Conciencia de seguridad: la tasa de clics mide lo incorrecto
7 Min. tiempo de lectura
La mayoría de los programas de concienciación persiguen una cifra que apenas puede moverse. La tasa media de clics en simulaciones de phishing ronda el 1,5 % según Verizon y, a pesar de la formación continua, apenas desciende más. Quien mide su programa con este indicador optimiza un valor cercano a su suelo y pasa por alto la palanca que realmente importa: con qué rapidez y frecuencia los empleados informan de un ataque.
Lo más importante en resumen
- La tasa de clics tiene un suelo. Se estanca en torno al 1,5 % porque la distracción y los cebos bien diseñados dejan un riesgo residual humano. Más formación apenas reduce esta cifra.
- Informar es la verdadera palanca. Los empleados con formación reciente informan de phishing cuatro veces más. Una alta tasa de notificación acorta el tiempo hasta la contención, algo que no logra la baja tasa de clics.
- La tecnología vence a la disciplina. Métodos resistentes al phishing, como las claves de acceso (Passkeys), evitan que el usuario tenga que tomar decisiones críticas. Donde las credenciales no pueden ser interceptadas, el clásico clic de phishing queda en nada.
Relacionado:Passkeys en las pymes: el fin de la contraseña / Robo de tokens OAuth: cómo los atacantes burlan la MFA
¿Qué es la formación en concienciación de seguridad? La formación en concienciación de seguridad es la capacitación sistemática de los empleados para que identifiquen ataques como el phishing, reaccionen correctamente y los notifiquen. Incluye contenidos formativos, simulaciones de ataques para medir resultados y repeticiones periódicas. El objetivo es contar con una plantilla que funcione como sensor de amenazas.
La tasa de clics choca con un suelo duro
La lógica detrás de la mayoría de los programas es sencilla: se forma, se simula, se mide la tasa de clics y se espera que descienda. Durante un tiempo funciona. Luego llega el momento en que cada nueva ronda de formación solo mueve la cifra en decimales. Verizon sitúa la mediana en muchas organizaciones en torno al 1,5 %. Esto marca un suelo de comportamiento que la formación por sí sola no logra superar.
Este suelo tiene causas físicas. Las personas trabajan bajo presión de tiempo, en multitarea y con atención dividida. Un cebo bien diseñado un jueves por la tarde puede engañar incluso a empleados formados. Reducir la tasa de clics a cero choca con los límites de la capacidad humana. El presupuesto invertido en los últimos décimas de punto porcentual apenas aporta una reducción medible del riesgo.
Informar revela más sobre un programa que hacer clic
El dato interesante está en el otro lado. Los mismos datos de Verizon muestran que los empleados con formación en los últimos 30 días informan sobre phishing simulado unas cuatro veces más que los no formados: un 21 % frente a un 5 %. Esta tasa de notificación es operativamente valiosa porque afecta directamente al tiempo de respuesta. Un ataque notificado a las 9:05 puede contenerse antes de que, a las 9:40, los primeros compañeros reciban el mismo cebo.
Para el equipo de seguridad, esto invierte la lógica de control. En lugar de sancionar a los empleados por un clic, vale la pena facilitar al máximo la notificación: un botón en el cliente de correo, una confirmación de que se ha recibido el aviso y ningún reproche en caso de falsa alarma. Una plantilla que informa se convierte en una red de sensores distribuida. Donde solo importa la estadística de clics, la gente calla en caso de duda y se pierde el indicador temprano.
El ocho por ciento soporta la mayor parte del riesgo
El mismo estudio ofrece una segunda observación incómoda: un pequeño grupo de alrededor del 8 % de los empleados concentra una parte desproporcionada de los incidentes recurrentes. Esto cambia radicalmente la economía de la formación. Quien impone el mismo curso anual a todos los empleados gasta la mayor parte del presupuesto en los ya precavidos y demasiado poco en el pequeño grupo del que dependen los incidentes.
En la práctica, esto significa utilizar los datos de las simulaciones para segmentar, no solo para obtener una tasa global. Las cuentas con incidencias repetidas reciben intervalos más cortos, ejercicios específicos y, en caso de duda, medidas técnicas más estrictas. Esto es gestión de riesgos con frialdad. Según Verizon, el 60 % de todas las brechas de seguridad tienen un factor humano, y el phishing está involucrado en alrededor del 16 % de las intrusiones. Estas cifras se abordan con mayor precisión trabajando con un grupo de riesgo que con una formación media.
La tecnología elimina la decisión del usuario
La respuesta más eficaz al phishing traslada el problema lejos del juicio humano. La autenticación resistente al phishing según el estándar FIDO2, conocida en la práctica como Passkeys, vincula el inicio de sesión criptográficamente al dominio real. Un diálogo de autenticación falsificado simplemente no obtiene datos utilizables, porque ya no hay una contraseña que teclear y compartir.
