Durante años, las organizaciones han intentado reducir el riesgo humano a base de cursos, campañas de phishing y acciones periódicas de concienciación. Sin embargo, para Valle Jiménez, experta en Riesgo Humano en Ciberseguridad y directora adjunta de Seguridad Conductual de S2GRUPO, ese enfoque resulta insuficiente si no se comprende qué lleva realmente a las personas a cometer errores.
“Muchas veces no fallan las personas, fallan los procesos que las rodean”
Tras más de quince años trabajando en este ámbito, la compañía ha evolucionado desde los modelos tradicionales de formación hacia una aproximación centrada en comprender qué comportamientos y decisiones pueden generar vulnerabilidades, por qué se producen y cómo corregirlos.
Para Valle Jiménez, “el riesgo humano no solo se gestiona haciendo acciones de formación y concienciación, sino entendiendo qué comportamientos son los que generan vulnerabilidades y pueden llevar a que se materialice una amenaza”. Esa visión está detrás de ProtectIT Seguridad Conductual, la metodología desarrollada por S2GRUPO para identificar, medir y monitorizar de forma continua los comportamientos de riesgo dentro de las organizaciones. La diferencia, sostiene, es que el análisis no se detiene en el comportamiento de riesgo que tiene una persona, sino que busca su causa raíz, teniendo en cuenta factores organizativos, técnicos, físicos y conductuales.
De ahí que el trabajo no se limite a impartir formación, realizar campañas de divulgación o entrenar en diferentes técnicas de ingeniería social. En algunos casos implica revisar procedimientos, adaptar normativas, reforzar las medidas técnicas y físicas o corregir dinámicas internas que están favoreciendo conductas inseguras. Como resume Jiménez, el objetivo es “pasar de la concienciación a la gestión del riesgo humano basada en datos reales”.
Además, “en nuestra experiencia trabajando con grandes organizaciones, vemos que cada organización requiere un enfoque diferente”. Antes de definir acciones, S2GRUPO realiza un diagnóstico para identificar comportamientos de riesgo por perfiles y colectivos, medir su impacto y comprobar posteriormente si las medidas adoptadas están reduciendo realmente la exposición. “No damos un café para todos”, afirma la directiva de S2GRUPO. A su juicio, los programas genéricos que se repiten periódicamente para toda la plantilla ya no responden a la complejidad actual.
El problema no son solo las personas, sino el contexto
En opinión de Valle Jiménez, resulta simplista seguir considerando a las personas como el eslabón más débil de la seguridad. Aunque el factor humano aparece detrás de buena parte de los incidentes, cree que centrar toda la responsabilidad en los empleados conduce a diagnósticos erróneos e incluso a medidas contraproducentes. Algunas organizaciones, explica, han llegado a penalizar a trabajadores que caen repetidamente en simulaciones de phishing, cuando el origen del problema suele ser mucho más complejo.
“Nos centramos más en castigar y en el refuerzo negativo que en el refuerzo positivo”, lamenta. La tecnología disponible, la presión operativa, los procesos internos, las exigencias del negocio o el propio diseño de las herramientas influyen directamente en la forma en que las personas toman decisiones. En muchos casos, añade, los errores se producen “porque el entorno los facilita, o incluso lo provoca”.
Por eso la seguridad conductual analiza la vulnerabilidad desde una perspectiva holística. No se trata únicamente de modificar comportamientos de riesgo individuales, sino de entender qué elementos del contexto están favoreciendo que esos comportamientos aparezcan, relacionándolos con las amenazas y midiéndolos, para a partir de ahí, tomar decisiones sobre en qué medidas se debe o no invertir
No existe el mismo riesgo para todos
Esa misma filosofía explica por qué Valle Jiménez cuestiona muchos de los programas tradicionales de concienciación. A su juicio, una de las razones por las que cuesta cambiar hábitos es que buena parte de la formación sigue siendo excesivamente generalista.
