Foto: Sergio F Cara (NotiPress/Composición)
Uno de cada tres empleados interactúa con mensajes de phishing antes de recibir capacitación en seguridad, un dato que mantiene abierto uno de los accesos más frecuentes para ataques contra empresas. La cifra desplaza parte de la atención desde los filtros tecnológicos hacia errores cotidianos, exceso de confianza y fallas internas que siguen facilitando este tipo de fraude.
KnowBe4 analizó 67.7 millones de simulaciones de phishing realizadas con 14.5 millones de usuarios en más de 62,000 organizaciones a nivel mundial. Antes de cualquier entrenamiento, 33.1% de los usuarios hizo clic en enlaces o interactuó con mensajes simulados. Con esos resultados, la empresa identificó cinco puntos ciegos que ayudan a explicar por qué el phishing sigue funcionando dentro de las organizaciones.
Tras el primero se encuentra el entrenamiento esporádico. Cuando la concientización se aborda como una acción aislada, su efecto pierde fuerza frente a amenazas que cambian de forma constante. Según el análisis, programas de capacitación continua pueden reducir susceptibilidad al phishing alrededor de 40% en 90 días, diferencia que convierte la formación en una medida operativa más sobre un requisito ocasional.
La cultura de seguridad también aparece como una falla recurrente. En las simulaciones, los mensajes que imitaban comunicaciones internas de Recursos Humanos o de áreas de tecnología siguieron provocando una alta cantidad de clics. Ese patrón muestra que la confianza en procesos rutinarios puede convertirse en una debilidad cuando la seguridad no forma parte del comportamiento diario en la empresa.
Otro punto ciego es la falta de visibilidad sobre el riesgo humano. Muchas organizaciones monitorean malware, vulnerabilidades y amenazas técnicas, pero observan con menos detalle el comportamiento de sus usuarios. KnowBe4 señaló que métricas como el Phish-prone Percentage, enfocadas en medir la probabilidad de que los empleados caigan en ataques de phishing, permiten incorporar ese riesgo a una gestión más concreta.
Este estudio también ubicó al exceso de confianza como un problema persistente. Muchos profesionales creen poder identificar un intento de phishing sin dificultad, pero los datos muestran otra respuesta cuando reciben mensajes simulados. Antes del entrenamiento, cerca de un tercio de los usuarios todavía interactúa con ese tipo de contenidos, lo cual revela una brecha entre percepción y reacción real.
Con la dependencia de la tecnología, esta completa el diagnóstico. Los filtros de correo y otras capas de protección siguen siendo necesarios, pero no bloquean todos los ataques. Cuando un mensaje malicioso llega a la bandeja de entrada, la decisión del usuario pasa a ser el punto crítico para frenar o permitir la intrusión.
Rafael Peruch, Asesor Técnico de CISO en KnowBe4, dijo para NotiPress: "Muchas organizaciones todavía tratan el phishing únicamente como un problema tecnológico, cuando en realidad está directamente vinculado al comportamiento humano. Sin capacitación continua y una cultura de seguridad sólida, incluso las mejores herramientas pueden ser insuficientes".
Según la empresa, los programas de capacitación y concientización continua pueden reducir el riesgo de phishing hasta en 86% después de un año. Los datos del análisis colocan al entrenamiento sostenido, medición del riesgo humano y cultura interna entre factores que definen la exposición real de las empresas frente a este tipo de ataque.
DESCARGA LA NOTA SÍGUENOS EN GOOGLE NEWS
