La mayoría de las organizaciones entienden que las personas desempeñan un rol fundamental en el riesgo cibernético. Muchas menos han creado un programa de formación en concienciación sobre seguridad que cambie realmente el comportamiento.
El riesgo de seguridad relacionado con el factor humano rara vez es un incidente dramático. En realidad, aparece en momentos cotidianos: un empleado hace clic en un correo electrónico de suplantación convincente, reutiliza una contraseña en varias herramientas de trabajo, comparte un inicio de sesión en un chat o ignora una solicitud de autenticación de dos factores (2FA) porque le parece una interrupción más que un paso de protección.
Con el tiempo, esas decisiones cotidianas determinan la exposición de la organización. En el Reino Unido, el panorama de amenazas más amplio hace que sea imposible tratarlo como un problema menor. El informe del gobierno británico Cyber Security Breaches Survey 2025 reveló que la mitad de las empresas sufrieron un incidente o una vulneración de seguridad cibernética en los últimos 12 meses, y la suplantación siguió siendo el tipo más común de delito cibernético entre las empresas afectadas.
Para los responsables de RR. HH., CISO, COO, administradores de TI y equipos de seguridad, esto hace que la formación en concienciación sobre seguridad sea mucho más que un simple ejercicio de cumplimiento. Es la forma en que las empresas reducen los riesgos evitables. El reto es que muchos programas se siguen centrando solo en completar ejercicios en lugar de cambiar realmente el comportamiento. Los miembros del equipo ven un vídeo anual, marcan una casilla y vuelven a los mismos hábitos que crearon el riesgo en primer lugar.
Un enfoque más eficaz trata la concienciación como parte de la cultura laboral. Se refuerza con el tiempo, se adapta según el rol, cuenta con el respaldo de políticas útiles y tiene el soporte de herramientas que facilitan la elección de la opción segura.
Te explicamos cómo es en realidad un programa de concienciación sobre seguridad eficaz, por qué tantas organizaciones se equivocan y cómo crear uno que mejore el comportamiento diario en lugar de limitarse a documentar que la formación se ha llevado a cabo.
Por qué la formación en concienciación sobre seguridad falla en la mayoría de las organizaciones
La formación en concienciación sobre seguridad suele fallar porque se trata como un evento, en lugar de como un sistema. En muchas organizaciones, el programa consiste en un módulo de cumplimiento anual, un breve cuestionario y poco más. Se espera que el personal asimile consejos genéricos una vez al año y luego los aplique de forma coherente en cientos de flujos de trabajo, herramientas y decisiones del mundo real. Esto no basta para cambiar el comportamiento de forma duradera.
El problema no es que la formación en concienciación carezca de valor, sino que muchos programas están obsoletos o demasiado desconectados de cómo trabaja realmente la gente. Se basan en recordatorios abstractos, mientras que los riesgos reales aparecen en las bandejas de entrada, las unidades de Drive compartidas, los restablecimientos de contraseña, las peticiones urgentes de los jefes y las decisiones de acceso cotidianas. Si la formación no emula lo que la gente ve o hace realmente cada día, es poco probable que lo retengan o lo apliquen.
Los programas de formación deberían incluir una formación inicial y de actualización para todo el personal sobre protección de datos y gobernanza de la información, mientras que la concienciación debería utilizar métodos de comunicación habituales para que la gobernanza de la información, la protección de datos y la seguridad de la información sigan siendo visibles a lo largo del tiempo. Esto apunta a un modelo continuo más que a una única intervención anual.
Otra razón por la que los programas fallan es que se centran demasiado en lo que los empleados no deben hacer, ignorando la causa raíz de los malos hábitos. Decir al personal que no reutilice las contraseñas ayuda en teoría, pero sirve de poco si la empresa no les ha proporcionado una forma segura y práctica de crear, almacenar y compartir credenciales. Decirles cómo detectar la suplantación es útil, pero menos eficaz si el proceso para informar sobre mensajes sospechosos no es claro o resulta farragoso.
