La mayoría de las organizaciones entienden que las personas desempeñan un rol fundamental en el riesgo cibernético. Muchas menos han creado un programa de capacitación en concientización sobre seguridad que realmente cambie el comportamiento.
El riesgo de seguridad relacionado con los seres humanos rara vez es un incidente dramático. Siendo realistas, aparece en momentos ordinarios: un empleado hace clic en un correo electrónico de suplantación convincente, reutiliza una contraseña en varias herramientas de negocio, comparte un inicio de sesión en un chat o ignora una solicitud de autenticación de dos factores (2FA) porque lo siente como una interrupción más que como un paso de protección.
Con el tiempo, esas decisiones cotidianas determinan la exposición de la organización. En el Reino Unido, el panorama de amenazas más amplio hace que sea imposible tratar esto como un problema menor. El informe del gobierno del Reino Unido Cyber Security Breaches Survey 2025 encontró que la mitad de las empresas sufrieron un incidente o vulneración de seguridad cibernética en los 12 meses anteriores, y la suplantación siguió siendo el tipo de ciberdelito más común entre las empresas afectadas.
Para los líderes de RR. HH., CISO, COO, gerentes de TI y equipos de seguridad, esto hace que la capacitación en concientización sobre seguridad sea mucho más que un simple ejercicio de cumplimiento. Es la forma en que las empresas reducen el riesgo evitable. El desafío es que muchos programas todavía se basan únicamente en completar ejercicios en lugar de cambiar realmente el comportamiento. Los miembros del equipo ven un video anual, marcan una casilla y vuelven a los mismos hábitos que crearon el riesgo en primer lugar.
Un enfoque más eficaz trata la concientización como parte de la cultura laboral. Se refuerza con el tiempo, se adapta según el rol, se respalda con políticas útiles y se apoya en herramientas que facilitan la adopción de la opción segura.
Explicaremos cómo es realmente un programa de concientización sobre seguridad eficaz, por qué tantas organizaciones se equivocan y cómo crear uno que mejore el comportamiento cotidiano en lugar de simplemente documentar que la capacitación se llevó a cabo.
Por qué la capacitación en concientización sobre seguridad falla en la mayoría de las organizaciones
La capacitación en concientización sobre seguridad suele fallar porque se trata como un evento, en lugar de como un sistema. En muchas organizaciones, el programa consiste en un módulo de cumplimiento anual, un cuestionario breve y poco más. Se espera que el personal absorba consejos genéricos una vez al año y luego los aplique de manera constante en cientos de flujos de trabajo, herramientas y decisiones del mundo real. Esto simplemente no es suficiente para cambiar el comportamiento de manera duradera.
El problema no es que la capacitación en concientización carezca de valor. Es que muchos programas están desactualizados o demasiado desconectados de cómo trabaja la gente en realidad. Dependen de recordatorios abstractos, mientras que los riesgos reales aparecen en las bandejas de entrada, las unidades de drive compartidas, los restablecimientos de contraseña, las solicitudes urgentes de los gerentes y las decisiones de acceso cotidianas. Si la capacitación no emula lo que las personas realmente ven o hacen todos los días, es poco probable que lo retengan o lo apliquen.
Los programas de capacitación deben incluir formación de inducción y de actualización para todo el personal sobre protección de datos y gobernanza de la información, mientras que la sensibilización debe utilizar métodos de comunicación regulares para mantener visibles la gobernanza de la información, la protección de datos y la seguridad de la información a lo largo del tiempo. Eso apunta a un modelo continuo en lugar de una única intervención anual.
Otra razón por la que los programas fallan es que se centran demasiado en lo que los empleados no deben hacer, ignorando la causa raíz de los malos hábitos. Decirle al personal que no reutilice contraseñas ayuda en teoría, pero sirve de poco si la empresa no les ha proporcionado una forma segura y práctica de crear, almacenar y compartir credenciales. Decirles cómo detectar la suplantación es útil, pero menos eficaz si el proceso para reportar mensajes sospechosos no es claro o es engorroso.
Cómo es un programa de concientización sobre seguridad real
Un programa de concientización sobre seguridad real no es algo que los empleados completan una vez y olvidan. Es un conjunto continuo de hábitos, expectativas y salvaguardas que ayuda a las personas a tomar mejores decisiones de seguridad con el tiempo.
