- El 78% de los CISO afirman que quieren replantearse su enfoque de la concienciación sobre ciberseguridad
- El 74% afirma que sus informes de seguridad crean cuadros de mando, pero no una comprensión suficiente para mejorar la toma de decisiones
- Sólo el 11% puede relacionar con seguridad la actividad de concienciación con la reducción de incidentes o cuasi accidentes
- Los CISO están cambiando hacia estrategias de concienciación sobre seguridad centradas en el comportamiento, específicas para cada función y mensurables
Desde hace unos años se está produciendo un cambio en la ciberseguridad, y la mayoría de los CISO lo han sentido de una forma u otra. Muchos han intentado sortearlo, ajustando los programas, añadiendo nuevas herramientas, refinando los mensajes, pero cada vez es más difícil ignorar que algo más fundamental tiene que cambiar.
La forma en que hemos estado enfocando la concienciación sobre la seguridad ya no coincide con la forma en que se producen los riesgos.
En nuestro reciente informe, Rethinking Human Cyber Risk: How CISOs can transform security awareness training to drive measurable risk reduction, basado en una investigación con 200 CISOs de todo el Reino Unido y Europa, este cambio aparece claramente. El 78% afirma que quiere replantearse su enfoque de la concienciación en materia de seguridad. No retocarlo o mejorarlo ligeramente, sino cambiarlo de verdad. Naturalmente, esto plantea la pregunta de por qué ahora, especialmente cuando la concienciación ha sido una parte fundamental de las estrategias de seguridad durante tanto tiempo.
La respuesta se encuentra en una combinación de factores que se han ido acumulando a lo largo del tiempo. Las amenazas han evolucionado rápidamente, las expectativas de los dirigentes han aumentado y la brecha entre lo que ofrecen los programas de concienciación y lo que las organizaciones realmente necesitan se ha hecho mucho más visible/.
Cada vez está más claro que no se trata de introducir pequeñas mejoras en nuestros programas y controles actuales, sino de algo más fundamental. Para muchas organizaciones, eso significa replantearse el modelo por completo y adoptar un enfoque diferente de la concienciación sobre la ciberseguridad.
El panorama de las amenazas ha cambiado más rápido que la concienciación
La naturaleza de las ciberamenazas de hoy en día es muy diferente a la que muchos programas de concienciación sobre seguridad se diseñaron en un principio. Los ataques ya no son fáciles de detectar ni se limitan a correos electrónicos genéricos de phishing. Son más selectivos, más convincentes y están mucho más alineados con la forma en que la gente trabaja realmente.
La inteligencia artificial ha acelerado este cambio. Ahora es posible generar mensajes que suenen naturales, reflejen el tono con precisión y hagan referencia al contexto del mundo real, lo que los hace mucho más difíciles de detectar. De hecho, el 46% de los CISO que se sienten menos seguros en la gestión del ciberriesgo humano que hace un año señalan directamente a la ingeniería social posibilitada por la IA como una razón clave. Al mismo tiempo, la ingeniería social se ha vuelto más sofisticada, utilizando información disponible públicamente para crear escenarios que parecen familiares y creíbles.
Esto crea un desafío porque los empleados a menudo confían en una guía que se creó para un tipo de amenaza diferente. Reconocer una gramática pobre o un formato sospechoso ya no es suficiente cuando el mensaje parece y suena legítimo. Como resultado, la brecha entre la formación sobre concienciación en materia de seguridad y la realidad sigue ampliándose, incluso en las organizaciones que están invirtiendo mucho en concienciación.
Por qué fracasan los enfoques tradicionales de sensibilización
«El 74% de los CISOs dicen que sus informes producen cuadros de mando, pero no la suficiente claridad para tomar mejores decisiones»
La mayoría de las organizaciones han dedicado un esfuerzo significativo a la concienciación en materia de seguridad a lo largo de los años, pero la forma de medir el éxito no ha cambiado al mismo ritmo. Las tasas de finalización, las firmas de las políticas y los resultados de los simulacros de phishing siguen constituyendo la columna vertebral de muchos programas, y el 70% de los CISO afirman que sus sistemas de medición dependen de estas métricas basadas en actividades. El reto es que no siempre reflejan cómo se comportan las personas en situaciones reales, por lo que el 74% afirma que sus informes producen cuadros de mando, pero no la claridad suficiente para tomar mejores decisiones.
Hay una diferencia entre entender cómo es un buen comportamiento en materia de seguridad y aplicarlo en el momento, sobre todo cuando alguien está ocupado, bajo presión o lidiando con prioridades que compiten entre sí. Los programas de concienciación a menudo se sitúan fuera de esa realidad, se imparten como actividades independientes en lugar de ser algo integrado en la toma de decisiones cotidiana.
