En un escenario donde seis de cada diez brechas de seguridad tienen origen humano, las organizaciones enfrentan un dilema: ¿capacitar o castigar a los empleados que caen en vulnerabilidades? En esta entrevista, Lorena Lesmes, Directora de Contenido en Smartfense y Consultora en Gestión del Riesgo Humano, Comunicación y Awareness, analiza el actual escenario y nos entrega algunos consejos al respecto.
Índice de temas
¿Qué tan común es que las brechas de seguridad se originen en errores humanos?
Sigue siendo muy común. Cuando se mira el panorama amplio del “factor humano” en incidentes, varios reportes de la industria lo han situado históricamente en niveles muy altos, entre el 80 y el 90%.
Ahora, si nos concentramos solo en el error humano no malicioso, el Data Breach Investigations Report (DBIR) de Verizon ajustó el cálculo en 2024 para separar los errores de las acciones maliciosas. Con ese recorte, reportó que el elemento humano estuvo presente en el 68% de las brechas de ese año. En 2025, con la misma metodología, lo sitúa en torno al 60%. Dicho de otro modo: alrededor de seis de cada diez brechas todavía tienen participación humana. Sigue siendo la mayoría, aunque con una leve baja.
Aclaro la terminología porque suele prestarse a confusión: un “incidente” es cualquier evento que afecta la confidencialidad, integridad o disponibilidad, mientras que una “brecha” es el incidente en el que además se confirma la exposición o filtración de datos. Cuando hablamos de porcentajes de “brechas” con error humano, nos referimos a ese subconjunto en el que los datos quedaron expuestos.
Por otro lado, cuando decimos error humano no malicioso en este contexto, hablamos de equivocaciones cotidianas: reutilizar contraseñas, distraerse y enviar un archivo al destinatario equivocado, olvidar bloquear la pantalla al levantarse, o decidir saltarse un procedimiento porque parece más rápido. Verizon muestra que, dentro de las brechas por “errores varios”, lo más frecuente siguen siendo los envíos al destinatario equivocado y las malas configuraciones. Al final, no hablamos de ataques sofisticados, sino de descuidos normales del trabajo diario que terminan exponiendo información sensible.
¿Por qué cree que persiste esta vulnerabilidad incluso con herramientas tecnológicas avanzadas?
Durante mucho tiempo se pensó que la tecnología alcanzaba para reducir el riesgo humano. Sin embargo, esta vulnerabilidad sigue estando presente incluso en empresas que invierten fuerte en las mejores herramientas de seguridad.
Lo que pasa es que la raíz del problema no está en la infraestructura, sino en las condiciones en que trabajan las personas. Estrés, cansancio, exceso de información o la presión del tiempo influyen en cómo reaccionamos frente a un correo sospechoso o una decisión rápida. A eso se suman los sesgos cognitivos, que nos afectan a todos. El sesgo de la urgencia, por ejemplo, hace que alguien responda sin pensar a un mensaje que pide actuar ya. El sesgo de la autoridad lleva a confiar demasiado en algo que parece venir de un jefe. Y el efecto halo puede hacer que bajemos la guardia frente a un remitente que parece confiable o con buena reputación. Son atajos mentales que todos usamos para sobrevivir al día a día. Los atacantes lo saben y lo explotan en campañas de phishing cada vez más realistas.
Además, la memoria humana tiene limitaciones naturales. La llamada “curva del olvido”, documentada hace más de un siglo, demuestra que gran parte de lo aprendido se pierde en pocos días si no se refuerza. Por eso un curso anual no alcanza y se necesita un aprendizaje continuo, con recordatorios que mantengan viva la atención de las personas.
Las plataformas de concientización más avanzadas ya empiezan a aplicar esto con nudges e intervenciones contextuales: mensajes breves y acciones automáticas que aparecen en el momento justo, en el propio flujo de trabajo. Eso permite corregir conductas sin frenar la productividad.
Y si sumamos a eso el impacto de la inteligencia artificial, que hace que los ataques sean cada vez más convincentes, queda claro que necesitamos un enfoque que combine lo mejor de la tecnología con una comprensión profunda del comportamiento humano.
¿Es más efectivo invertir en capacitación o aplicar sanciones cuando un empleado cae en un ataque de phishing, por ejemplo?