Esto no resuelve todos los casos. Los atacantes recurren al robo de tokens y al fraude de consentimiento OAuth en cuanto desaparece la contraseña como botín. Pero cada inicio de sesión que se migra a Passkeys inutiliza el robo clásico de credenciales. El usuario puede hacer clic en el mismo cebo que antes, pero ya no es posible construir un acceso válido a partir de esa acción. La concienciación y la tecnología son aquí dos palancas para el mismo problema, aunque la técnica actúa más rápido.
El factor DACH: la simulación choca con la codeterminación
En Alemania, cualquier simulación de phishing tiene que contar con el comité de empresa. Los ataques simulados generan datos de rendimiento vinculados a personas, cuya evaluación está sujeta a codeterminación. Quien recopila y analiza tasas de clics de empleados individuales sin un acuerdo previo arriesga la confianza y, en última instancia, un bloqueo formal del programa.
La solución adecuada es un acuerdo con el comité de empresa que establezca el propósito, el nivel de agregación y las consecuencias: evaluación por grupos en lugar de por nombres individuales, ninguna consecuencia laboral por un solo clic y plazos claros de eliminación de datos. Precisamente esto es lo que hace que un programa sea sostenible a largo plazo. Un programa que trata a la plantilla como adversaria pierde exactamente la disposición a informar que aporta el verdadero valor.
Qué deben replantearse los equipos de seguridad en los próximos 90 días
Tres pasos transforman el impacto sin aumentar el presupuesto. Primero, cambiar el KPI principal: priorizar la tasa de notificación y el tiempo hasta la primera alerta, relegando la tasa de clics a métrica secundaria. Segundo, segmentar los datos de simulación y abordar de forma específica a la minoría más vulnerable, en lugar de tratar a todos por igual. Tercero, dar prioridad a la migración de accesos críticos a claves de paso (Passkeys), empezando por administradores y accesos externos. Paralelamente, debe negociarse un acuerdo laboral antes de realizar la primera evaluación con datos personales. La tasa de clics no desaparecerá, pero al menos ocupará su lugar: como nota al margen en los informes.
Preguntas frecuentes
¿Por qué la tasa de clics en phishing apenas baja de cierto nivel, a pesar de los entrenamientos?
Porque siempre queda un margen debido a distracciones, presión temporal y cebos muy convincentes. Verizon sitúa la mediana en alrededor del 1,5 % en múltiples organizaciones. Este suelo es un comportamiento humano, no un fallo formativo. El presupuesto que persigue reducir las últimas décimas porcentuales aporta escasa reducción de riesgos.
¿Qué KPI es mejor que la tasa de clics?
La tasa de notificación y el tiempo hasta la primera alerta. Los empleados con formación reciente notifican phishing simulado unas cuatro veces más. Una alta tasa de notificación acorta directamente el tiempo de reacción del equipo de seguridad, ya que el ataque se detecta pronto, antes de que se propague en la organización.
¿Deberían recibir todos los empleados el mismo entrenamiento?
Rara vez tiene sentido. Según análisis de Verizon, alrededor del 8 % de los empleados concentra una parte desproporcionada de los incidentes recurrentes. Una formación anual generalizada distribuye el presupuesto de manera uniforme sobre un riesgo muy desigual. Más eficaz es la segmentación: intervalos más cortos y ejercicios específicos para la minoría más vulnerable.
¿Hace la tecnología resistente al phishing innecesaria la concienciación?
No. Las claves de paso (Passkeys) basadas en FIDO2 restan valor a las credenciales robadas, ya que el inicio de sesión está vinculado criptográficamente al dominio real. Sin embargo, los atacantes recurren al robo de tokens y al fraude por consentimiento. La tecnología y la formación son dos palancas para el mismo problema: la técnica actúa más rápido, mientras que la humana cubre los casos residuales.
¿Qué debe tenerse en cuenta legalmente en las simulaciones de phishing?
En Alemania, los ataques simulados están sujetos a la cogestión porque generan datos de rendimiento relacionados con las personas. Antes de la primera evaluación relacionada con las personas, debe haber un acuerdo de empresa que regule el propósito, el nivel de agregación, las consecuencias y los plazos de eliminación. La evaluación en grupos en lugar de por nombre individual es el camino seguro.
Consejos de lectura de la redacción
- Passkeys en la mediana empresa: el fin de la contraseña
- Robo de tokens OAuth: cómo los atacantes eluden el MFA
- MFA adaptativo como palanca de confianza cero en la mediana empresa
Más del network de medios MBF
Cuando la actualización se convierte en una puerta de entrada
Portada: generada por IA (junio de 2026)
Fuente de la imagen: generada por IA (junio de 2026), certificado C2PA integrado en la imagen