También está la cuestión de la relevancia. La formación genérica sobre concienciación en materia de seguridad puede aumentar los conocimientos básicos, pero rara vez refleja los riesgos específicos a los que se enfrentan las personas en sus funciones. Alguien que trabaje en finanzas, RRHH o TI se encontrará con escenarios muy diferentes, y sin embargo a menudo se les da el mismo contenido de formación. Con el tiempo, esa desconexión hace más difícil influir en el comportamiento de una manera significativa, lo que se refleja en los datos, con tres cuartas partes de los CISO diciendo que la relevancia de la formación importa más que la frecuencia de la formación cuando se trata de impulsar un comportamiento seguro.
Las expectativas de la Junta se mueven más rápido que la capacidad
«Sólo el 11% de los CISO pueden vincular con confianza su actividad de concienciación a reducciones en incidentes o cuasi incidentes»
Al mismo tiempo, las expectativas puestas en los CISO están aumentando. La ciberseguridad está ahora firmemente posicionada como un riesgo empresarial, y las juntas directivas quieren una comprensión más clara de cómo se está gestionando ese riesgo, en particular cuando se trata del comportamiento humano. De hecho, el 77% de los CISO afirman que ahora se espera de ellos que demuestren el retorno de la inversión de forma más rigurosa para las iniciativas de riesgo humano que para los controles técnicos, lo que eleva el listón de cómo se miden y justifican los programas de concienciación.
Ya no basta con demostrar que se ha completado la formación sobre concienciación en materia de seguridad. Los líderes quieren saber si está funcionando, dónde es mayor el riesgo y qué se está haciendo para reducirlo. Ese cambio en las expectativas se está produciendo rápidamente y, en muchos casos, está superando las capacidades de los programas de concienciación tradicionales.
Esto crea una posición difícil para los CISO. Se les pide que aporten pruebas del impacto, pero las métricas disponibles no siempre cuentan la historia completa. Aunque muchas organizaciones tienen acceso a grandes cantidades de datos, el 74% afirma que sus informes producen cuadros de mando, pero no la claridad suficiente para tomar mejores decisiones, y sólo el 11% puede vincular con seguridad su actividad de concienciación a la reducción de incidentes o cuasi accidentes. Esa brecha hace mucho más difícil demostrar el rendimiento de la inversión o justificar un mayor gasto.
El coste de quedarse quieto
Seguir con el mismo enfoque de concienciación sobre la seguridad conlleva un coste cada vez mayor, aunque no sea inmediatamente visible para la organización. Los incidentes relacionados con el comportamiento humano pueden acarrear pérdidas financieras, un escrutinio normativo y daños a la reputación, pero más allá de eso, hay un impacto más sutil en la forma en que operan las funciones de seguridad.
Cuando los programas de concienciación no consiguen influir plenamente en el comportamiento, los equipos de seguridad suelen compensarlo por otro lado. Eso puede significar añadir más controles, aumentar la vigilancia o responder con más frecuencia a incidentes que podrían haberse evitado antes. Con el tiempo, esto crea una presión adicional sobre los recursos y limita la capacidad de centrarse en mejoras a más largo plazo.
También existe un riesgo estratégico en quedarse atrás. A medida que las amenazas sigan evolucionando, las organizaciones que no adapten su enfoque a la concienciación tendrán cada vez más dificultades para cerrar la brecha. Lo que hoy parece manejable puede convertirse rápidamente en un problema mucho mayor a medida que aumenta la complejidad.
Repensar la concienciación sobre ciberseguridad para el panorama de amenazas actual
Está claro que muchos CISO reconocen la necesidad de un cambio, ya que el 79% afirma querer adoptar un enfoque más estratégico para gestionar el riesgo humano. La cuestión es qué aspecto tiene eso en la práctica y cómo debe evolucionar la concienciación sobre ciberseguridad para respaldarlo.
Evolucionar no significa empezar de cero, ni eliminar por completo la formación sobre concienciación en materia de seguridad. Se trata de cambiar el enfoque de la medición de la actividad a la medición del comportamiento, y de las intervenciones puntuales a algo más continuo e incrustado en la forma de trabajar de las personas.
Esto requiere comprender cómo las personas toman decisiones en escenarios reales, dónde esas decisiones introducen riesgo y cómo ese riesgo cambia con el tiempo. También significa avanzar hacia enfoques más contextuales y específicos para cada función, en los que la formación refleje las situaciones a las que probablemente se enfrenten los individuos.
Para muchas organizaciones, esto requiere una forma diferente de pensar sobre la concienciación. Se trata menos de ofrecer contenidos y más de crear un entorno en el que el comportamiento seguro sea más fácil, más intuitivo y esté mejor respaldado. Ese cambio permite a los CISO ir más allá de las métricas de nivel superficial y obtener una visión más clara de cómo se desarrolla el riesgo en toda la organización.
