En 2025, el ransomware sigue siendo una de las amenazas más perturbadoras y costosas a las que se enfrentan las organizaciones. Lo que empezó como unos delincuentes que bloqueaban los datos robados y exigían un pago se ha convertido en un negocio en toda regla: bien organizado, de rápido movimiento e increíblemente costoso. Sólo este año, el ransomware representa casi el 68% de todos los ciberataques detectados en el mundo, y se espera que las pérdidas económicas superen los 57.000 millones de dólares.

Aunque las tecnologías defensivas han mejorado, los atacantes se adaptan aún más rápido. La IA potencia ahora las campañas de phishing que imitan el tono, el ritmo e incluso los patrones internos del lenguaje. Y el ransomware se ha vuelto aún más fácil de lanzar gracias a las herramientas de ransomware como servicio (RaaS) ya preparadas y a las tácticas de presión por capas. Incluso los atacantes con poca habilidad técnica pueden llevar a cabo campañas serias y dañinas.

Sin embargo, a pesar de la sofisticación de estas amenazas, el eslabón más débil permanece inalterado: el comportamiento humano.

El elemento humano: Fatiga de concienciación

Los profesionales de la seguridad saben que el comportamiento humano desempeña un papel fundamental en la protección de nuestros sistemas. Pero en un mundo de correos electrónicos constantes, formación obligatoria y recordatorios de seguridad interminables, nuestra primera línea está mostrando signos de fatiga.

La fatiga de concienciación describe el agotamiento mental que se produce cuando los empleados se ven abrumados por mensajes repetitivos, políticas complejas y continuas demandas de atención. En lugar de reforzar los buenos hábitos, puede conducir a la falta de compromiso, a tomar atajos arriesgados y a no denunciar las actividades sospechosas.

Esto no se debe a que los empleados no se preocupen. Es una respuesta natural y humana a la sobrecarga. Los estudios muestran que incluso cuando el gasto mundial en ciberseguridad supera los 200.000 millones de dólares, las infracciones siguen aumentando. El problema no se debe a una falta de concienciación, sino a la disminución del impacto de los enfoques tradicionales de aprendizaje sobre ciberseguridad en entornos digitales sobreestimulados.

Los atacantes no tardan en aprovecharse de ello. Las campañas de phishing reflejan ahora el ritmo y el tono de las comunicaciones laborales cotidianas -solicitudes urgentes, facturas falsas o falsas actualizaciones informáticas-, todas ellas diseñadas para atrapar a los usuarios en momentos de distracción o estrés. Ahora que el 82% de las infracciones implican un elemento humano, desde el uso indebido de credenciales hasta la ingeniería social, está claro que una ciberseguridad eficaz depende de la gestión del riesgo humano, no sólo de los controles técnicos.

El ransomware ya no es sólo una amenaza técnica

Durante años, las estrategias de ciberseguridad se han centrado en la prevención: parchear los sistemas, actualizar los antivirus’, vigilar los puntos finales, pero el ransomware ha evolucionado más allá de esto. Ahora tiene como objetivo el panorama psicológico de las organizaciones: las decisiones que toman las personas cuando están cansadas o inseguras.

Las tácticas de defensa tradicionales no pueden contrarrestar la sutil explotación humana que emplean los grupos modernos de ransomware. La ingeniería social, la inducción al estrés y la desinformación forman ahora parte del libro de jugadas. Cuando un empleado duda en informar de un enlace sospechoso o teme ser culpado por hacer clic en el correo electrónico equivocado, el atacante gana.

Por eso la resistencia, y no la perfección, debe convertirse en el objetivo.

De la prevención a la resiliencia

En la actualidad, casi todas las organizaciones cuentan con planes de respuesta al ransomware. Según una investigación reciente, el 98% dispone de libros de jugadas documentados para ello, pero menos de la mitad puede ejecutarlos con eficacia durante un incidente real. Los planes que parecen sólidos sobre el papel a menudo fracasan en la práctica porque las personas implicadas no están preparadas para tomar decisiones rápidas y seguras en situaciones de estrés.

La resistencia es la capacidad de responder, recuperarse y aprender. No se trata de evitar cada brecha, sino de asegurarse de que su organización puede contenerlas y recuperarse. Sólo el 13% de las víctimas de ransomware pagaron rescates en 2025 -frente al 16% del año pasado-, lo que sugiere que cada vez más organizaciones dan prioridad a la preparación frente a las amenazas y al restablecimiento frente a la negociación.

Este cambio refleja una creciente madurez en ciberseguridad: la constatación de que el camino hacia la resiliencia pasa por la cultura, la comunicación y la confianza.

