La puerta que ningún firewall cierra
Toda organización con algún nivel de madurez en seguridad invierte en tecnología. Firewall, EDR, autenticación multifactor, monitoreo de red. Son capas necesarias e innegociables. Pero existe un vector que ninguna de esas herramientas puede bloquear por sí sola. La decisión humana tomada bajo presión, con información incompleta, en un momento de distracción.
El Verizon Data Breach Investigations Report 2025 registró que el factor humano está presente en el 60% de las violaciones de datos a nivel global. En Brasil, el IBM Cost of a Data Breach 2024 señala que el costo promedio de una violación de datos llegó a R$ 6,75 millones y que los ataques de phishing fueron el vector inicial más común, presentes en el 16% de los incidentes. Son cifras que muestran que el impacto no es solo operativo. Es financiero, jurídico y reputacional.
El problema es que la superficie de ataque humana crece junto con la sofisticación de las amenazas, y la mayoría de las empresas todavía trata la capacitación de empleados como una mera formalidad, sin reconocer la importancia de su papel para la seguridad de la información.
Lo que la IA cambió en el juego de la ingeniería social
Durante años, identificar un ataque de phishing exigía poco más que la atención básica de los usuarios. Errores de ortografía, remitentes o dominios extraños, diseños mal formateados, etc. Los indicadores eran lo suficientemente obvios como para que una capacitación introductoria pudiera cubrirlos.
Ese escenario cambió. Con el acceso masivo a herramientas de IA generativa, producir un mensaje personalizado, con el tono correcto, con el vocabulario adecuado para cada función y sin ninguna señal visible de fraude dejó de ser privilegio de grupos de amenazas sofisticados. Hoy cualquier atacante con intención y acceso a internet puede construir una comunicación personalizada para ese usuario que pasa los filtros visuales que las personas aprendieron, tradicionalmente, a aplicar.
Más que eso, los ataques se están volviendo multicanal. Un correo electrónico que parece venir del área jurídica, seguido de una llamada de quien se presenta como el mismo remitente, con detalles que solo alguien interno conocería, es ingeniería social en capas. Ya se han usado deepfakes de voz en ataques reales para imitar a ejecutivos y autorizar transferencias. El empleado que nunca se capacitó para este nivel de sofisticación no tiene cómo estar preparado intuitivamente. Así, la IA no solo aceleró el volumen de ataques, sino que elevó el estándar de calidad. Y eso exige una respuesta proporcional.
¿Por qué la capacitación anual no sigue ese ritmo?
La práctica más común sigue siendo la capacitación anual obligatoria. Un módulo en línea que todos completan en modo automático, una presentación en una reunión general o una política de seguridad enviada por correo electrónico para firmar. Cumplida la actividad, el tema desaparece hasta el próximo ciclo.
Ese modelo ya era insuficiente antes de la IA. Con ella, se vuelve insostenible. Es necesario destacar que con el cambio en el escenario de riesgos, las organizaciones necesitan estar preparadas para reaccionar adecuadamente. Se trata de un paradigma de diligencia que, si no se cumple correctamente, puede representar una actuación negligente de los gestores. Y eso puede aparecer justamente cuando la empresa menos quiere hablar al respecto: en caso de incidentes, procesos judiciales o actuaciones de entidades reguladoras, como la ANPD. Y ahí hay una diferencia fundamental entre los gestores: existen aquellos que solo quieren dar alguna demostración vacía de conformidad y otros que realmente quieren gestionar el riesgo de forma adecuada. Cada uno de esos escenarios, además, podrá ser fácilmente verificado por terceros, lo que hace que la primera opción exponga a toda la organización a escenarios de riesgo bastante complejos.
El conocimiento sin refuerzo se disuelve rápido. Un empleado que vio una presentación sobre phishing en enero y nunca más volvió al tema reaccionará en agosto exactamente como reaccionaría sin ninguna capacitación. Por instinto. Y el instinto, sin práctica, es con lo que cuentan los atacantes.
El comportamiento seguro no se construye con información puntual. Se construye con repetición, con exposición controlada a situaciones reales y con feedback inmediato cuando algo sale mal. Las simulaciones de phishing funcionan porque crean exactamente eso. La experiencia concreta de ser engañado en un ambiente controlado, sin consecuencias reales, con un aprendizaje que permanece porque fue vivido, no solo leído.
La diferencia entre un colaborador que leyó sobre phishing y uno que ya hizo clic en un simulacro y entendió dónde se equivocó es la misma diferencia entre saber la teoría de conducir y haber hecho el recorrido. Uno de ellos reaccionará mejor cuando aparezca el imprevisto.
