Según Verizon, el gigante estadounidense de las telecomunicaciones, aproximadamente el 90 % de las filtraciones de datos comienzan con un ataque de ingeniería social dirigido a una víctima humana. Esta estadística podría hacerle creer que los humanos son el punto más débil de su estrategia de ciberseguridad, pero la realidad es todo lo contrario.

Por qué las personas son su control de seguridad más importante

Con más de 989.000 ataques de phishing únicos detectados en el último trimestre de 2024, la respuesta obvia es reducir la dependencia de los humanos y utilizar inteligencia artificial (IA) para prevenir estos ataques. Sin embargo, los sistemas automatizados tienen limitaciones que hacen que los empleados sean una primera línea de defensa más eficiente:

La IA carece de intuición humana: Los sistemas de seguridad totalmente automatizados están diseñados para reconocer patrones, lo que los hace excelentes para detectar amenazas a nivel de sistema. Sin embargo, carecen de intuición humana y contexto para identificar ataques personalizados de ingeniería social.

La IA no puede detectar amenazas nuevas: Incluso entrenados para percibir ataques, los sistemas automatizados sólo pueden detectar aquello para lo que fueron programados. Cualquier nueva táctica de ingeniería social puede pasar desapercibida hasta que se produzca el daño.

La IA solo puede detectar, no proteger: las herramientas de seguridad automatizadas suelen alertar únicamente de una amenaza potencial. Se necesitan profesionales de seguridad para analizar los datos, determinar un riesgo real y decidir los siguientes pasos.

Estas limitaciones muestran claramente que un enfoque de ciberseguridad centrado en el ser humano sigue siendo el mejor firewall disponible para una empresa.

Desarrollar programas de formación y sensibilización continua

Las organizaciones suelen considerar la capacitación en seguridad como un ejercicio anual de verificación de requisitos. Sin embargo, esto no funciona con una estrategia de seguridad centrada en las personas, que convierte la ciberseguridad en responsabilidad de todos los empleados.

Crear programas de formación continua

Una encuesta de 2024 reveló que los programas anuales de capacitación no son suficientes para reducir la probabilidad de que los empleados hagan clic en enlaces de phishing. Lo que sí ayuda son los programas de formación continua trimestrales. Esta cadencia refuerza el protocolo de formación en ciberseguridad, a la vez que actualiza a los empleados sobre las amenazas más recientes. Las simulaciones mensuales de phishing también pueden mantener la ciberseguridad como prioridad durante todo el año.

Adaptar los programas de formación a las nuevas amenazas

En su Informe Global de Amenazas 2025, CrowdStrike reveló que el año anterior se introdujeron 26 nuevas ciberamenazas. Para garantizar la eficacia de la capacitación, actualice periódicamente su programa para que refleje el panorama actual de amenazas. Manténgase al tanto de las últimas amenazas a través de grupos de ciberseguridad, informes de amenazas o proveedores externos. También puede enviar boletines informativos con consejos de seguridad regularmente a sus empleados con las últimas noticias sobre ciberseguridad.

Adaptar la formación a las responsabilidades profesionales

Un programa de formación en ciberseguridad universal no suele funcionar, ya que sobrecarga a los empleados con información innecesaria que no se aplica a sus funciones. Al limitar el alcance a escenarios específicos de cada puesto, se garantiza que la formación sea relevante, práctica y accesible. El Instituto SANS coincide:  las simulaciones y el coaching específicos resultaron en una reducción del 35 % en los clics repetidos, con menos incidentes costosos, una detección más rápida y una menor carga de trabajo de TI.

Cómo abordar las variaciones jurisdiccionales en los riesgos de ciberseguridad

Las regulaciones de ciberseguridad varían según el país y la región, lo que afecta las políticas de seguridad y la capacitación de los empleados. Las empresas medianas deben tener en cuenta estas variaciones para garantizar que sus iniciativas de concienciación en seguridad cumplan con las normativas y sean eficaces.

Consideraciones regionales en torno a las regulaciones de ciberseguridad

En muchos sectores, la formación en concienciación sobre seguridad es obligatoria. Sin embargo, las expectativas y el énfasis exactos pueden variar según la región. Por ejemplo, las normas europeas, como el Reglamento General de Protección de Datos, son obligatorias, mientras que el Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología de EE. UU. es voluntario. Por ello, es importante ampliar su programa de formación global para cubrir las leyes locales y las normativas del sector. Puede realizar auditorías de cumplimiento periódicas para garantizar que su formación cubra las leyes vigentes y futuras.

