A pesar de las inversiones millonarias en firewalls, antivirus y software de última generación, el ataque de ciberseguridad más antiguo y simple sigue siendo el más efectivo. El phishing, esa técnica que busca engañar a las personas para que revelen información sensible o hagan clic en enlaces maliciosos, continúa siendo la puerta de entrada principal para los ciberdelincuentes que atacan a las empresas. La razón, según un análisis global, no está solo en la astucia de los hackers, sino en puntos ciegos persistentes dentro de las propias organizaciones.
La plataforma de seguridad KnowBe4 analizó un volumen masivo de datos: 67.7 millones de simulaciones de phishing realizadas con 14.5 millones de usuarios en más de 62,000 organizaciones alrededor del mundo. Los resultados son reveladores: antes de cualquier tipo de capacitación en seguridad, un 33.1% de los empleados interactúa con correos de phishing simulados, ya sea haciendo clic en enlaces o descargando archivos. Esta cifra demuestra que la vulnerabilidad humana sigue siendo el eslabón más débil.
El estudio identifica cinco fallas críticas que explican por qué el problema persiste. En primer lugar, muchas empresas tratan la capacitación en seguridad como un evento único y obligatorio, una “caja que marcar” una vez al año. Sin embargo, los datos indican que los programas de concientización continuos y frecuentes pueden reducir la susceptibilidad al phishing hasta en un 40% en solo 90 días. La cultura de seguridad, el segundo punto ciego, es frágil. Los mensajes que imitan comunicaciones internas de Recursos Humanos o del departamento de Tecnologías de la Información (TI) –sobre actualizaciones de políticas, bonos o cambios de contraseña– son los que generan más clics, porque se aprovechan de la confianza interna.
Un tercer error es el enfoque desbalanceado. Las empresas suelen monitorear exhaustivamente las amenazas técnicas, pero rastrean muy poco el comportamiento humano de riesgo. No basta con saber que un malware intentó entrar; es crucial entender qué empleados son más propensos a caer en trampas y por qué. Ligado a esto está el cuarto punto: el exceso de confianza. Muchos profesionales, incluso aquellos en áreas técnicas, creen firmemente que podrían detectar un correo fraudulento, pero las simulaciones demuestran una realidad muy distinta cuando el mensaje está bien elaborado.
Finalmente, existe una dependencia excesiva en los filtros tecnológicos. Si bien estas herramientas bloquean una gran cantidad de amenazas, generan una falsa sensación de seguridad. Cuando un correo de phishing logra sortear estos filtros y llega a la bandeja de entrada, el usuario, confiado en que el sistema ya lo habría detenido, baja la guardia y es más vulnerable.
La buena noticia, según el reporte, es que la remediación es clara y efectiva. Invertir en la capacitación constante del capital humano tiene un retorno medible. Los programas de entrenamiento continuo pueden reducir el riesgo de phishing hasta en un 86% después de un año de implementación. La conclusión es contundente: ninguna suite de seguridad, por cara y avanzada que sea, puede sustituir una cultura organizacional robusta donde cada empleado entienda su rol como el primer y último firewall de la empresa. La ciberseguridad ya no es un tema exclusivo del departamento de TI; es una responsabilidad compartida que requiere evolución constante.
