTIS ayuda a las empresas a reforzar la concienciación de sus empleados en materia de seguridad a largo plazo. Cada módulo está diseñado para no durar más de doce minutos y puede integrarse fácilmente en las rutinas diarias, ya sea en la oficina, a distancia o en dispositivos móviles.
El contenido de la formación se basa en escenarios de amenazas actuales y se actualiza continuamente, cubriendo temas como el compromiso del correo electrónico empresarial, el ransomware o las estafas deepfake.
El objetivo es capacitar a los empleados para reconocer los riesgos a tiempo y responder adecuadamente en los momentos críticos, ya sea un archivo sospechoso en Microsoft SharePoint, un intento inusual de inicio de sesión o una dirección de remitente falsa.
Gracias a la repetición periódica y a una estructura modular, se establece una curva de aprendizaje continuo que va incorporando gradualmente la concienciación en materia de seguridad a la cultura corporativa. Desde los individuos a los equipos enteros, esto crea resiliencia digital en toda la organización.
La seguridad empieza por la concienciación
Se puede implantar el mejor cortafuegos, adoptar principios de confianza cero y mantener todos los sistemas actualizados, pero al final son las personas las que marcan la diferencia. No por ignorancia, sino porque muchas decisiones cotidianas en materia de seguridad se toman bajo la presión del tiempo y sin un contexto completo.
Por eso la concienciación en materia de seguridad es fundamental. Debe estar allí donde los atacantes atacan con más frecuencia: en las reuniones, las bandejas de entrada o las llamadas telefónicas. Y debe estar en todos los niveles de la organización, no sólo en TI, sino también en finanzas, administración y dirección ejecutiva.
