18 de febrero de 2026
Por: Gonzalo Luis
Más que mensajes: cómo comunicar para cambiar comportamientos en ciberseguridad
La concientización en ciberseguridad suele fallar no por falta de contenido técnico, sino por una razón mucho más sencilla y profunda: comunica mal. Mensajes genéricos, abstractos, irrelevantes o que simplemente no se ven. Muchas veces los contenidos de capacitación parecen el resultado de un cocktail con Wikipedia y una pizca de Chat GPT.
La concientización efectiva no se trata de decir cosas correctas, sino de decirlas a la persona correcta y de forma sostenida. La ciberseguridad es comunicación y la comunicación es cultura. La concientización tradicional muchas veces es un recordatorio monótono de lo que "ya deberíamos saber". Pero cuando una acción rompe con la rutina (un mensaje inesperado, una simulación que incomoda, una historia que emociona) el impacto emocional cambia las reglas del juego. Lo que sorprende, se recuerda.
Y lo que se recuerda, puede transformarse en un nuevo hábito. Las variantes son muchas. Puede ser un videojuego modificado para la ocasión, un juego de cartas o recuperar una kermesse. La ciberseguridad compite por atención en un entorno saturado de urgencias corporativas o familiares y consumos multipantallas. Si el mensaje no se entiende, no se recuerda o no se percibe como relevante… no interviene en la cultura de la organización.
Los diferentes riesgos que las personas afrontan dentro y fuera del ámbito laboral ya definen un primer nivel de customización temática. El segundo será como haremos llegar ese contenido a esa persona ¿Tiene delante suyo una computadora todo el día? ¿Solo cuenta con un celular? ¿Cómo realiza el resto de sus formaciones? La segmentación debe basarse en comportamientos reales, no solo en cargos o áreas. Diseñar sin entender a la audiencia es diseñar para el error. El mensaje debe ser claro, accionable y situacional. Repetir no es redundante, es estratégico.
Bajo presión, la ambigüedad se traduce en decisiones inseguras. Por eso las personas necesitan saber como identificar un momento crítico y que hacer en esa situación. Por ejemplo:
“Si un mail te genera urgencia y pide datos: reportalo con este botón”
No nos olvidaremos de la repetición. Los comportamientos seguros necesitan microexposiciones frecuentes. Así el refuerzo mantiene la conducta “disponible” o “latente” justo cuando importa. No podemos esperar cambios por exponer a las personas durante 3 segundos a un correo electrónico cada 365 días. Tampoco por hacer 52 simulacros de phishing al año. Contenidos, refuerzos y simulacros deben acompañarse. Necesitamos consolidar hábitos y cada microexposición será el refuerzo posterior a una formación y anterior al próximo simulacro de phishing.
Antes de finalizar queremos ser claros, concientizar no es solo informar. Es diseñar contextos, conversaciones y decisiones para que la ciberseguridad no sea un concepto… sino una conducta cotidiana.
