Conciencia de Seguridad 2025: Por qué las capacitaciones solas no resuelven los riesgos cibernéticos

Q: ¿Con qué frecuencia deben realizarse las simulaciones de phishing?

El ritmo recomendado es mensual para simulaciones activas. Pero más importante que la frecuencia es la variedad: distintos tipos de campañas, escenarios diversos de remitentes y segmentación por perfiles. Simulaciones predecibles terminan siendo identificadas y pierden todo su valor pedagógico.

Q: ¿Es legal someter a los empleados a pruebas simuladas de phishing sin previo aviso?

En Alemania: sí, con limitaciones. Es obligatorio informar e involucrar al comité de empresa (derecho de codeterminación según el §87 de la Ley de Relaciones Laborales). Se recomienda firmar un acuerdo colectivo específico sobre conciencia de seguridad. Además, los resultados individuales no deben usarse para decisiones de recursos humanos.

Q: ¿Cuáles son las mejores herramientas para conciencia de seguridad?

KnowBe4 lidera el mercado (biblioteca más amplia, sólida gamificación). Proofpoint Security Awareness Training destaca por su integración nativa con plataformas de correo. Hoxhunt apuesta por un enfoque gamificado y profundamente centrado en el comportamiento. Mimecast ofrece una integración muy fluida con puertas de enlace de correo.

Q: ¿Cómo se construye una cultura de seguridad?

El liderazgo debe dar ejemplo: el CISO y los directivos participan activamente en las formaciones y comunican la seguridad como un valor estratégico. Denunciar incidentes se recompensa, no se castiga. Los errores se tratan como oportunidades de aprendizaje. Y la seguridad se incorpora desde la incorporación de nuevos empleados, pasa por las evaluaciones de desempeño y forma parte de la comunicación interna cotidiana.

Q: ¿Cómo se mide el ROI de un programa de conciencia de seguridad?

No es fácil medirlo directamente, pero sí factible: reducción de los ataques de phishing exitosos (contabilizados mediante el número de incidentes), acortamiento del tiempo hasta la notificación, disminución de tickets al servicio de ayuda por apertura accidental de adjuntos y comparación de los costes de seguros antes y después de la implementación.

1 min de lectura

La capacitación en conciencia de seguridad es un mercado de miles de millones de euros – y, sin embargo, las tasas de clics en phishing permanecen constantemente altas. Según Proofpoint, el 10-15 % de los empleados hace clic en el enlace en simulaciones de phishing bien diseñadas. Las capacitaciones obligatorias anuales, que se olvidan tras tres meses, no han cambiado esta realidad. Lo que realmente funciona es más complejo e interesante.

En resumen

Capacitaciones anuales: escaso efecto: La curva del olvido vuelve ineficaces las formaciones únicas tras seis semanas.
Simulaciones de phishing + microaprendizaje: Retroalimentación inmediata y contextualizada al cometer un error de clic es diez veces más eficaz.
Una cultura de seguridad supera al mero cumplimiento: Las empresas que premian la denuncia de incidentes obtienen mejores indicadores clave de seguridad (KPI).
Diseño basado en el comportamiento: El «nudging», la introducción intencionada de fricción ante acciones arriesgadas y el refuerzo positivo dan resultados tangibles.
Medir es obligatorio: Las tasas de clic, las tasas de denuncia y el tiempo hasta la notificación son los KPI relevantes – no el mero «ha completado la capacitación».

Por qué las capacitaciones tradicionales no funcionan

La psicología del comportamiento es clara: el conocimiento por sí solo no modifica la conducta. La curva del olvido de Ebbinghaus revela que el 70 % de lo aprendido se pierde tras 24 horas y el 90 % tras una semana. Una sesión formativa de dos horas en enero apenas influye en octubre sobre cómo reacciona un empleado ante un ataque de phishing.

Además, las capacitaciones tradicionales carecen de contexto. Decir «no haga clic en enlaces de correos electrónicos» suena sencillo, pero en la práctica laboral casi todos los enlaces son legítimos. Los empleados no logran aplicar evaluaciones de riesgo bajo presión – por ejemplo, cuando están en una reunión y deben responder con urgencia a un correo – .

Lo que sí funciona: enfoques basados en el comportamiento

Capacitación just-in-time: Cuando un empleado hace clic en un enlace durante una simulación de phishing, aparece al instante una breve unidad de aprendizaje (de 2 a 3 minutos) que explica qué señales delataban que se trataba de un intento de phishing. El contexto sigue siendo reciente y la emoción – una leve vergüenza – refuerza el aprendizaje. Proveedores destacados: KnowBe4, Proofpoint Security Awareness y Hoxhunt.