Consideraciones culturales en torno a las regulaciones de ciberseguridad

La cultura juega un papel fundamental en cómo las personas se comunican, se comportan en línea e incluso son víctimas de ciberdelitos. Por ejemplo, los ataques de phishing en EE. UU.  suelen aumentar durante la temporada navideña. Las tiendas ofrecen descuentos, y el miedo a perderse grandes ofertas impulsa a los compradores a hacer clic incluso en enlaces sospechosos.

Estos matices culturales también se manifiestan en el entorno laboral. Algunos pueden cuestionar la autoridad, mientras que otros pueden ser menos propensos a desafiar las instrucciones, incluso si algo parece sospechoso. Adaptar el curso para abordar estas diferencias puede mejorar su relevancia y eficacia. Las empresas multinacionales que implementaron protocolos de seguridad adaptados a la cultura experimentaron una mejora del 35 % en la detección de amenazas y una reducción del 45 % en los tiempos de respuesta.

Abordar la brecha de habilidades en ciberseguridad

En 2024, la fuerza laboral global en ciberseguridad requería aproximadamente 4 millones de profesionales para satisfacer la demanda. Para las empresas medianas, superar esta brecha es crucial para construir una sólida defensa humana. A continuación, se presentan algunas estrategias para abordar la escasez de habilidades en ciberseguridad en su organización:

Desarrollar el talento interno: Capacitar al personal con interés en ciberseguridad para que asuma funciones o responsabilidades de seguridad. Esta es una de las maneras más rentables y eficientes de incorporar las habilidades adecuadas a su lugar de trabajo.

Utilizar programas gubernamentales para mejorar las habilidades: muchos países ofrecen kits de herramientas de concientización sobre ciberseguridad, programas de capacitación y subsidios para el desarrollo de habilidades financiados por el gobierno.

Aproveche las colaboraciones y los expertos externos: Si desarrollar la experiencia interna resulta infructuoso, la mejor opción es externalizar expertos tecnológicos especializados. Esto es especialmente útil para empresas medianas con presupuestos limitados que buscan apoyo en formación y detección de ciberseguridad.

Creando una cultura de ciberseguridad que priorice a las personas

Desarrollar un enfoque de ciberseguridad centrado en las personas implica crear una cultura que integre la concienciación sobre las ciberamenazas y las mejores prácticas en cada proceso, decisión y conversación. Aquí tienes algunos consejos para empezar:

Inculque la concienciación sobre las amenazas desde el primer día:  La capacitación en ciberseguridad debe formar parte de su proceso de incorporación. Esto enseñará a los empleados a considerar instintivamente la seguridad en sus tareas diarias, ya sea al gestionar los datos de un cliente o al configurar una nueva herramienta de software.

Ofrezca refuerzo positivo: Fomente y recompense las buenas prácticas de seguridad, en lugar de centrarse únicamente en sancionar los errores. Cree un entorno seguro donde los empleados puedan informar sobre una brecha o amenaza cibernética sin preocuparse por consecuencias graves.

Establezca protocolos claros de denuncia y respuesta: Los protocolos de denuncia pueden variar según la industria y la región. Asegúrese de que su proceso cumpla con los requisitos regulatorios para evitar cualquier escrutinio.

Fomentar la dirección para que marque la pauta: La actitud de la alta dirección influirá en toda la organización. Los ejecutivos que priorizan la seguridad en reuniones, sesiones de formación y comunicaciones animarán a los empleados a priorizar de forma visible y verbal.

Fortalezca su firewall humano con HLB

No hay mejor momento para priorizar la ciberseguridad que el Mes de la Concientización sobre la Ciberseguridad, este octubre. Es el recordatorio perfecto de que la tecnología por sí sola no puede proteger a las organizaciones de la creciente amenaza de la ingeniería social.

La mejor defensa en ciberseguridad es un sólido cortafuegos humano, construido mediante capacitación continua y concienciación cultural, y HLB puede ayudarle a lograrlo. Nuestros servicios integrales de ciberseguridad ayudan a las organizaciones a capacitar a sus empleados, implementar estrategias de seguridad centradas en el ser humano y reducir la brecha de habilidades en ciberseguridad a través de nuestra red de expertos.

Contáctenos hoy para crear una estrategia de ciberseguridad que combine sólidos programas de seguridad centrados en el ser humano con defensas técnicas de vanguardia.

Fuente: HLB