El factor humano en ciberseguridad: ¿por qué fallamos aunque la tecnología funcione?

Por mucho dinero que las empresas gasten en fortalecer su tecnología, la realidad es que los incidentes de seguridad más graves casi siempre nacen de un despiste humano que se podría haber evitado. Si no se crea una cultura real de protección y se educa bien a la gente, el usuario acaba siendo, sin quererlo, la puerta de entrada más fácil para los atacantes.

Por Aneyka Esilka Hurtado Mena, Profesora de la Facultad de Informática, Electrónica y Comunicación de la Universidad de Panamá.

Es curioso ver cómo, en plena era digital, las empresas se gastan auténticas fortunas en lo último de lo último: software puntero, inteligencia artificial y cifrados casi militares. Pero la ciberseguridad tiene una gran ironía: aunque las máquinas sean cada vez más listas, la forma más eficaz de atacar sigue siendo la más vieja del mundo, la psicología. Los delincuentes lo tienen claro: es mucho más fácil y barato pillar a un empleado agobiado y engañarlo para que suelte sus claves, que intentar reventar por la fuerza un sistema de seguridad complejo que costó millones configurar.

Esto no significa que los empleados sean negligentes o actúen con mala intención. El problema real suele ser un abismo entre las normas de seguridad y lo que la gente necesita para sacar el trabajo adelante cada día. Muchas veces, las reglas se crean en un despacho, ignorando la presión y las prisas del mundo real. Si la seguridad se convierte en un estorbo, es natural que el equipo busque atajos. Así nace el famoso Shadow IT: gente usando herramientas o dispositivos por su cuenta simplemente para ser más rápidos, sin darse cuenta de que están abriendo grietas invisibles en la seguridad de la empresa.

La ingeniería social, que es básicamente el arte de manipular psicológicamente a las personas para que revelen información, sigue siendo la técnica reina. Dentro de ella, destaca el phishing, esa práctica fraudulenta de enviar correos electrónicos suplantando la identidad de fuentes confiables. Estos mensajes explotan vulnerabilidades universales como la urgencia o el miedo a la autoridad. Un correo que parece venir del CEO pidiendo una transferencia urgente puede burlar las defensas de cualquiera en un momento de distracción, demostrando que basta un sólo click erróneo para comprometer toda una red corporativa.

La normalización del trabajo remoto ha extendido el campo de batalla de la seguridad, mezclando peligrosamente lo laboral con lo doméstico. Prácticas que parecen inofensivas, como usar redes domésticas vulnerables o compartir el ordenador del trabajo con los hijos, abren brechas que suelen pasar desapercibidas. En este escenario tan disperso, es imposible mantener el control centralizado de siempre, por lo que la verdadera defensa recae ahora en el criterio individual de cada empleado, lejos de la protección de la oficina.

Debemos comprender que la estrategia habitual de formación ya no es válida. Basar la seguridad en cursos anuales monótonos, que el personal realiza sólo porque es obligatorio, ha probado ser una medida totalmente ineficaz. Debemos entender que la capacitación tradicional se ha quedado obsoleta. Cumplir el expediente con un curso anual tedioso no genera ningún cambio real en las personas, sobre todo cuando los ciberdelincuentes innovan cada semana. La educación efectiva requiere constancia y vivencias. En lugar de sólo teoría, necesitamos sumergir al usuario en simulaciones de ataques, permitiéndole sentir el 'susto' de un error en un entorno controlado. Así es como se transforma una lección olvidada en una experiencia activa que realmente mejora nuestros hábitos al usar la tecnología.

Desde una perspectiva psicológica, el "sesgo de optimismo" juega un papel peligroso en la cultura organizacional. Muchos empleados operan bajo la creencia subconsciente de que “eso no me pasará a mí" o que su información no es valiosa para un hacker. Esta falsa sensación de seguridad lleva a descuidar prácticas básicas como la activación de la autenticación multifactor (MFA). Esta herramienta, que pide una segunda prueba de identidad además de la contraseña (como un código al celular), es vital; ignorarla por pereza es dejar la puerta de la casa abierta confiando en que nadie entrará.

La gestión de identidades y accesos es otro punto crítico donde el factor humano suele fallar estrepitosamente. La reutilización de contraseñas entre cuentas personales (como redes sociales) y corporativas es una práctica endémica que pone en jaque a las empresas. Si un servicio externo irrelevante sufre un robo de datos y el empleado usa esa misma clave para acceder al servidor del trabajo, los atacantes tienen vía libre. Implementar gestores de contraseñas seguros reduce la dependencia de la memoria humana y mitiga este riesgo específico de manera considerable.

Por otro lado, la cultura del castigo frente al error de seguridad resulta contraproducente y peligrosa. Si un empleado sabe que será reprendido o despedido por haber hecho click en un enlace malicioso, su instinto natural será ocultar el incidente. Esto retrasa la detección y respuesta, permitiendo que la amenaza se propague silenciosamente. Las organizaciones maduras fomentan una cultura de "transparencia sin culpa", donde reportar un posible error se valora positivamente, permitiendo al equipo técnico actuar de inmediato para contener el daño antes de que escale.

La alta dirección no está exenta de este riesgo humano; de hecho, a menudo son el objetivo principal de ataques muy dirigidos conocidos como Whaling o "caza de ballenas". Al tener acceso privilegiado a información confidencial y capacidad para autorizar pagos, los ejecutivos son blancos de alto valor. Paradójicamente, a veces son quienes más se resisten a los controles estrictos por comodidad. Es imperativo que las políticas de seguridad se apliquen de manera uniforme, sin jerarquías, pues los atacantes siempre buscarán el camino de menor resistencia, sea quien sea.

Al final, hay que asumir que el riesgo cero no existe mientras haya personas detrás de las pantallas; es una fantasía. La tecnología es vital, claro, pero se queda corta si nos olvidamos del factor humano. Crear un verdadero 'cortafuegos humano' significa entender cómo pensamos y por qué fallamos. Sólo así dejaremos de ver al empleado como el punto débil y lograremos que se convierta en nuestro mejor defensor, la primera línea de batalla real de la empresa.

Le puede interesar: IA agéntica: el nuevo frente de la seguridad informática