13 de febrero de 2026
Por: Gonzalo Luis
Transformar la concientización: del checklist a la estrategia de negocio
Cuando hablamos de concientización en ciberseguridad, la mayoría piensa en cursos, capacitaciones y simulacros de phishing. Necesario, pero insuficiente.
Muchas compañías entrenan a sus colaboradores y usuarios como si tuviesen que resolver rompecabezas cuando los ciberdelincuentes nos desafían con cubos Rubik.
La pregunta que debería guiar cualquier programa de concientización es: ¿Queremos demostrar que entrenamos a las personas o queremos reducir el riesgo humano real? ¿Vas por la segunda opción? Seguí leyendo.
De enseñar reglas a diseñar comportamientos
La mayoría de los programas de concientización siguen un modelo tradicional: enseñan políticas, explican qué no hacer y suponen que la gente actuará correctamente si tiene la información.
Spoiler alert. Eso no sucederá.
Por eso, una estrategia realmente transformadora no solo “educa usuarios”, sino que modifica los contextos en los que operan. Cambiar el sistema de reacciones es el camino más rápido y efectivo para reducir el riesgo humano.
¿Suena complejo? No lo es. La seguridad falla cuando el entorno técnico o normativo hacen fácil romperla. Esto es así porque las personas no actúan en el vacío. El comportamiento es un producto del contexto. Las contraseñas secuenciales son un ejemplo válido: Agosto2025! -> Septiembre2026! -> Octubre2027!
¿Por qué sucede esto? Muchos programas siguen diseñados para un “usuario perfecto”: atento, motivado, con tiempo disponible y conocimientos técnicos cuando en realidad, diseñamos para personas que no cumplen estas condiciones. Y nuestros cerebros están preparados para ahorrar energía. A la primera oportunidad lo harán. Debemos redirigir esfuerzos, nuestro objetivo es hacer que la opción segura sea la más fácil y natural. Es un camino más exigente, pero infinitamente más efectivo.
Pasa con las contraseñas y se repite con los indicadores de gestión. De nada sirve saber cuántos colaboradores completaron un curso si los comportamientos clave no cambian Debemos preguntarnos ¿Empezaron a reportar? ¿Luego de la capacitación cambió algún hábito? Seremos claros: una organización todo el tiempo elige entre la cultura que forja y la que descuida ¿De qué lado estás?
No todos los programas están listos, pero todos deben evolucionar. El paso que estamos dando es gestionar el riesgo humano como un riesgo del negocio, no como “una cuestión de capacitación”. El mejor momento para empezar es hoy.
La concientización efectiva se construye paso a paso, día a día, decisión por decisión. No se trata de hacer más sino de diseñar entornos, decisiones y sistemas más seguros por defecto. El comportamiento humano es una de las mayores fuentes de riesgo. Transformarlo no puede seguir siendo una acción cosmética: debe ser una prioridad estratégica.
