A pesar de los avances en ciberseguridad, el phishing continúa siendo uno de los principales vectores de ataque contra las empresas. Más allá de la tecnología, el mayor riesgo sigue estando en el comportamiento humano y en la forma en que las organizaciones gestionan la seguridad en su operación diaria.

Un estudio de KnowBe4, basado en 67,7 millones de simulaciones de phishing realizadas a 14,5 millones de usuarios en más de 62.000 organizaciones a nivel mundial, revela que el 33,1% de los empleados cae en ataques simulados antes de recibir capacitación en seguridad.

Cinco puntos ciegos que mantienen vivo el phishing

El análisis identifica cinco factores clave que explican por qué esta amenaza sigue siendo efectiva:

• Capacitación aislada: La concientización puntual tiene poco impacto. En cambio, los programas continuos pueden reducir la susceptibilidad al phishing en cerca del 40% en solo 90 días.
• Cultura de seguridad débil: Los correos que imitan mensajes internos de Recursos Humanos o TI siguen siendo los más efectivos, aprovechando la confianza cotidiana de los empleados.
• Poca visibilidad del riesgo humano: Muchas empresas miden amenazas técnicas, pero no el comportamiento del usuario. Indicadores como el Phish-prone Percentage (PPP) permiten dimensionar este riesgo.
• Exceso de confianza: Aunque muchos creen poder identificar un ataque, los datos muestran que uno de cada tres usuarios falla antes del entrenamiento.
• Dependencia excesiva de la tecnología: Los filtros ayudan, pero no bloquean todo. Cuando el correo llega a la bandeja de entrada, la decisión del usuario es determinante.

Le puede interesar: Falla crítica en Google Cloud expone riesgos en agentes de IA

Según KnowBe4, una estrategia de capacitación continua puede reducir el riesgo de phishing hasta en un 86% en un año, lo que confirma que el factor humano debe ser tratado como un eje central de la ciberseguridad.

“Muchas organizaciones siguen viendo el phishing solo como un problema tecnológico, cuando está directamente ligado al comportamiento humano”, explicó Rafael Peruch, asesor técnico de CISO en KnowBe4.