El factor humano, la verdadera vulnerabilidad
A pesar del avance de las herramientas de ciberseguridad, el phishing continúa siendo uno de los principales puntos de entrada para ataques corporativos. La razón va más allá de la tecnología: las brechas persisten en el comportamiento humano y en la forma en que las organizaciones gestionan la seguridad en su día a día.
Un estudio de KnowBe4, basado en 67,7 millones de simulaciones de phishing con 14,5 millones de usuarios en más de 62.000 organizaciones, confirma que antes de recibir cualquier capacitación, el 33,1% de los usuarios interactúa con mensajes de phishing simulados.
Cinco puntos ciegos que explican el éxito del phishing
1. Entrenamiento esporádico
La capacitación aislada tiene un impacto limitado. Los programas de concientización continua pueden reducir la susceptibilidad al phishing en un 40% en apenas 90 días.
2. Cultura de seguridad frágil
Los mensajes que imitan comunicaciones internas (como avisos de Recursos Humanos o TI) generan más clics en simulaciones, evidenciando que la confianza en rutinas corporativas puede ser explotada fácilmente cuando la seguridad no forma parte de la cultura empresarial.
3. Falta de visibilidad sobre el riesgo humano
Muchas empresas monitorean amenazas técnicas, pero descuidan el comportamiento de los usuarios. Métricas como el Phish-prone Percentage (PPP) permiten medir la probabilidad de que los empleados caigan en ataques y gestionar este riesgo de forma más concreta.
4. Exceso de confianza
Aunque muchos profesionales creen que pueden identificar intentos de phishing, los datos muestran lo contrario: un tercio de los usuarios interactúa con mensajes simulados antes del entrenamiento.
5. Dependencia excesiva de la tecnología
Los filtros de correo electrónico y otras capas de protección son esenciales, pero no detienen todos los ataques. Cuando un mensaje malicioso llega a la bandeja de entrada, la decisión del usuario es crítica.
Capacitación continua: la clave para reducir el riesgo
Según KnowBe4, los programas de formación y concientización permanente pueden reducir el riesgo de phishing hasta en un 86% después de un año. “Muchas organizaciones todavía tratan el phishing únicamente como un problema tecnológico, cuando en realidad está directamente vinculado al comportamiento humano. Sin capacitación continua y una cultura de seguridad sólida, incluso las mejores herramientas pueden ser insuficientes”, afirma Rafael Peruch, Asesor Técnico de CISO en KnowBe4.
El phishing sigue funcionando porque las empresas aún tienen puntos ciegos en la gestión del riesgo humano. La combinación de capacitación continua, cultura de seguridad y monitoreo del comportamiento de los usuarios es esencial para cerrar la brecha y proteger la productividad corporativa.