«Nudging» y fricción: Medidas técnicas que facilitan la conducta correcta: banners en correos de remitentes externos, ventanas de advertencia al abrir adjuntos de fuentes desconocidas o bloqueo automático del reenvío a direcciones externas. Estas acciones reducen estructuralmente la probabilidad de errores.

Refuerzo positivo: Las empresas que premian activamente a quienes reportan correos sospechosos – mediante gamificación, reconocimiento público o pequeños incentivos – observan tasas de denuncia notablemente más altas. Y una mayor tasa de denuncias equivale a una detección más temprana de incidentes.

KPI para un programa de conciencia efectivo

La mayoría de los programas miden simplemente «ha completado la capacitación» – esto no es un indicador de seguridad, sino de cumplimiento normativo. Los programas verdaderamente eficaces miden:

Tasa de clics en phishing: La evolución de esta cifra a lo largo del tiempo importa más que su valor absoluto. El objetivo es una reducción constante, no alcanzar el 0 % – una meta irrealista.

Tasa de denuncia: ¿Qué porcentaje de empleados reporta correos sospechosos? Un aumento sostenido en esta tasa es una señal de seguridad más fiable que una caída aislada en la tasa de clics.

Tiempo hasta la notificación: ¿Con qué rapidez se reportan los incidentes? Menor tiempo significa una respuesta más ágil y eficaz.

Reincidentes: ¿Quiénes hacen clic repetidamente? Aplicar medidas específicas a este grupo resulta mucho más eficiente que seguir organizando sesiones masivas.

Key Facts auf einen Blick

Tasa de clics en phishing sin capacitación: ~25-30 % en simulaciones (Proofpoint 2025)

Tasa de clics en phishing tras capacitación just-in-time: Reducción posible al 5-10 %

Olvido tras una semana: ~90 % de lo aprendido en sesiones formativas (curva de Ebbinghaus)

Tamaño del mercado global de conciencia de seguridad: Más de 5.000 millones de USD (2025)

Objetivo preferente de los ataques: RR.HH., finanzas y nuevos empleados (< 6 meses) sufren una incidencia desproporcionadamente alta

Dato clave: Según el Informe IBM sobre el Coste de las Brechas de Datos 2025, el 95 % de las vulneraciones de seguridad se deben o se ven agravadas por errores humanos.

Dato clave: Empresas con programas regulares de conciencia de seguridad reducen, según el SANS Institute, la tasa de clics en correos de phishing un 75 % de media en doce meses.

Preguntas frecuentes

¿Con qué frecuencia deben realizarse las simulaciones de phishing?

El ritmo recomendado es mensual para simulaciones activas. Pero más importante que la frecuencia es la variedad: distintos tipos de campañas, escenarios diversos de remitentes y segmentación por perfiles. Simulaciones predecibles terminan siendo identificadas y pierden todo su valor pedagógico.

¿Es legal someter a los empleados a pruebas simuladas de phishing sin previo aviso?

En Alemania: sí, con limitaciones. Es obligatorio informar e involucrar al comité de empresa (derecho de codeterminación según el §87 de la Ley de Relaciones Laborales). Se recomienda firmar un acuerdo colectivo específico sobre conciencia de seguridad. Además, los resultados individuales no deben usarse para decisiones de recursos humanos.

¿Cuáles son las mejores herramientas para conciencia de seguridad?

KnowBe4 lidera el mercado (biblioteca más amplia, sólida gamificación). Proofpoint Security Awareness Training destaca por su integración nativa con plataformas de correo. Hoxhunt apuesta por un enfoque gamificado y profundamente centrado en el comportamiento. Mimecast ofrece una integración muy fluida con puertas de enlace de correo.

¿Cómo se construye una cultura de seguridad?

El liderazgo debe dar ejemplo: el CISO y los directivos participan activamente en las formaciones y comunican la seguridad como un valor estratégico. Denunciar incidentes se recompensa, no se castiga. Los errores se tratan como oportunidades de aprendizaje. Y la seguridad se incorpora desde la incorporación de nuevos empleados, pasa por las evaluaciones de desempeño y forma parte de la comunicación interna cotidiana.

¿Cómo se mide el ROI de un programa de conciencia de seguridad?

No es fácil medirlo directamente, pero sí factible: reducción de los ataques de phishing exitosos (contabilizados mediante el número de incidentes), acortamiento del tiempo hasta la notificación, disminución de tickets al servicio de ayuda por apertura accidental de adjuntos y comparación de los costes de seguros antes y después de la implementación.

Lecturas complementarias en la red

RR.HH. y cultura corporativa: mybusinessfuture.com

Seguridad para directivos: digital-chiefs.de

Más contenido del Media Network MBF

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Pexels / Bombeiros MT

Imprimir artículo

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow

También disponible en

Français English Deutsch

Leer el artículo

Phishing