Esto comienza con la continuidad. Utilice recursos de capacitación diseñados para complementar las políticas y los procedimientos existentes. Deben cubrir áreas prácticas como contraseñas seguras, mejores prácticas de BYOD, suplantación de identidad y notificación de incidentes. Esa combinación es útil porque la concientización eficaz no se detiene en un solo tema. Debe reflejar el conjunto completo de acciones rutinarias que dan forma a la seguridad en los entornos de trabajo reales.
Pero la continuidad por sí sola no es suficiente. El programa también debe reflejar las diferencias reales en la forma en que los equipos se enfrentan al riesgo.
Un programa eficaz también debe ser específico para cada rol. Un miembro del equipo de finanzas que gestiona solicitudes de pago no enfrenta el mismo riesgo diario que un gerente de marketing que comparte cuentas de redes sociales, o un líder de RR. HH. que gestiona registros de empleados. Los consejos genéricos tienen su lugar, pero funcionan mejor cuando van seguidos de una capacitación pertinente para los sistemas, los datos y los patrones de ataque más relevantes para cada grupo.
El siguiente componente es la práctica. Los empleados no desarrollan un mejor criterio solo leyendo normas. Mejoran mediante la exposición repetida a escenarios realistas: simulaciones de suplantación, ejercicios de notificación, revisiones de acceso y recordatorios breves vinculados a herramientas o flujos de trabajo reales. Los ataques simulados son particularmente útiles porque comprueban si el programa está afectando el comportamiento en los momentos que importan, en lugar de hacerlo únicamente en un entorno de cuestionario.
Contar con políticas de seguridad y de contraseñas claras es igual de importante. El personal debe saber cómo se deben crear, almacenar, compartir y borrar las credenciales cuando ya no sean necesarias, cómo se deben reportar los mensajes sospechosos, cuándo se requiere 2FA y qué hacer si creen haber cometido un error.
Por último, un programa real trata la seguridad como una norma compartida en el lugar de trabajo, más que como una preocupación especializada de TI. Eso significa que los gerentes la refuerzan, los líderes la modelan y los equipos hablan de ella como parte del funcionamiento diario de la organización. Crear ese tipo de cultura requiere algo más que un documento de política, pero es una de las formas más sólidas de reducir los errores humanos repetidos a lo largo del tiempo.
La guía de Proton sobre la cultura de seguridad cibernética para pequeñas empresas en el lugar de trabajo es útil en este sentido porque plantea la concientización no como una campaña basada en el miedo, sino como parte del funcionamiento cotidiano de una empresa.
Por qué la suplantación de identidad y el abuso de credenciales deben estar en el centro del programa
Si un programa de concientización sobre seguridad intenta cubrir todo por igual, puede perder el enfoque. La mayoría de las organizaciones obtienen mejores resultados si comienzan con los riesgos que tienen más probabilidades de causar un daño real.
La suplantación de identidad (phishing) se encuentra cerca de los primeros puestos de esa lista. El informe del gobierno del Reino Unido Cyber Security Breaches Survey 2025(nueva ventana) reveló que la suplantación de identidad siguió siendo el tipo de vector de ataque más frecuente entre las empresas que sufrieron delitos cibernéticos, afectando al 93 % de dichas empresas. Esto refleja una realidad más amplia en las empresas del Reino Unido, donde la suplantación de identidad sigue siendo uno de los métodos de ataque más comunes.
La suplantación de identidad rara vez termina con el mensaje en sí. En muchas organizaciones, el daño real comienza una vez que las credenciales robadas se utilizan para acceder a cuentas, explotar la reutilización de contraseñas, trasladarse a otros sistemas o aprovechar los inicios de sesión compartidos que nunca estuvieron bajo un control estricto.
Las empresas deben utilizar un enfoque por capas. Debe ser más difícil para los atacantes llegar a los usuarios y más fácil para los usuarios identificar y reportar mensajes de suplantación de identidad sospechosos. Esto protege a las organizaciones de los efectos de los correos electrónicos de suplantación de identidad no detectados y les ayuda a responder rápidamente a los incidentes.