Cómo es un programa de concienciación sobre seguridad de verdad
Un programa de concienciación sobre seguridad de verdad no es algo que los empleados completan una vez y olvidan. Es un conjunto continuo de hábitos, expectativas y salvaguardas que ayuda a las personas a tomar mejores decisiones de seguridad con el tiempo.
Esto empieza por la continuidad. Utiliza recursos de formación diseñados para complementar las políticas y procedimientos existentes. Deben cubrir áreas prácticas como contraseñas seguras, mejores prácticas de BYOD, suplantación e informes de incidentes. Esa mezcla es útil porque la concienciación eficaz no se limita a un solo tema. Debe reflejar todo el conjunto de acciones rutinarias que conforman la seguridad en los entornos de trabajo reales.
Pero la continuidad por sí sola no basta. El programa también debe reflejar las diferencias reales en la forma en que los equipos se enfrentan al riesgo.
Un programa eficaz también debe ser específico para cada rol. Un miembro del equipo financiero que gestiona solicitudes de pago no se enfrenta al mismo riesgo cotidiano que un responsable de marketing que comparte cuentas en redes sociales o un responsable de RR. HH. que administra expedientes de empleados. Los consejos genéricos tienen su lugar, pero funcionan mejor cuando van seguidos de una formación adaptada a los sistemas, los datos y los patrones de ataque más relevantes para cada grupo.
El siguiente componente es la práctica. Los empleados no desarrollan un mejor criterio solo leyendo normas. Mejoran mediante la exposición repetida a situaciones realistas: simulacros de suplantación, ejercicios de notificación, revisiones de acceso y recordatorios breves vinculados a herramientas o flujos de trabajo reales. Los ataques simulados son especialmente útiles porque comprueban si el programa influye en el comportamiento en los momentos que importan, y no solo en un entorno de cuestionario.
Contar con políticas de seguridad y de contraseñas claras es igual de importante. El personal necesita saber cómo se deben crear, almacenar, compartir y eliminar las credenciales cuando ya no sean necesarias, cómo se debe informar de los mensajes sospechosos, cuándo se requiere la 2FA y qué hacer si creen que han cometido un error.
Por último, un programa de verdad trata la seguridad como una norma compartida en el lugar de trabajo, más que como una preocupación especializada de TI. Eso significa que los jefes la refuerzan, los líderes dan ejemplo y los equipos hablan de ella como parte del funcionamiento diario de la organización. Crear ese tipo de cultura requiere algo más que un documento de política, pero es una de las formas más sólidas de reducir los errores humanos repetidos con el tiempo.
La guía de Proton sobre la cultura de la ciberseguridad en el lugar de trabajo para pequeñas empresas resulta útil en este caso porque plantea la concienciación no como una campaña basada en el miedo, sino como parte del funcionamiento diario de una empresa.
Por qué la suplantación y el abuso de credenciales deben ser el eje del programa
Si un programa de concienciación sobre seguridad intenta cubrirlo todo por igual, puede perder el enfoque. La mayoría de las organizaciones obtienen mejores resultados si empiezan por los riesgos con mayor probabilidad de producir un daño real.
La suplantación de identidad está cerca de los primeros puestos de esa lista. El informe del Gobierno del Reino Unido Cyber Security Breaches Survey 2025(ventana nueva) reveló que la suplantación de identidad seguía siendo el tipo de vector de ataque más frecuente entre las empresas que sufrieron ciberdelitos, afectando al 93 % de esas empresas. Eso refleja una realidad más amplia en las empresas del Reino Unido, donde la suplantación sigue siendo uno de los métodos de ataque más comunes.
La suplantación de identidad rara vez termina con el mensaje en sí. En muchas organizaciones, el daño real comienza una vez que se utilizan las credenciales robadas para acceder a las cuentas, explotar la reutilización de contraseñas, pasar a otros sistemas o aprovechar los inicios de sesión compartidos que nunca estuvieron bajo un control estricto.
Las empresas necesitan utilizar un enfoque por capas. Tiene que ser más difícil para los atacantes llegar a los usuarios y más fácil para los usuarios identificar e informar de los mensajes de suplantación sospechosos. Esto protege a las organizaciones de los efectos de los correos electrónicos de suplantación no detectados y les ayuda a responder rápidamente ante los incidentes.