Un momento decisivo para la concienciación cibernética
La razón por la que 2026 se siente diferente es porque varias presiones se han juntado al mismo tiempo. Las amenazas son más avanzadas, las expectativas son mayores y las limitaciones de los enfoques existentes son cada vez más difíciles de ignorar. La IA está acelerando esa presión, y el 46% de los CISO que se sienten menos confiados en su enfoque de seguridad que hace 12 meses citan la ingeniería social posibilitada por la IA como un factor clave.
Los CISO ya reconocen la necesidad de un cambio, pero la oportunidad ahora es convertir ese reconocimiento en acción. Las organizaciones que evolucionen su enfoque estarán mejor posicionadas para comprender y reducir el riesgo humano, mientras que las que continúen con el mismo modelo pueden tener cada vez más dificultades para mantenerse al día.
No se trata de reaccionar ante una única tendencia. Se trata de responder a un cambio más amplio en cómo se desarrolla el riesgo cibernético y cómo debe gestionarse.
Cómo puede ayudar MetaCompliance
En MetaCompliance, nos centramos en los comportamientos que están detrás del riesgo para la seguridad, no sólo en la realización de programas de formación.
La concienciación cibernética debe reflejar cómo trabaja la gente, cómo se toman las decisiones bajo presión y dónde es más probable que aparezca el riesgo. Eso significa ir más allá de los enfoques tradicionales y crear programas de seguridad que proporcionen una visión real del comportamiento, no sólo de la actividad.
Ayudamos a las organizaciones a comprender dónde existe el riesgo humano, cómo evoluciona y qué medidas prácticas pueden adoptarse para reducirlo con el tiempo. Combinando el conocimiento de los comportamientos con una formación específica y pertinente, permitimos a los responsables de seguridad demostrar un impacto mensurable y construir organizaciones más fuertes y resistentes.
Si se está replanteando su enfoque de la concienciación sobre la ciberseguridad en 2026, ahora es el momento de dar el siguiente paso.
Lea nuestro último informe para explorar cómo las organizaciones líderes ya están empezando a replantearse el riesgo humano.
Preguntas frecuentes sobre ciberseguridad
¿Qué es la concienciación en ciberseguridad y por qué es importante?
La concienciación sobre ciberseguridad se refiere a lo bien que los empleados entienden, reconocen y responden a las ciberamenazas en su trabajo diario. Es importante porque la mayoría de los incidentes de seguridad implican un comportamiento humano, ya sea hacer clic en un enlace de phishing, manejar mal los datos o tomar una decisión bajo presión. Una concienciación sólida ayuda a reducir el riesgo al permitir a las personas detectar y responder adecuadamente a las amenazas antes de que se agraven.
¿Por qué se replantean las organizaciones la formación sobre concienciación en materia de seguridad en 2026?
Muchas organizaciones se están replanteando su enfoque de la formación para la concienciación en materia de seguridad porque los métodos tradicionales tienen dificultades para seguir el ritmo de las amenazas modernas. Los atacantes están utilizando IA y técnicas de ingeniería social más avanzadas, mientras que los programas de concienciación a menudo se basan en contenidos estáticos y métricas básicas. Como resultado, los CISO están buscando enfoques más eficaces, centrados en el comportamiento, que reflejen mejor el riesgo del mundo real.
¿Cuáles son los mayores retos de los programas tradicionales de concienciación sobre seguridad?
Uno de los mayores retos es que los programas tradicionales tienden a centrarse en la finalización y no en el comportamiento. Las métricas como las tasas de finalización de la formación o los resultados de las pruebas de phishing no siempre muestran cómo actúa la gente en situaciones reales. También suele haber una falta de relevancia, con contenidos genéricos que no reflejan funciones específicas o decisiones cotidianas, lo que hace más difícil impulsar un cambio significativo.
¿Cómo pueden los CISO medir la eficacia de la concienciación cibernética?
Para medir la eficacia hay que ir más allá de las métricas básicas de participación y fijarse en el conocimiento del comportamiento. Esto incluye comprender cómo responden los empleados a los escenarios del mundo real, dónde es más probable que se produzca el riesgo y cómo cambia el comportamiento con el tiempo. Los enfoques más avanzados utilizan datos y análisis para proporcionar visibilidad del riesgo humano y demostrar una mejora mensurable.
¿Qué es la gestión del riesgo humano en la ciberseguridad?
La gestión del riesgo humano es un enfoque que se centra en comprender y reducir los riesgos creados por el comportamiento humano dentro de una organización. En lugar de tratar a las personas como el eslabón más débil, examina cómo se toman las decisiones, qué influye en esas decisiones y cómo pueden las organizaciones apoyar la obtención de mejores resultados. Combina datos sobre el comportamiento, formación específica y mejora continua para reducir la exposición a las ciberamenazas.