Las empresas están redoblando sus esfuerzos para abordar el riesgo humano con IA, tecnología adaptativa y programas sostenibles que superan el enfoque del simple cumplimiento.
En pleno auge de la ciberseguridad corporativa, el factor humano sigue representando el mayor riesgo operativo para las organizaciones. Datos compartidos durante el Congreso América Digital 2025 indican que entre el 70% y el 90% de los ciberataques explotan vulnerabilidades humanas. Y sin embargo, solo el 3% del presupuesto de seguridad se destina a la capacitación de personas.
Carlos Picolo (KnowBe4) y Juan Pablo Rotella (Assertiva S.A.) fueron enfáticos: si bien los programas de concientización existen, la mayoría responde a objetivos de cumplimiento regulatorio, no a una verdadera estrategia de prevención. El resultado: culturas organizacionales que marcan la «cajita» del compliance pero siguen siendo altamente vulnerables.
De la capacitación aislada a la gestión continua del comportamiento
La madurez en la gestión del riesgo humano requiere pasar de acciones puntuales (como enviar correos o realizar un simulacro de phishing anual) a programas continuos, personalizados y medibles. KnowBe4 y Assertiva promueven un enfoque basado en la mejora continua, con KPIs claros que permitan evaluar si las conductas de riesgo están disminuyendo.
Rotella destacó la importancia de cambiar el comportamiento organizacional, no solo informar. Para lograrlo, se requiere aprendizaje adaptativo y refuerzo constante, siguiendo modelos como la curva del olvido de Ebbinghaus o el modelo de acción de B.J. Fogg. Sin una estrategia de refuerzo y motivación, la información se pierde en pocos días.
IA y automatización: aliados para personalizar el riesgo
La inteligencia artificial ya está transformando los programas de concientización. Hoy es posible automatizar campañas, generar simulaciones dirigidas a grupos específicos y desplegar comunicaciones en tiempo real adaptadas al comportamiento del usuario.
Una de las herramientas destacadas fue el enfoque de «Human Detection and Response» (HDR), que permite detectar comportamientos riesgosos (como acceder a sitios maliciosos) y activar respuestas inmediatas con chatbots educativos. La IA no solo refuerza, también ahorra tiempo y recursos.
Del phishing a la acción efectiva: facilitando el reporte
Picolo subrayó la importancia de reducir la fricción en las acciones que se espera del usuario. Un ejemplo concreto es el botón de alerta de phishing integrado a los correos corporativos, que permite reportar incidentes con un solo clic. Esto aumenta la motivación y mejora los indicadores de participación.
Este principio de «»hacerlo fácil para el usuario» se replica en toda la estrategia de KnowBe4: cuanto más personalizadas y accesibles son las acciones, más efectiva es la retención del conocimiento y la adopción de buenos hábitos.
Tres factores de éxito para transformar la cultura de seguridad
La llamada «santísima trinidad» del éxito, según los expertos, se compone de:
- Una herramienta tecnológica robusta y flexible (como KnowBe4)
- Compromiso real de los ejecutivos y stakeholders
- Acompañamiento experto de un partner especializado, como Assertiva
Con más de 100 programas de concientización ejecutados, Assertiva ha demostrado que la tecnología por sí sola no cambia comportamientos. El cambio ocurre cuando se integra estrategia, datos, pedagogía y acompañamiento continuo.