7 Min. tiempo de lectura<\/p>\n
La mayor\u00eda de los programas de concienciaci\u00f3n persiguen una cifra que apenas puede moverse. La tasa media de clics en simulaciones de phishing ronda el 1,5 % seg\u00fan Verizon y, a pesar de la formaci\u00f3n continua, apenas desciende m\u00e1s. Quien mide su programa con este indicador optimiza un valor cercano a su suelo y pasa por alto la palanca que realmente importa: con qu\u00e9 rapidez y frecuencia los empleados informan de un ataque.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>Passkeys en las pymes: el fin de la contrase\u00f1a<\/a> \/<\/span> Robo de tokens OAuth: c\u00f3mo los atacantes burlan la MFA<\/a><\/p>\n \u00bfQu\u00e9 es la formaci\u00f3n en concienciaci\u00f3n de seguridad?<\/strong> La formaci\u00f3n en concienciaci\u00f3n de seguridad es la capacitaci\u00f3n sistem\u00e1tica de los empleados para que identifiquen ataques como el phishing, reaccionen correctamente y los notifiquen. Incluye contenidos formativos, simulaciones de ataques para medir resultados y repeticiones peri\u00f3dicas. El objetivo es contar con una plantilla que funcione como sensor de amenazas.<\/p>\n La l\u00f3gica detr\u00e1s de la mayor\u00eda de los programas es sencilla: se forma, se simula, se mide la tasa de clics y se espera que descienda. Durante un tiempo funciona. Luego llega el momento en que cada nueva ronda de formaci\u00f3n solo mueve la cifra en decimales. Verizon sit\u00faa la mediana en muchas organizaciones en torno al 1,5 %. Esto marca un suelo de comportamiento que la formaci\u00f3n por s\u00ed sola no logra superar.<\/p>\n Este suelo tiene causas f\u00edsicas. Las personas trabajan bajo presi\u00f3n de tiempo, en multitarea y con atenci\u00f3n dividida. Un cebo bien dise\u00f1ado un jueves por la tarde puede enga\u00f1ar incluso a empleados formados. Reducir la tasa de clics a cero choca con los l\u00edmites de la capacidad humana. El presupuesto invertido en los \u00faltimos d\u00e9cimas de punto porcentual apenas aporta una reducci\u00f3n medible del riesgo.<\/p>\n El dato interesante est\u00e1 en el otro lado. Los mismos datos de Verizon muestran que los empleados con formaci\u00f3n en los \u00faltimos 30 d\u00edas informan sobre phishing simulado unas cuatro veces m\u00e1s que los no formados: un 21 % frente a un 5 %. Esta tasa de notificaci\u00f3n es operativamente valiosa porque afecta directamente al tiempo de respuesta. Un ataque notificado a las 9:05 puede contenerse antes de que, a las 9:40, los primeros compa\u00f1eros reciban el mismo cebo.<\/p>\n Para el equipo de seguridad, esto invierte la l\u00f3gica de control. En lugar de sancionar a los empleados por un clic, vale la pena facilitar al m\u00e1ximo la notificaci\u00f3n: un bot\u00f3n en el cliente de correo, una confirmaci\u00f3n de que se ha recibido el aviso y ning\u00fan reproche en caso de falsa alarma. Una plantilla que informa se convierte en una red de sensores distribuida. Donde solo importa la estad\u00edstica de clics, la gente calla en caso de duda y se pierde el indicador temprano.<\/p>\n El mismo estudio ofrece una segunda observaci\u00f3n inc\u00f3moda: un peque\u00f1o grupo de alrededor del 8 % de los empleados concentra una parte desproporcionada de los incidentes recurrentes. Esto cambia radicalmente la econom\u00eda de la formaci\u00f3n. Quien impone el mismo curso anual a todos los empleados gasta la mayor parte del presupuesto en los ya precavidos y demasiado poco en el peque\u00f1o grupo del que dependen los incidentes.<\/p>\n En la pr\u00e1ctica, esto significa utilizar los datos de las simulaciones para segmentar, no solo para obtener una tasa global. Las cuentas con incidencias repetidas reciben intervalos m\u00e1s cortos, ejercicios espec\u00edficos y, en caso de duda, medidas t\u00e9cnicas m\u00e1s estrictas. Esto es gesti\u00f3n de riesgos con frialdad. Seg\u00fan Verizon, el 60 % de todas las brechas de seguridad tienen un factor humano, y el phishing est\u00e1 involucrado en alrededor del 16 % de las intrusiones. Estas cifras se abordan con mayor precisi\u00f3n trabajando con un grupo de riesgo que con una formaci\u00f3n media.<\/p>\n La respuesta m\u00e1s eficaz al phishing traslada el problema lejos del juicio humano. La autenticaci\u00f3n resistente al phishing seg\u00fan el est\u00e1ndar FIDO2, conocida en la pr\u00e1ctica como Passkeys<\/a>, vincula el inicio de sesi\u00f3n criptogr\u00e1ficamente al dominio real. Un di\u00e1logo de autenticaci\u00f3n falsificado simplemente no obtiene datos utilizables, porque ya no hay una contrase\u00f1a que teclear y compartir.<\/p>\n\n
La tasa de clics choca con un suelo duro<\/h2>\n
Informar revela m\u00e1s sobre un programa que hacer clic<\/h2>\n
El ocho por ciento soporta la mayor parte del riesgo<\/h2>\n
La tecnolog\u00eda elimina la decisi\u00f3n del usuario<\/h2>\n