- Por Alexis Campos, CEO y fundador de Grupotech.
Las empresas invierten en firewalls. Invierten en antivirus, en actualizaciones de sistemas, en monitoreo de red. Esas inversiones tienen sentido y son necesarias.
Pero hay una superficie de ataque que ningún firewall protege, y que representa el punto de entrada de la gran mayoría de los incidentes de seguridad que ocurren hoy en el mundo: las personas.
El dato varía según la fuente, pero el consenso de la industria es consistente: entre el 74% y el 85% de las brechas de seguridad tienen como origen un error humano. Un clic en un enlace malicioso, una contraseña reutilizada, un archivo adjunto abierto sin verificar, una llamada de un supuesto técnico que pide credenciales de acceso.
La tecnología defensiva más sofisticada no puede proteger contra un empleado que hace lo que le dicen que haga.
Por qué la capacitación puntual no funciona
Cuando les pregunto a los gerentes qué hacen con la ciberseguridad de su personal, la respuesta más frecuente es alguna variante de: ‘les hicimos una capacitación el año pasado’.
El problema con la capacitación puntual es que el comportamiento humano no cambia con una charla de dos horas. Cambia con práctica repetida, con consecuencias visibles y con refuerzo continuo. Un empleado que asistió a una presentación sobre phishing en marzo puede hacer clic en un correo malicioso en septiembre sin siquiera recordar haber recibido esa formación.
Los atacantes lo saben. Por eso los correos de phishing se actualizan constantemente. Incorporan el nombre de la empresa, el nombre del destinatario, referencias a eventos recientes, logotipos actualizados. Cada iteración está diseñada para explotar la familiaridad y la distracción, no la ignorancia.
Lo que cambia cuando se simulan ataques reales
La diferencia entre decirle a alguien cómo funciona el phishing y hacerle experimentar un intento de phishing es la diferencia entre aprender a nadar en tierra y aprender en el agua.
Los simulacros de phishing consisten en enviar correos diseñados para engañar a los empleados de la misma manera que lo haría un atacante real, pero de forma controlada y sin consecuencias reales. Los resultados se miden: cuántos usuarios hicieron clic, cuántos ingresaron credenciales, cuántos reportaron el correo como sospechoso.
Esos datos tienen dos usos. El primero es diagnóstico: permiten entender cuál es el nivel de riesgo humano real en la organización, qué áreas o perfiles son más vulnerables, y dónde concentrar los esfuerzos de formación. El segundo es preventivo: los empleados que han experimentado un intento de phishing simulado, especialmente si recibieron retroalimentación inmediata, son significativamente más cuidadosos con los correos reales.
Cultura, no procedimiento
El objetivo de fondo no es que los empleados pasen un test. Es que desarrollen el instinto de dudar antes de hacer clic.
Eso requiere que la seguridad sea un tema visible y recurrente en la organización, no un módulo anual de compliance. Requiere que los líderes lo modelen. Requiere que reportar un correo sospechoso sea fácil y reconocido, no burocrático y silencioso. Y requiere que la formación sea continua, actualizada y relevante para el contexto de quien la recibe.
En Cut Security by Grupotech integramos simulacros de phishing programados y acceso a plataforma de capacitación continua precisamente porque la cultura de seguridad no se construye en un día. Se construye con consistencia.
El eslabón más débil de la cadena de seguridad de su empresa no está en el servidor. Está en el escritorio. Invertir en fortalecerlo no es un gasto de recursos humanos, es una decisión de ciberseguridad.
