Los programas de concienciación en ciberseguridad fallan si solo se enfocan al cumplimiento. Hay que convertir a los empleados en aliados contra las amenazas.

En 2025, el INCIBE gestionó 122.223 incidentes de ciberseguridad, un 26 % más que el año anterior. Cuatro de cada diez incidentes estuvieron relacionados con el fraude online, un tipo de amenaza en el que el componente humano es esencial.

Sin embargo, según datos del INE, solo el 20 % de las empresas españolas imparte formación obligatoria en ciberseguridad a sus empleados. Más preocupante aún es constatar que, según la Comisión Europea, el 74 % de las empresas de la Unión Europea no ha desarrollado actividades de formación o sensibilización en esta materia.

Detrás de estas cifras hay una simplificación que conviene corregir: tratar al empleado como el eslabón débil de la cadena en lugar de como la primera línea de defensa.

Los empleados están involucrados en muchos incidentes porque son el objetivo de ataques diseñados específicamente para influir en su comportamiento. Culparles de caer en ellos es como responsabilizar a la víctima de una estafa por haber sido engañada… cuando nadie le ha enseñado a reconocerla. La clave del security awareness no es minimizar el error humano, sino construir los sistemas, los procesos y la cultura organizativa que permitan a los empleados ejercer ese papel con garantías.

 

Cumplimiento no es lo mismo que aprendizaje

Muchas iniciativas de concienciación se centran en dejar constancia de que la formación ha tenido lugar, no en comprobar si los comportamientos han cambiado. El ejemplo típico es la formación anual obligatoria acompañada de un test al finalizar. El empleado hace el curso, supera la evaluación y la empresa obtiene la evidencia necesaria para las auditorías. Todos cumplen. Pero no significa que hayan aprendido.

Además, cada vez más incidentes tienen su origen en terceros con acceso a sistemas internos: el riesgo invisible de los proveedores, partners y terceros es que manejan credenciales y datos sin haber pasado por ningún programa de concienciación equivalente. Por eso, una práctica cada vez más extendida es exigir a estos terceros los mismos estándares mínimos que se aplican internamente (formación, canales de notificación y revisión de credenciales), como condición incluida en el contrato.

La presión regulatoria refuerza ese enfoque. La implementación de NIS2 no solo eleva las exigencias en materia de ciberseguridad, sino también la necesidad de acreditar que las medidas adoptadas son eficaces. Ya no basta con disponer de un programa de formación; hay que demostrar que contribuye a mejorar la capacidad de detección y respuesta. Y eso obliga a repensar por completo el enfoque del security awareness.

 

De la formación puntual al aprendizaje continuo

En muchas empresas, comunicar una incidencia de ciberseguridad implica abrir un ticket, rellenar formularios y exponerse al temor de haber cometido un error. Cuanta más fricción existe en ese proceso, menos información llega a los equipos encargados de gestionarla. Facilitar ese proceso a menudo solo requiere crear un canal directo de notificación  (un botón en el correo o un canal de chat) con la garantía explícita de que notificar una sospecha que resulte ser una falsa alarma no tendrá consecuencias.

Esto se puede reforzar con plataformas de microlearning que distribuyen contenido de formación en seguridad breve y frecuente, en lugar de cursos extensos y espaciados. Este contenido debe estar personalizado por roles para adaptar los escenarios de riesgo a las funciones específicas de cada departamento (finanzas, RR. HH, etc.).

Del mismo modo, implementar dinámicas de gamificación, reconocer públicamente a los empleados que detecten amenazas reales o nombrar "Security Champions" (referentes de seguridad) dentro de cada departamento puede transformar la colaboración en motivación, incentivando una actitud proactiva en toda la plantilla.

Los recordatorios, los ejemplos prácticos y las conversaciones con el equipo ayudan a complementar esta formación continua. Los mandos intermedios son clave: algo tan simple como dedicar dos minutos en la reunión semanal a comentar un intento de fraude real puede reforzar más la cultura de seguridad que cualquier campaña.

 

Cómo medir si la concienciación funciona

Muchas empresas siguen evaluando sus programas de security awareness a partir de indicadores cuantitativos. Por ejemplo, una reducción en el porcentaje de empleados que interactúan con correos de phishing simulados puede parecer una señal de progreso. Pero eso no refleja necesariamente un cambio de comportamiento que permita concluir que la empresa podrá responder con resiliencia ante una amenaza.

Por eso, las empresas más maduras prestan atención a otras señales: el aumento de notificaciones espontáneas de correos sospechosos, el tiempo que transcurre entre la detección de una amenaza y su comunicación interna, o la percepción que tienen los empleados sobre su propia capacidad para actuar. Son indicadores más objetivos y reveladores que el porcentaje de clics en un simulacro. Revisar estas señales de forma trimestral junto con los responsables de cada equipo (empleando herramientas de simulación de phishing o gestión de la concienciación, que cada vez están más extendidas) permite detectar tendencias antes de que se conviertan en problemas.

El siguiente paso es integrar estas plataformas de concienciación con los Sistemas de Gestión de Información y Eventos de Seguridad (SIEM). Cruzar las alertas generadas por los usuarios con los datos de detección perimetral permite medir el tiempo real de notificación de incidentes, conectando la capa humana con la infraestructura técnica.

Como resultado, la concienciación deja de ser una actividad de cumplimiento y se convierte en una métrica disponible en el cuadro de mando de riesgos de la empresa.

 

El security awareness, presente en Cyber Security World 2026

Cómo diseñar un sistema organizativo y formativo que convierta a los empleados en una primera línea de defensa real será uno de los debates en Cyber Security World 2026, que se celebra el 4 y 5 de noviembre de 2026 en IFEMA. Integrado en Tech Show Madrid, el mayor evento tecnológico para empresas del sur de Europa, el encuentro reúne a más de 3.600 profesionales, 40 expositores y 60 expertos para compartir casos de éxito, análisis y perspectivas sobre los retos que están redefiniendo la seguridad.

La agenda de Cyber Security World 2026 abordará desde la seguridad basada en inteligencia artificial hasta los modelos Zero Trust, pasando por la protección de entornos cloud e híbridos y la gestión del riesgo en organizaciones cada vez más complejas. Los asistentes podrán conocer de primera mano casos reales de implementación, contrastar enfoques con otros responsables de seguridad y llevarse criterios concretos para convertir el factor humano en un aliado frente a las amenazas.