Por qué la apertura vence al silencio en seguridad

Las organizaciones que mejor se recuperan de los incidentes de ransomware comparten un rasgo común: una sólida cultura de seguridad psicológica. En estos lugares de trabajo, los empleados se sienten cómodos admitiendo errores y denunciando incidentes sin temor a ser castigados.

Esto es importante porque el tiempo es crítico. Cuanto antes se notifique un incidente, más rápido se podrá contener. Sin embargo, en muchas organizaciones los empleados dudan porque temen las consecuencias.

Los líderes desempeñan un papel clave en la configuración de esta cultura. Cuando los altos dirigentes dan ejemplo de apertura, reconocen sus propias vulnerabilidades y enmarcan la seguridad como una responsabilidad compartida, crean una cultura de comunicación abierta y honesta. Sin embargo, si los dirigentes tratan los incidentes como fallos o culpan a los individuos, crece una cultura del silencio y, con ella, el riesgo de que se produzcan infracciones no detectadas.

Fomentar la seguridad psicológica no significa relajar las normas, sino pasar de una mentalidad de culpabilización a una mentalidad de aprendizaje, en la que cada intento de suplantación de identidad, cada clic accidental o cada fallo simulado se convierta en una oportunidad para reforzar su capacidad de recuperación.

Gestión del riesgo humano: El siguiente paso adelante

La creación de una cultura de seguridad psicológica es donde entra en juego la Gestión de Riesgos Humanos (GRH). La gestión de los recursos humanos va más allá de las campañas de concienciación cibernética y de la formación sobre el cumplimiento de las normas para comprender por qué las personas se comportan como lo hacen. Analiza los patrones de riesgo, identifica a las personas con más probabilidades de ser objeto de ataques o de fatiga y ofrece intervenciones adaptadas y pertinentes en lugar de contenidos de talla única.

Al combinar los conocimientos sobre el comportamiento con la formación adaptativa y los refuerzos positivos, la GRH convierte a los usuarios en defensores activos. Fomenta el compromiso a través de la personalización, el reconocimiento y la relevancia, haciendo que la seguridad se sienta como parte de la cultura cotidiana en lugar de como una carga añadida.

La GRH reconoce que la concienciación no es un hecho puntual, sino un proceso continuo de refuerzo y reflexión.

Liderar a través de la incertidumbre

Los líderes en ciberseguridad se enfrentan a un reto crucial: redefinir el éxito no como «ningún incidente», sino como una recuperación eficaz. El ransomware seguirá evolucionando y ninguna tecnología puede garantizar una prevención total. Lo que los líderes pueden controlar es cómo se preparan, comunican y responden sus organizaciones.

Para los profesionales de la ciberseguridad de alto nivel, esto significa:

  • Defender la resistencia por encima de la perfección: aceptar que las infracciones ocurren y planificar en consecuencia.
  • Construir culturas de confianza, no de miedo: fomentar la transparencia y la presentación de informes.
  • Hacer que el aprendizaje sea flexible y pertinente: sustituir el contenido de las casillas de verificación por una educación pertinente basada en los riesgos.
  • Implicar a la dirección a todos los niveles: la seguridad debe verse como un elemento facilitador del negocio, no sólo como una función de TI.

Cuando las personas se sienten de confianza, informadas y respaldadas, toman mejores decisiones. Esa es la ventaja humana que la tecnología no puede replicar.

El camino a seguir

El ransomware está evolucionando, y nuestras defensas también deben hacerlo. A medida que las organizaciones avanzan más allá del cumplimiento hacia un auténtico cambio de cultura, la gestión del riesgo humano ofrece un camino a seguir, uno que reconoce el poder de las personas como la mayor vulnerabilidad y la mayor defensa.

La pregunta a la que se enfrentan todas las organizaciones hoy en día no es si se enfrentarán a un ataque de ransomware, sino cómo de preparadas estarán cuando suceda. La respuesta reside en la confianza, la transparencia y la capacidad de recuperación de las personas tanto como en las herramientas y la tecnología existentes para defenderse de ellos.

Para saber más sobre cómo protegerse contra las ciberamenazas, reserve una demostración de nuestra plataforma.

Preguntas frecuentes sobre el ransomware y la gestión de riesgos humanos

¿Por qué el comportamiento humano es el eslabón más débil de la ciberseguridad?

En el 82% de las infracciones interviene un elemento humano, desde el uso indebido de credenciales hasta la ingeniería social. Los atacantes se aprovechan de la distracción, el estrés y la fatiga de concienciación para eludir las defensas técnicas.