A pesar del avance de las herramientas de ciberseguridad, el phishing sigue siendo uno de los principales puntos de entrada para los ataques contra las empresas. La razón va más allá de la tecnología: en muchos casos, las brechas persisten en el comportamiento humano y en la forma en que las organizaciones abordan la seguridad en sus operaciones cotidianas.
Un estudio de KnowBe4, la plataforma de renombre mundial que aborda integralmente la gestión de riesgos relacionados con la IA humana y la IA autónoma, refuerza este escenario. La empresa analizó 67.7 millones de simulaciones de phishing realizadas con 14.5 millones de usuarios en más de 62,000 organizaciones a nivel mundial.
Antes de recibir cualquier capacitación en seguridad, el 33.1% de los usuarios hace clic en enlaces o interactúa con mensajes de phishing simulados. Según la empresa, los datos muestran que el problema no es solo la sofisticación de los ataques, sino también fallas recurrentes dentro de las propias organizaciones. A partir de este conjunto de datos, KnowBe4 identificó cinco puntos ciegos que ayudan a explicar por qué el phishing sigue funcionando.
Cinco puntos ciegos en las organizaciones
- El entrenamiento sigue siendo tratado como una acción puntual: Cuando la concientización ocurre de forma aislada, el impacto tiende a ser limitado. Según el análisis, los programas de capacitación continua marcan una diferencia más concreta. En 90 días, las tasas de susceptibilidad al phishing pueden reducirse alrededor de un 40%.
- La cultura de seguridad sigue siendo frágil: Los mensajes que imitan comunicaciones internas, como avisos de Recursos Humanos o de TI, siguen siendo los que generan más clics en las simulaciones. Esto muestra cómo la confianza en las rutinas corporativas puede ser fácilmente explotada cuando la seguridad no forma parte de la cultura empresarial cotidiana.
- Falta de visibilidad sobre el riesgo humano: Muchas empresas monitorean amenazas técnicas, malware y vulnerabilidades, pero aún rastrean el comportamiento de los usuarios con menos atención. Métricas como el Phish-prone Percentage (PPP), que mide la probabilidad de que los empleados caigan en ataques de phishing, ayudan a incorporar este riesgo a una gestión más concreta.
- El exceso de confianza sigue siendo un problema: Muchos profesionales creen que serían capaces de identificar un intento de phishing. Sin embargo, los datos muestran una realidad diferente: antes del entrenamiento, aproximadamente un tercio de los usuarios aún interactúa con mensajes simulados.
- Dependencia excesiva de la tecnología: Los filtros de correo electrónico y otras capas de protección siguen siendo esenciales, pero no detienen todos los ataques. Cuando un mensaje malicioso llega a la bandeja de entrada, la decisión del usuario se vuelve crítica.
Según KnowBe4, los programas de capacitación y concientización continua pueden reducir el riesgo de phishing hasta en un 86% después de un año. Para la empresa, esto refuerza que el comportamiento humano debe ser tratado como una parte central de la estrategia de ciberseguridad.
“Muchas organizaciones todavía tratan el phishing únicamente como un problema tecnológico, cuando en realidad está directamente vinculado al comportamiento humano. Sin capacitación continua y una cultura de seguridad sólida, incluso las mejores herramientas pueden ser insuficientes”, dice Rafael Peruch, Asesor Técnico de CISO en KnowBe4.
Leer más
- Kaspersky identifica nueva versión de malware que se infiltra en aplicaciones de la App Store y Google Play
- Ciberataques con IA y computación cuántica: el nuevo escenario de amenazas que pone en jaque a las empresas
- ¿Enlace dudoso? Guía práctica para verificar si una URL es segura antes de hacer clic