Un programa sólido de concienciación sobre seguridad debería reflejar esa misma lógica. Los empleados deben ser capaces de reconocer comportamientos sospechosos, pero también necesitan los controles complementarios que reduzcan el impacto de un error.
Ahí es donde la higiene de las credenciales se vuelve fundamental. Formar al personal para evitar contraseñas débiles o reutilizadas es útil, pero resulta mucho más eficaz cuando se apoya en herramientas que reducen la dependencia de la memoria y facilitan el uso seguro de las credenciales en la práctica. También tratamos esta mentalidad preventiva más amplia en nuestra guía sobre la prevención de vulneraciones de datos para empresas, que destaca el papel de los controles prácticos para reducir la exposición evitable.
El rol de las herramientas en la reducción del riesgo humano
La concienciación sobre seguridad es solo una parte del panorama general. Es mucho más probable que las personas sigan prácticas seguras cuando estas encajan de forma natural en su forma de trabajar. Si la opción más segura es también la más fácil de usar, la adopción es mucho más constante. Si parece lenta, torpe o difícil de usar, incluso los empleados con buenas intenciones empezarán a buscar atajos.
La administración de contraseñas es uno de los ejemplos más claros. Las organizaciones suelen decir al personal que cree contraseñas seguras y únicas, que use 2FA y que evite compartir. Pero a menos que se les dé a los empleados una forma práctica de hacerlo, la instrucción se queda en una aspiración. Recurren a contraseñas fáciles de recordar, al almacenamiento del navegador, a hojas de cálculo, a aplicaciones de notas o a herramientas de mensajería porque esas opciones parecen más rápidas en el momento.
Un gestor de contraseñas para empresas ayuda a cerrar esa brecha. Proton Pass for Business está diseñado para facilitar la creación, el almacenamiento y el hecho de compartir contraseñas de forma segura entre equipos, al tiempo que ofrece a las organizaciones un mayor control sobre las prácticas de credenciales. Estas funciones ayudan a los empleados a crear y usar el relleno automático para contraseñas seguras y únicas, utilizar 2FA en todas las cuentas y proteger las credenciales almacenadas con un cifrado de extremo a extremo.
Eso no sustituye a la formación en concienciación sobre seguridad. La refuerza al facilitar el cumplimiento de los comportamientos seguros. En lugar de pedir al personal que recuerde decenas de complejas reglas de contraseñas, les das un sistema que soporta el comportamiento que quieres. Eso hace que las buenas prácticas de seguridad sean más fáciles de mantener y que el cumplimiento de las políticas sea más viable.
Lo mismo se aplica a la notificación de incidentes, el control de acceso y la incorporación. En estas áreas, las herramientas suelen ser necesarias para ofrecer a los empleados un proceso claro a seguir y para dar a la organización una supervisión y un control constantes. Las herramientas no pueden sustituir al juicio, pero pueden hacer que las acciones seguras sean más fáciles, rápidas y constantes en el trabajo diario.
Un marco práctico de 6 pasos para lanzar o mejorar tu programa de concienciación sobre seguridad
Un programa de concienciación sobre seguridad funciona mejor cuando se diseña como un ritmo operativo en lugar de una sola campaña. El siguiente marco puede ayudarte a empezar.
Paso 1: Define los comportamientos específicos que quieres cambiar
Empieza por el riesgo. Identifica los comportamientos con más probabilidades de exponer a tu organización. Esto puede incluir hacer clic en enlaces sospechosos, reutilizar contraseñas, compartir credenciales de manera informal, no informar de incidentes, flujos de trabajo de baja poco eficaces o gestionar de forma inadecuada datos personales como la información de clientes o empleados.
Paso 2: Prioriza los escenarios de mayor riesgo
No todos los temas de formación necesitan el mismo peso. Céntrate primero en los escenarios más relevantes para el perfil de amenazas y el modelo operativo de tu organización.
Para muchas empresas, eso significa la suplantación de identidad, el manejo de credenciales, el control de acceso y la notificación de incidentes. El objetivo en esta etapa es centrar la formación del personal en los comportamientos y escenarios con más probabilidades de reducir el riesgo cotidiano.