Un programa sólido de concientización sobre seguridad debe reflejar esa misma lógica. Los empleados deben ser capaces de reconocer comportamientos sospechosos, pero también necesitan los controles circundantes que reduzcan el impacto de un error.
Ahí es donde la higiene de las credenciales se vuelve fundamental. Capacitar al personal para evitar contraseñas débiles o reutilizadas es útil, pero resulta mucho más efectivo cuando se apoya en herramientas que reducen la dependencia de la memoria y facilitan el uso de credenciales seguras en la práctica. También cubrimos esta mentalidad preventiva más amplia en nuestra guía sobre prevención de vulneraciones de datos para empresas, que enfatiza el papel de los controles prácticos para reducir la exposición evitable.
El rol de las herramientas en la reducción del riesgo humano
La concientización sobre seguridad es solo una parte del panorama. Es mucho más probable que las personas sigan prácticas seguras cuando estas se integran de forma natural en su modo de trabajo. Si la opción más segura es también la más fácil de usar, la adopción es mucho más constante. Si se percibe como algo lento, incómodo o difícil de usar, incluso los empleados con mejores intenciones empezarán a buscar atajos.
La gestión de contraseñas es uno de los ejemplos más claros. Las organizaciones suelen decir al personal que cree contraseñas seguras y únicas, que utilice 2FA y que evite compartir información. Sin embargo, a menos que se les proporcione a los empleados una forma práctica de hacerlo, la instrucción sigue siendo aspiracional. Recurren a contraseñas memorables y fáciles, almacenamiento en el navegador, hojas de cálculo, aplicaciones de notas o herramientas de mensajería porque esas opciones resultan más rápidas en el momento.
Un gestor de contraseñas para empresas ayuda a cerrar esa brecha. Proton Pass for Business está diseñado para facilitar la creación, el almacenamiento y el intercambio seguro de contraseñas entre equipos, al tiempo que otorga a las organizaciones un mayor control sobre las prácticas de credenciales. Estas funciones ayudan a los empleados a crear y utilizar el completado automático para contraseñas seguras y únicas, a usar 2FA en todas las cuentas y a proteger las credenciales almacenadas con un cifrado de extremo a extremo.
Eso no reemplaza la capacitación en concientización sobre seguridad. La refuerza al facilitar el seguimiento de un comportamiento seguro. En lugar de pedir al personal que recuerde docenas de reglas complejas para las contraseñas, usted les proporciona un sistema que respalda el comportamiento deseado. Eso hace que las buenas prácticas de seguridad sean más fáciles de mantener y que el cumplimiento de las políticas sea más alcanzable.
Lo mismo se aplica al reporte de incidentes, al control de acceso y a la incorporación. En estas áreas, las herramientas suelen ser necesarias para ofrecer a los empleados un proceso claro a seguir y para proporcionar a la organización una supervisión y un control constantes. Las herramientas no pueden reemplazar el juicio, pero pueden hacer que las acciones seguras sean más fáciles, rápidas y consistentes en el trabajo diario.
Un marco práctico de 6 pasos para lanzar o mejorar su programa de concientización sobre seguridad
Un programa de concientización sobre seguridad funciona mejor cuando se diseña como un ritmo operativo en lugar de como una campaña única. El siguiente marco de trabajo puede ayudarle a comenzar.
Paso 1: Defina los comportamientos específicos que desea cambiar
Comience con el riesgo. Identifique los comportamientos que tienen más probabilidades de exponer a su organización. Esto puede incluir hacer clic en enlaces sospechosos, reutilizar contraseñas, compartir credenciales de manera informal, no reportar incidentes, flujos de trabajo de desvinculación débiles o el manejo inadecuado de datos personales, como la información de clientes o empleados.
Paso 2: Priorice los escenarios de mayor riesgo
No todos los temas de capacitación necesitan el mismo peso. Concéntrese primero en los escenarios más relevantes para el perfil de amenazas y el modelo operativo de su organización.
Para muchas empresas, esto significa la suplantación de identidad, el manejo de credenciales, el control de acceso y el reporte de incidentes. El objetivo en esta etapa es centrar la capacitación del personal en los comportamientos y escenarios con más probabilidades de reducir el riesgo cotidiano.