Invertir en capacitación en ciberseguridad siempre es más efectivo que sancionar. Castigar a una persona por caer en un ataque de phishing puede dar la sensación de control en el corto plazo, pero no resuelve la causa de fondo. Al contrario, suele generar miedo y desconfianza, lo que reduce la posibilidad de aprender del error humano.
En mi experiencia, cada clic abre una ventana de aprendizaje. La cuestión es entender qué hay detrás de ese error. No es lo mismo un empleado que, bajo presión, comete un desliz aislado, que alguien que muestra patrones de apatía frente a la capacitación, o que reincide varias veces en contextos diferentes. Incluso hay que diferenciar si hizo clic en un ejercicio de concientización, en una prueba de hacking ético, en un ataque real, o si llegó a instalar software no permitido que puso en riesgo datos sensibles. Cada situación merece una respuesta distinta y proporcional.
¿Qué medidas de capacitación en ciberseguridad puede recomendar para prevenir errores humanos?
Para ordenar estas decisiones, he venido aplicando un modelo práctico que llamo REACT, inspirado en las recomendaciones del SANS Institute y en mi trabajo con equipos. REACT consiste en: Redefinir el error, Entrevistar a la persona, Ajustar el entrenamiento, Crear confianza y Trazar una progresión.
A partir de ahí se puede diseñar un plan gradual. Por ejemplo:
- Un clic aislado puede resolverse con feedback privado y un microentrenamiento puntual.
- La reincidencia puede requerir un análisis más profundo de las causas (falta de claridad en políticas, sobrecarga cognitiva, estrés).
- Y si se detecta un patrón de infracciones deliberadas, ahí sí corresponde escalar la situación a instancias mayores, siempre con transparencia.
Lo importante es entender que sancionar no educa. Lo que educa es un sistema transparente, que distingue entre equivocaciones, descuidos y conductas de riesgo intencionales, y que transforma los errores en aprendizajes sostenibles para fortalecer la cultura de seguridad.
¿Cuáles son los riesgos de optar por un enfoque punitivo en la gestión de incidentes?
Un enfoque punitivo en la gestión de incidentes trae más riesgos que beneficios. Cuando las personas sienten que cada error puede terminar en un castigo, tienden a ocultar lo ocurrido en lugar de reportarlo. Eso retrasa la respuesta del equipo de seguridad y, en contextos normativos como el chileno, puede derivar en incumplimientos de la Ley Marco de Ciberseguridad, que exige notificación oportuna de incidentes al CSIRT Nacional. Si el miedo frena el reporte, la organización se expone a multas y a un mayor impacto operativo.
Otro riesgo serio es el manejo de los “falsos positivos” en simulaciones. En concientización, un falso positivo ocurre cuando un sistema externo, como un filtro antispam, un antivirus o la vista previa automática de enlaces, genera una interacción que la plataforma registra como si hubiera sido el empleado. Si esos casos no se filtran y terminan en las métricas como “fallos”, se acaba señalando a personas que en realidad no hicieron clic.
En términos más amplios, un esquema basado en castigos debilita la cultura de seguridad. En vez de fomentar el aprendizaje y la colaboración, genera desconfianza, sesga los datos y conduce a decisiones erradas.
¿Qué características debe tener un programa de capacitación en ciberseguridad para realmente prevenir errores humanos?
Un buen programa de capacitación en ciberseguridad debe ser continuo, ligero y relevante. Funciona mejor cuando se integra en la rutina laboral, con recordatorios breves que se sienten útiles en el día a día.
El primer paso es entender los riesgos propios de la organización. A partir de ahí, el programa puede adaptarse al nivel de exposición de cada persona, filtrando falsos positivos y ofreciendo contenidos que respondan a su contexto real de trabajo.
También ayuda mucho ofrecer diversidad de formatos: microvideos, cómics, newsletters cortos. Esa variedad mantiene la atención y se ajusta a distintos estilos de aprendizaje. Todo en pequeñas dosis y en el momento oportuno, porque la sobrecarga cognitiva puede desmotivar tanto como la ausencia de formación.
La calidad es otro punto irrenunciable. Los contenidos tienen que estar creados en el idioma y la cultura local, no ser traducciones automáticas. Y el programa debe sentirse como parte de la comunicación oficial de la organización, con su identidad visual y sus canales habituales.
En definitiva, la meta no es que la gente acumule teoría, sino que pueda actuar con criterio en el momento crítico.