Paso 3: Segmenta la formación por rol
Es mucho más probable que la concienciación sobre seguridad cambie el comportamiento cuando los empleados pueden reconocer su propia realidad laboral en la formación. Los diferentes roles crean diferentes tipos de exposición, ya sea por el manejo de registros confidenciales, la aprobación de solicitudes de alto riesgo, la administración de accesos privilegiados o el intercambio de información con contactos externos.
Un programa más eficaz refleja esas diferencias en lugar de dar a todo el mundo el mismo consejo abstracto. Cuanto más cerca esté la formación de las decisiones a las que se enfrenta la gente en realidad, más fácil será aplicarla en la práctica.
Paso 4: Crea un ritmo de refuerzo
Una sesión de formación anual aislada no es suficiente para cambiar el comportamiento. Utiliza la inducción, la formación de actualización, recordatorios breves, ejercicios de simulación y comunicaciones periódicas para mantener activos los mensajes clave. El refuerzo puede ser ligero, pero debe ser continuo.
Paso 5: Apoya la formación con políticas y herramientas
La formación es mucho más creíble cuando los empleados ven cómo aplicarla en la práctica. Por eso, asegúrate de que las políticas sean claras, fáciles de encontrar y estén redactadas en un lenguaje que los empleados puedan usar realmente. Luego, apóyalos con funciones que faciliten el seguimiento de comportamientos seguros en el día a día.
Si tu política dice que el personal debe usar contraseñas sólidas y únicas y evitar compartirlas de manera informal, dales un gestor de contraseñas seguro que lo facilite. Si tu política dice que los correos electrónicos sospechosos deben notificarse de inmediato, haz que la ruta de notificación sea obvia y sin complicaciones.
Paso 6: Revisar, medir y mejorar
Un programa de concienciación sobre seguridad debe evolucionar con tu negocio. Las nuevas herramientas, los cambios de rol, los incidentes y los tipos de ataque generan nuevos puntos de presión.
Revisa los resultados periódicamente, actualiza la formación en función de los incidentes y de los que estuvieron a punto de ocurrir, y ajusta el programa cuando encuentres puntos débiles recurrentes. El objetivo no es terminar el programa, sino hacerlo más eficaz con el tiempo.
Cómo medir el impacto
Uno de los errores más fáciles de cometer con la formación en concienciación sobre seguridad es medir lo que resulta cómodo en lugar de lo que es significativo. Las tasas de finalización pueden decirte quién vio la formación o quién hizo clic en el módulo, pero dicen muy poco sobre si el programa está influyendo en el comportamiento en los momentos que realmente conllevan riesgos.
Un enfoque más útil consiste en observar los cambios en la forma en que las personas responden a situaciones reales a lo largo del tiempo. Los resultados de los simulacros de suplantación pueden ayudarte a comprender si los empleados se están volviendo más cautelosos, más observadores y más propensos a cuestionar y denunciar mensajes sospechosos.
Los incidentes relacionados con las credenciales pueden mostrar si los hábitos de riesgo, como la reutilización de contraseñas, el intercambio inseguro o el mal manejo de las cuentas, son cada vez menos comunes. El cumplimiento de la política también puede revelar si los empleados están aplicando realmente las expectativas establecidas por el programa, en lugar de estar simplemente expuestos a ellas.
Es igual de importante vigilar las señales operativas. ¿Con qué rapidez se notifican los correos electrónicos sospechosos o las solicitudes inusuales? ¿Se activa la MFA sistemáticamente donde debería? ¿Se revocan los derechos de acceso con prontitud durante la baja de un empleado? ¿Muestran los equipos con mayor exposición un criterio más sólido en escenarios realistas a medida que se desarrolla el programa?
Estos suelen ser los indicadores que muestran si la concienciación está pasando a formar parte del funcionamiento de la organización, en lugar de quedarse confinada a un entorno de formación.
En última instancia, la verdadera prueba no es si los empleados completaron el programa. Es si tu organización ve menos errores evitables, mejores hábitos de notificación y un comportamiento de seguridad más sólido en el día a día como resultado.