Paso 3: Segmente la capacitación por rol
Es mucho más probable que la concientización sobre seguridad cambie el comportamiento cuando los empleados pueden reconocer su propia realidad laboral en la capacitación. Los diferentes roles crean diferentes tipos de exposición, ya sea al manejar registros confidenciales, aprobar solicitudes de alto riesgo, gestionar accesos privilegiados o compartir información con contactos externos.
Un programa más eficaz refleja esas diferencias en lugar de dar a todos el mismo consejo abstracto. Cuanto más cerca esté la capacitación de las decisiones a las que se enfrentan las personas en realidad, más fácil será aplicarla en la práctica.
Paso 4: Construya un ritmo de refuerzo
Una sesión de capacitación anual única no es suficiente para cambiar el comportamiento. Utilice la inducción, capacitaciones de actualización, recordatorios breves, ejercicios de simulación y comunicaciones periódicas para mantener activos los mensajes clave. El refuerzo puede ser ligero, pero debe ser continuo.
Paso 5: Respalde la capacitación con políticas y herramientas
La capacitación resulta mucho más creíble cuando los empleados pueden ver cómo aplicarla en la práctica. Por lo tanto, asegúrese de que las políticas sean claras, fáciles de encontrar y que estén redactadas en un lenguaje que los empleados puedan usar realmente. Luego, bríndeles soporte con funciones que faciliten el seguimiento de conductas seguras en la práctica.
Si su política establece que el personal debe usar contraseñas sólidas y únicas, y evitar compartirlas de manera informal, proporcióneles un gestor de contraseñas seguro que facilite esto. Si su política indica que los correos electrónicos sospechosos deben reportarse de inmediato, haga que la ruta de reporte sea obvia y sencilla.
Paso 6: Revisar, medir y mejorar
Un programa de concientización sobre seguridad debe evolucionar junto con su empresa. Las nuevas herramientas, los cambios de rol, los incidentes y los tipos de ataque crean nuevos puntos de presión.
Revise los resultados periódicamente, actualice la capacitación en función de los incidentes y de situaciones que estuvieron a punto de ocurrir, y ajuste el programa cuando encuentre puntos débiles recurrentes. El objetivo no es finalizar el programa, sino hacerlo más eficaz con el tiempo.
Cómo medir el impacto
Uno de los errores más comunes en la capacitación sobre concientización de seguridad es medir lo que resulta conveniente en lugar de lo que es significativo. Las tasas de finalización pueden indicarle quién vio la capacitación o quién recorrió el módulo, pero dicen muy poco sobre si el programa está influyendo en el comportamiento en los momentos que realmente conllevan riesgos.
Un enfoque más útil consiste en observar cómo cambian las respuestas de las personas ante situaciones reales a lo largo del tiempo. Los resultados de la simulación de suplantación pueden ayudarle a comprender si los empleados se están volviendo más cautelosos, más observadores y más propensos a cuestionar y reportar mensajes sospechosos.
Los incidentes relacionados con las credenciales pueden mostrar si los hábitos de riesgo, como la reutilización de contraseñas, el hecho de compartir de forma insegura o el mal manejo de las cuentas, se están volviendo menos comunes. El cumplimiento de la política también puede revelar si los empleados están aplicando realmente las expectativas establecidas por el programa, en lugar de simplemente estar expuestos a ellas.
Es igualmente importante vigilar las señales operativas. ¿Con qué rapidez se reportan los correos electrónicos sospechosos o las solicitudes inusuales? ¿Se está activando la MFA de manera constante donde debería? ¿Se están revocando los derechos de acceso con prontitud durante la baja de empleados? ¿Muestran los equipos con mayor exposición un criterio más sólido en escenarios realistas a medida que el programa se desarrolla?
A menudo, estos son los indicadores que muestran si la concientización se está convirtiendo en parte de la forma en que trabaja la organización, en lugar de permanecer confinada a un entorno de capacitación.
En última instancia, la verdadera prueba no es si los empleados completaron el programa. Es si su organización experimenta menos errores evitables, mejores hábitos de reporte y un comportamiento de seguridad diario más sólido como resultado.
