Crear y sostener un programa eficaz de concienciación en seguridad sigue siendo uno de los grandes retos para los equipos de ciberseguridad. El objetivo es ambicioso: llegar a una plantilla cada vez más diversa y distribuida, con poco tiempo disponible y niveles muy distintos de madurez digital. Desde Proofpoint recuerdan que reducir el riesgo no pasa únicamente por formar, sino por adaptar esa formación al comportamiento real de los usuarios, a las amenazas a las que se enfrentan y a la capacidad de medir avances de forma continua.
El factor humano continúa siendo el eslabón más débil. En España, casi la mitad de los CISOs identifica a las personas como el principal riesgo en materia de ciberseguridad. Resulta especialmente significativo que, aunque más de la mitad considera que los empleados conocen las buenas prácticas, ese conocimiento no siempre se traduce en comportamientos seguros. A ello se suma que cerca del 46 % de las organizaciones reconoce no contar con herramientas adecuadas para gestionar el riesgo interno, lo que perpetúa la brecha entre saber qué hacer y hacerlo realmente.
En este contexto, la formación genérica —la que trata a todos los empleados por igual— aporta un valor limitado. Incluso cuando existe segmentación, suele ser manual, costosa en tiempo y difícil de mantener para equipos ya saturados. Sin automatización, ofrecer una experiencia eficaz a los perfiles más expuestos al riesgo se convierte en una tarea casi imposible.
El secreto
Frente a este enfoque tradicional, el aprendizaje adaptativo gana protagonismo. Se trata de un modelo que ajusta la formación al comportamiento, al rol y al nivel de riesgo de cada usuario. En lugar de contenidos estándar, apuesta por itinerarios personalizados y automatizados, en los que simulaciones de phishing, formaciones específicas o avisos contextuales se asignan en función de señales reales de riesgo. El objetivo es claro: que cada interacción tenga sentido y contribuya a un cambio de comportamiento medible.
Uno de los problemas de muchas plataformas actuales es que se basan en métricas demasiado básicas, como la tasa de clics o la finalización de cursos, que no reflejan el riesgo real. Los modelos adaptativos incorporan señales dinámicas: si un usuario maneja mal información sensible o activa alertas de protección del dato, pasa automáticamente a un grupo que recibe formación específica para corregir ese comportamiento. Así, los equipos de seguridad reducen tareas manuales y pueden centrarse en acompañar a los usuarios, mientras los grupos se ajustan de forma continua a la evolución del riesgo.
Este mismo principio se aplica a las rutas de aprendizaje. En lugar de decidir manualmente a quién formar, cuándo y sobre qué, los itinerarios adaptativos automatizan la asignación de contenidos en función de amenazas reales y comportamientos detectados. A medida que cambian los riesgos, los programas se ajustan, lo que facilita medir su impacto y perfeccionarlos con el tiempo.
El resultado es una formación más eficiente y mejor enfocada. Los empleados no pierden tiempo en prepararse frente a amenazas improbables o ya mitigadas, y quienes necesitan apoyo lo reciben en el momento adecuado. El refuerzo progresivo, basado en repetición y ejemplos cercanos al día a día, ayuda además a consolidar hábitos seguros.
“El valor del aprendizaje adaptativo está tanto en su impacto como en su eficiencia”, señalan desde Proofpoint. “Al dirigir las experiencias formativas a perfiles de riesgo concretos, la formación se vuelve más relevante y efectiva. El cambio de comportamiento no se consigue con una acción puntual, sino con un proceso continuo que refuerza la resiliencia de toda la organización”.
