self.post_img_alt

Por Qué la Formación de tus Empleados No Funciona y Cómo Arreglarlo

  • Alex De los Llanos Dueñas
  • Julio 2025

Si eres como la mayoría de los directivos que conozco, una vez al año cumples con un ritual. Envías un correo a toda la plantilla anunciando la "formación anual obligatoria de ciberseguridad". Durante las siguientes semanas, tu gente se ve forzada a tragarse un vídeo de 45 minutos, a menudo con una música de ascensor insufrible, o a hacer clic en un PowerPoint interactivo sobre las maravillas de las contraseñas de 16 caracteres y los peligros del phishing. La mayoría lo deja puesto de fondo mientras responde correos. Otros lo pasan a toda velocidad para llegar al test final, que suelen aprobar por pura lógica o repitiendo el intento. Al final, tú recibes un bonito informe con un 100% de "completado" y respiras tranquilo. Has cumplido. Has marcado la casilla de la ciberseguridad por este año.

Y, con todo el respeto, tengo que decirte que lo más probable es que hayas tirado el dinero y, lo que es peor, un tiempo valiosísimo.

He visto esta escena repetirse hasta la saciedad en empresas de todos los tamaños. Y el resultado es siempre el mismo. Dos semanas después de esa "formación", un empleado del departamento de finanzas recibe un correo que parece de un proveedor, con una factura adjunta que tiene una pinta un poco rara, pero como está hasta arriba de trabajo, hace clic. O alguien de ventas, esperando un paquete importante, recibe un SMS de una empresa de logística para "reprogramar la entrega" y pincha en el enlace sin dudar. ¿Y sabes qué pasa? Que todo ese conocimiento teórico del vídeo anual se desvanece en el mundo real, en el día a día de la prisa, el estrés y las 200 tareas pendientes.

El problema de raíz es que hemos enfocado la concienciación de una forma completamente equivocada. La hemos tratado como si fuera una asignatura de la universidad: te doy la teoría, te hago un examen y asumo que has aprendido. Pero la seguridad no es un conocimiento teórico, es un comportamiento, es un instinto. Es como intentar ponerse en forma leyendo un libro de anatomía o yendo al gimnasio una sola vez al año. No funciona. Necesitamos dejar de "dar formación" y empezar a "crear cultura".

De Memorizar Reglas a Construir Reflejos

El objetivo real no es que tus empleados puedan recitarte la definición de "malware". El objetivo es que, cuando reciban un correo con un tono de urgencia inusual, se les encienda una pequeña luz de alarma en el cerebro. Que sientan ese microsegundo de duda que les haga pararse a pensar antes de actuar. Eso no se logra con un PowerPoint. Se logra con un enfoque basado en tres pilares: relevancia, continuidad y simulación.

Primero, relevancia. El phishing que le llega a un contable no es el mismo que le llega a alguien de recursos humanos. Al primero le tentarán con facturas falsas; al segundo, con currículums infectados. Si la formación que les das es genérica, con ejemplos que no tienen nada que ver con su trabajo diario, su cerebro la desconectará por irrelevante. La concienciación debe ser personalizada. Los ejemplos y las simulaciones deben imitar las amenazas reales que cada departamento podría enfrentar. Eso hace que el aprendizaje sea "pegajoso", porque lo sienten como algo propio.

Segundo, continuidad. Olvídate del evento anual. La seguridad es una carrera de fondo, no un sprint. Es mucho más efectivo un goteo constante de información que un atracón puntual. Pequeñas píldoras informativas, un consejo de seguridad en la newsletter semanal, un vídeo de dos minutos sobre un nuevo tipo de estafa... Y, sobre todo, la herramienta más poderosa que existe para crear reflejos: la simulación de phishing. Enviar ataques de phishing controlados y seguros a tus propios empleados de forma regular es la mejor escuela que existe.

Y aquí viene el tercer pilar, la simulación sin castigo. Cuando un empleado cae en una de estas simulaciones, no se le debe humillar ni castigar. ¡Todo lo contrario! Se le debe presentar una pantalla amable que le diga: "Tranquilo, esto era una simulación para ayudarte a entrenar. La próxima vez, fíjate en esto y esto otro". Te aseguro que la pequeña punzada de "casi caigo" que siente una persona en ese momento es un aprendizaje mil veces más potente que cualquier vídeo. Has convertido un error potencial en una lección práctica e imborrable. Y si además lo gamificas, creando un ambiente donde se premia a quienes reportan los correos sospechosos, transformas a tu gente de posibles víctimas en la primera línea de defensa activa.

Infografía Awareness. Minery Report

La Cultura de Seguridad se Lidera, no se Delega

Ahora bien, nada de lo que te he contado funcionará si la dirección de la empresa no está a bordo. Y estar a bordo no significa simplemente aprobar el presupuesto para la formación. Significa liderar con el ejemplo y crear un entorno de seguridad psicológica.

He estado en comités de dirección donde el CEO se quejaba de que "la gente no se toma en serio la seguridad", mientras él mismo usaba la misma contraseña para todo y pedía al equipo de IT que le desactivara el doble factor de autenticación porque "era un engorro". Esa actitud es letal. Si los líderes de la empresa se saltan las normas, el mensaje que envían al resto de la organización es que la seguridad es una molestia opcional, no una prioridad real. La cultura de seguridad, como cualquier cultura empresarial, se filtra de arriba hacia abajo.

Igual de importante es crear una cultura de no culpabilidad. El mayor enemigo de una respuesta rápida ante un incidente es el miedo de un empleado a ser despedido por haber cometido un error. Si alguien hace clic donde no debe y su primer instinto es ocultarlo por pánico a las represalias, acaba de regalarle al atacante horas, o incluso días, de ventaja para moverse por la red sin ser detectado. La política debe ser clara y comunicada por todos: "Si crees que has cometido un error, repórtalo inmediatamente. Cuanto antes lo sepamos, antes podremos solucionarlo. No habrá castigo por el error, solo por ocultarlo".

Conclusión

En definitiva, tus empleados no son el eslabón más débil de tu cadena de seguridad. Esa es una frase hecha, cómoda, pero falsa. Tus empleados son el sistema de detección de amenazas más adaptable y con mayor potencial que tienes. Son tu cortafuegos humano. Pero como cualquier sistema, necesita el mantenimiento correcto, las actualizaciones adecuadas y, sobre todo, un entorno que le permita funcionar correctamente.

Construir un cortafuegos humano eficaz es una inversión continua, no un gasto puntual. Pero te garantizo que es la inversión con el mayor retorno posible en ciberseguridad. Si quieres dejar de marcar casillas en una lista y empezar a construir una defensa real y duradera, podemos ayudarte a trazar el plan. Contacta con nosotros.

Etiquetas:
  • ciberseguridad
  • formacion para empleados
  • concienciación
  • seguridad empresarial
Categorías:
  • Ciberseguridad
VOLVER