Cada función tiene un perfil de riesgo diferente
Tratar a toda la organización con el mismo contenido de capacitación es uno de los errores más comunes y más costosos en los programas de concientización. El riesgo que enfrenta el equipo financiero no es el mismo que amenaza al equipo de TI o a la dirección, y una capacitación que ignora esas diferencias no protege adecuadamente a nadie.
El área financiera es objetivo prioritario del fraude de correo electrónico corporativo, ataques en los que el intruso se hace pasar por proveedor, ejecutivo o cliente para redirigir pagos u obtener información sensible. Son ataques construidos específicamente en torno a los flujos de aprobación financiera, muchas veces con contexto real obtenido de fuentes abiertas, y exigen que la capacitación cubra las señales específicas de ese vector dentro de la rutina de ese equipo.
El equipo de TI enfrenta una paradoja. La familiaridad técnica genera una confianza que puede trabajar en contra de la seguridad. Los ataques dirigidos a profesionales de infraestructura usan el vocabulario correcto, simulan alertas de sistemas conocidos y explotan la tendencia de quienes trabajan con tecnología a suponer que saben identificar lo que es legítimo. Muchas veces no lo saben, porque el ataque fue construido para eso.
El liderazgo es objetivo de ataques altamente personalizados, con investigación previa extensiva en fuentes abiertas, que explotan el acceso privilegiado y la autoridad de decisión de quienes están en lo alto del organigrama. Un ejecutivo que autoriza una acción con base en una comunicación cuidadosamente fabricada no cometió un error de juicio común. Fue víctima de un ataque sofisticado que la mayoría de los controles técnicos no está en posición de capturar.
La capacitación efectiva es aquella que tiene sentido para quien la recibe, dentro de la realidad del trabajo de esa persona. Todo lo que vaya más allá de eso es una verificación de conformidad, no protección real.
Lo que sucede cuando equivocarse tiene un costo alto
Existe un elemento que determina si un programa de concientización funciona o no, y que raramente aparece en las discusiones sobre el tema. Lo que hace la organización cuando alguien se equivoca.
Si un colaborador hace clic en un phishing simulado y siente que será expuesto, reprendido o tratado como el responsable de un problema, aprende una cosa con rapidez. Pasa a esconder cuando ocurre algo sospechoso. Ese reflejo, en un incidente real, es catastrófico. La diferencia entre un ataque contenido en las primeras horas y un incidente que se extiende durante días es, la mayoría de las veces, la velocidad con la que alguien lo reportó.
Las organizaciones que construyen un ambiente donde reportar es el comportamiento esperado y reconocido, donde el colaborador que señaló algo sospechoso recibe retorno positivo y no silencio incómodo, esas organizaciones tienen respuestas a incidentes más rápidas y daños más controlados. No porque el equipo de seguridad sea más competente. Porque recibe la información a tiempo para actuar.
Eso no se construye con una política escrita. Se construye con consistencia. Con la forma en que el equipo de seguridad responde cuando alguien llega con una duda. Con la postura del liderazgo cuando un incidente es comunicado antes de convertirse en catástrofe.
La LGPD en este contexto
La Ley General de Protección de Datos (LGPD) de Brasil no menciona la capacitación de forma explícita, pero el artículo 6 establece el principio de accountability. No basta con estar en conformidad, es necesario demostrar que se adoptaron medidas técnicas y administrativas para proteger los datos personales. Un programa de capacitación documentado, con registros de periodicidad y alcance, compone esa demostración.
La ANPD intensificó su actuación a lo largo de 2024 y 2025, y la ausencia de evidencias de capacitación ha aparecido como agravante en autos de infracción. Además, la responsabilidad civil por filtración de datos es objetiva en la LGPD, independiente de culpa probada. Demostrar que la organización invirtió en concientización es, también, una línea de defensa jurídica concreta.
Cómo actúa BrownPipe en este frente
BrownPipe desarrolla programas de capacitación y campañas de phishing simulado personalizadas para la realidad de cada cliente. El punto de partida no es un catálogo de módulos genéricos. Es la comprensión del perfil de la organización, de los vectores más relevantes para el sector y de las funciones que concentran mayor exposición.
No son disparos genéricos masivos. Son mensajes elaborados con base en el perfil de la organización, en el sector en el que actúa y en las funciones más expuestas. El objetivo no es generar un informe de tasa de clics. Es identificar dónde el equipo está vulnerable antes de que un atacante lo identifique primero, y entregar un aprendizaje que cambie el comportamiento de los colaboradores.
Si su empresa quiere estructurar o revisar su programa de concientización, nuestro equipo está disponible para analizar el escenario y recomendar el enfoque más adecuado.
Póngase en contacto con BrownPipe
Contenido producido por el equipo de BrownPipe. Fuentes: Verizon DBIR 2025, Check Point Research 2024, Fortinet Security Awareness and Training Global Research Report 2025.