“No vale el café con leche para todos”. Con esta expresión resume Valle Jiménez uno de los principales problemas de muchos programas de concienciación. Mientras algunos perfiles pueden estar expuestos principalmente a campañas de phishing, otros se enfrentan a riesgos relacionados con el uso de herramientas de IA generativa, el acceso a información sensible o la gestión de procesos críticos. Pese a ello, muchas organizaciones siguen ofreciendo la misma formación a toda la plantilla.
La clave, explica Valle Jiménez, está en identificar qué amenazas pueden afectar realmente a cada grupo de personas y diseñar estrategias específicas para cada caso.
“No basta con decirle al empleado lo que tiene que hacer; hay que diseñar entornos que faciliten comportamientos seguros”
La IA acelera los riesgos y reduce los tiempos de reacción
La irrupción de la inteligencia artificial está obligando a replantear muchas de las prácticas tradicionales de concienciación. Deepfakes, voces clonadas, mensajes hiperpersonalizados o campañas automatizadas están elevando el nivel de sofisticación de la ingeniería social.
Para Valle Jiménez, el problema no es sólo que los ataques sean más convincentes, sino que evolucionan a una velocidad que hace imposible responder con modelos formativos estáticos.
“La IA está elevando esto a una escala prácticamente sin precedentes”, advierte Jiménez, convencida de que los programas tradicionales de formación llegan tarde ante amenazas que evolucionan constantemente, y que las organizaciones necesitan “modelos adaptativos capaces de evolucionar al mismo ritmo que las amenazas y de incorporar nuevos riesgos prácticamente en tiempo real”.
La urgencia y la presión siguen siendo los mejores aliados de los atacantes
La urgencia continúa siendo uno de los factores más explotados por los ciberdelincuentes, asegura Valle Jiménez durante la entrevista: “Cuando parece que es mi jefe quien me está pidiendo algo urgente, la gente sigue cayendo porque confía en esa urgencia y no verifica la identidad por otra vía”. A ello se suman la fatiga digital, la sobrecarga de herramientas y los automatismos adquiridos durante años. Los atacantes no solo explotan a las personas, explotan el contexto en el que toman decisiones.
La evolución de las amenazas también está modificando el perfil de las víctimas. La alta dirección, sus asistentes, los equipos financieros, recursos humanos o los profesionales con acceso a información crítica concentran buena parte del interés de los atacantes. El objetivo puede ser económico, reputacional o relacionado con la obtención de información sensible, pero la tendencia es clara: los ataques son cada vez más selectivos: “Ya no es una cuestión de volumen, sino de precisión”, resume Jiménez.
La IA y el trabajo híbrido amplifican la exposición a la información, facilitando además la recopilación de información previa y permitiendo construir campañas mucho más personalizadas y creíbles.
el objetivo es pasar de la concienciación a la gestión del riesgo humano basada en datos reales
NIS2, DORA y el salto hacia la gestión real del riesgo
La entrada en vigor de normativas como NIS2 o DORA está contribuyendo, según la responsable de Seguridad Conductual de S2GRUPO, a que la cultura de seguridad gane peso dentro de las organizaciones y llegue a los niveles de dirección.
Estas regulaciones no sólo exigen formación, sino que obligan a demostrar que las medidas adoptadas son eficaces para reducir el riesgo, y “están ayudando a que la cultura de seguridad forme parte de la cultura de la organización”. Aun así, considera que sigue existiendo un importante desequilibrio entre la inversión realizada en tecnología y la destinada a las personas. “Los ciberdelincuentes saben que las empresas tienen protegida la tecnología. Lo que les resulta más fácil es dirigirse al vector humano para entrar en las compañías”, recuerda.
Por eso cree que las organizaciones deben empezar a tratar el riesgo humano igual que cualquier otro riesgo corporativo: identificándolo, midiéndolo, gestionándolo y monitorizándolo de forma continua, integrándolo en la gestión global de riesgos de la compañía.
Porque, concluye, las personas no deberían seguir siendo vistas como el eslabón más débil, sino como una parte esencial de la solución de seguridad.
