.png)
Vivimos en pleno 2025, en una época donde la seguridad perimetral ya no se define por muros, sino por microsegmentación, autenticación adaptativa y análisis de comportamiento. Donde los EDR ya no se limitan a detectar, sino que predicen y bloquean de forma autónoma. Donde los XDR enriquecen la telemetría con IA generativa y los SOC son híbridos, distribuidos y 24x7. Aun así, en plena era post-zero trust, el vector de entrada más recurrente sigue teniendo rostro humano.
Los atacantes lo saben. Por eso, cada vez más campañas APT y RaaS (Ransomware-as-a-Service) comienzan no por una vulnerabilidad técnica, sino por una debilidad cognitiva: un correo con apariencia legítima, una llamada convincente, un enlace que no se verificó. El clic que lo cambió todo. O, más precisamente, el clic que se repite cada día en miles de organizaciones.
El precedente sigue siendo humano: de Lapsus$ a las campañas BEC del 2025
Aunque el ataque de Lapsus$ a NVIDIA en 2022 marcó un hito —con más de 71.000 credenciales robadas tras un simple acceso vía ingeniería social—, los patrones no han cambiado, solo se han sofisticado. En lo que llevamos de 2025, grupos como Storm-1811 y Octo Tempest han explotado técnicas de MFA fatigue y QR phishing para infiltrarse en empresas tecnológicas, sanitarias y del sector público europeo. El uso de deepfakes en tiempo real para suplantar identidades en videollamadas ya no es anecdótico, sino parte del arsenal ofensivo observado en los últimos reportes de ENISA y CISA.
El primer paso del kill chain —según ATT&CK— sigue siendo Initial Access (TA0001), y las técnicas más usadas siguen ligadas al Phishing (T1566), Spearphishing Link (T1566.002) o Valid Accounts (T1078). En todos estos casos, el eslabón comprometido no fue un firewall ni una API: fue una persona.
Sin embargo, culpar a un empleado por no identificar una suplantación de dominio o caer ante un deepfake de voz es tan ineficaz como reprochar a un operario que no sepa leer un log de eventos. El problema no es el humano. Es no haberle dado las herramientas, la formación y los reflejos necesarios para actuar con criterio y confianza. ¿Cuántos trabajadores sabrían hoy identificar un QR malicioso, un dominio homoglyph o una técnica de pretexting por WhatsApp Business?
La ciberseguridad, si no se vive, no se interioriza. Y si no se interioriza, no protege.
Los planes de concienciación tradicionales, basados en cursos genéricos una vez al año, están tan obsoletos como los antivirus sin análisis heurístico. Un programa de ciberconciencia moderno debe ser:
- Personalizado por rol: no necesita lo mismo un desarrollador que un administrativo o un miembro del consejo.
- Interactivo y continuo: no se trata de formar una vez, sino de reforzar hábitos a lo largo del tiempo.
- Medible y retroalimentado: cada campaña de phishing simulado debe ir acompañada de métricas, análisis de comportamiento y feedback inmediato.
Además, debe incluir escenarios reales como parte del entrenamiento: suplantación de Microsoft 365, campañas de QakBot camuflado, mensajes por LinkedIn con archivos compartidos vía OneDrive, y ahora también la manipulación de asistentes de voz con prompts diseñados para filtrar información corporativa.
Una cultura de ciberseguridad sólida no nace de la tecnología ni se decreta por política interna. Se construye día a día con liderazgo, coherencia y ejemplo. Ocurre cuando los empleados informan de un intento de phishing sin haber hecho clic, cuando el comité directivo pregunta si los accesos están auditados o cuando un comercial sabe que compartir una propuesta con un tercero requiere cifrado y firma digital.
Pasar del “no sabía” al “no caigo” implica transformar la percepción de la seguridad: de freno burocrático a palanca de confianza.
¿Qué hacer a partir de hoy?
Si lideras un equipo IT, trabajas como CISO o simplemente formas parte del engranaje que protege tu empresa, aquí van algunas acciones críticas:
- Audita tu programa actual de concienciación: ¿está actualizado a las amenazas actuales? ¿es específico por perfil?
- Introduce gamificación, simulaciones y ejercicios de crisis: aprende haciendo, no solo escuchando.
- Implica a los líderes de cada área: la cultura empieza en la dirección, no en los PowerPoints.
- Adapta la formación a la realidad digital de hoy: trabajo híbrido, dispositivos personales, movilidad, IA generativa, y aplicaciones SaaS descontroladas.
Recuerda que el mejor firewall sigue siendo un empleado formado, consciente y comprometido. Porque el eslabón más débil también puede ser el primer escudo si le damos las herramientas adecuadas.
Y tú, ¿seguirás apostando solo por tecnología… o vas a entrenar también a los que la usan?
Beatriz Díaz, Responsable de Formación y Concienciación en Grupo Cybertix.