Equipo de ciberseguridad ante paneles de análisis de amenazas – artículo sobre Conciencia ciberseguridad y synaforce
IT & Tech 13.04.2026

Conciencia de ciberseguridad: Por qué la tecnología no basta

7 min. de lectura

El 84 por ciento de las empresas alemanas que sufrieron un ciberataque en 2025 señala el phishing como la vía de ataque utilizada. Sin embargo, solo el 24 por ciento de todas las compañías capacita a la totalidad de su plantilla. El resto escatima precisamente allí donde los ciberdelincuentes emplean sus herramientas más efectivas. Desde el 6 de diciembre de 2025, esta falta de formación ya no es simplemente negligente, sino ilegal: la Ley de Implementación de la Directiva NIS2 convierte las sesiones de concienciación en una obligación para alrededor de 30.000 empresas en Alemania. Quienes incumplan se exponen a multas de hasta 10 millones de euros.

¿Qué es Conciencia ciberseguridad?

Conciencia ciberseguridad es una prioridad concreta para las empresas en 2026, porque influye directamente en la ciberresiliencia, las operaciones de seguridad y las obligaciones regulatorias. Este artículo utiliza el ejemplo de synaforce para mostrar qué requisitos, cifras y pasos operativos importan en la práctica.

Lo más importante en breve

  • El 84 por ciento de las empresas alemanas atacadas informa del phishing como vector de ataque (Estudio de Ciberseguridad del TÜV, 2025, 506 empresas).
  • Solo el 24 por ciento de las empresas capacita a todos sus empleados; un 20 por ciento no realiza formación alguna (Informe de Situación del BSI, 2025).
  • La Ley de Implementación de la Directiva NIS2 entró en vigor el 6 de diciembre de 2025: el artículo 30 de la BSIG obliga a realizar formaciones, mientras que el artículo 38 establece la responsabilidad personal de la dirección.
  • Un año de entrenamiento específico en phishing reduce la tasa de clics del 33,1 al 4,1 por ciento, lo que supone una reducción del 86 por ciento (KnowBe4, 14,5 millones de usuarios).
  • Los correos de phishing impulsados por inteligencia artificial alcanzan una tasa de clics del 54 por ciento, y el vishing mediante deepfake aumentó en más del 1.600 por ciento en el primer trimestre de 2025.
  • El coste medio de un ataque de phishing en Alemania es de 4,15 millones de euros (Coste de una Brecha de Datos de IBM, 2025).

La brecha entre tecnología y comportamiento

La firewall está configurada, la autenticación multifactor (MFA) está activada y se ha implementado protección de endpoints. Y, sin embargo, un empleado hace clic en un enlace contenido en un correo electrónico de Microsoft 365 aparentemente legítimo y introduce sus credenciales. El Informe de Situación del BSI correspondiente a 2025 documenta 950 ataques de ransomware denunciados durante el período analizado, de los cuales el 80 por ciento afectaron a pequeñas y medianas empresas. Además, se registraron 119 nuevas vulnerabilidades al día, lo que representa un aumento del 24 por ciento respecto al año anterior.

Sin embargo, estas cifras solo cuentan media historia. Según el Informe de Investigación sobre Violaciones de Datos de Verizon de 2025, el 60 por ciento de todas las violaciones de seguridad confirmadas a nivel mundial tuvieron como factor determinante una acción humana. No fue un exploit ni un ataque de día cero; fue una persona que hizo clic en un enlace, compartió sus datos de acceso o envió información sensible a la dirección equivocada.

El problema no radica en que las empresas no utilicen tecnología. El problema es que incluso la mejor tecnología falla si las personas no actúan con la debida precaución. Precisamente aquí se abre una brecha: según el BSI, el 79 por ciento de las empresas imparte formación a su personal en materia de seguridad informática. A primera vista, parece una buena noticia. Pero solo el 24 por ciento capacita a todos los empleados; el 55 por ciento se limita a ciertos puestos clave, mientras que uno de cada cinco negocios prescinde por completo de dicha formación.

4,15 M€
Coste medio de un ataque de phishing en Alemania
Fuente: Informe de IBM sobre el Coste de una Brecha de Datos, 2025

La NIS2 convierte la concienciación en una obligación

Desde el 6 de diciembre de 2025, la Ley de Implementación de la Directiva NIS2 está en vigor en Alemania. Afecta a aproximadamente 30.000 empresas con al menos 50 empleados o un volumen de negocio anual de 10 millones de euros, pertenecientes a 18 sectores clave. La obligación de registro ante la Agencia Federal de Seguridad Informática (BSI) entró en vigor el 6 de enero de 2026.

Dos artículos son fundamentales para el tema de la concienciación. El artículo 30, apartado 2, de la Ley de Seguridad de las Infraestructuras Críticas (BSIG) obliga a las empresas afectadas a realizar formaciones sobre ciberseguridad y sensibilización como parte de las medidas obligatorias de gestión de riesgos. Por su parte, el artículo 38, apartado 3, de la BSIG va un paso más allá: la dirección ejecutiva debe participar personalmente y de forma regular en dichas formaciones, demostrando conocimientos suficientes para evaluar los riesgos. En septiembre de 2025, la BSI publicó una guía específica para la formación de la alta dirección en materia de NIS2, detallando contenidos concretos.

Las sanciones económicas son significativas. Para las infraestructuras especialmente críticas: hasta 10 millones de euros o el 2 % del volumen de negocio mundial anual, según cuál sea mayor. Para las infraestructuras críticas: hasta 7 millones de euros o el 1,4 %. No existe período transitorio; las medidas se aplican de manera inmediata desde la entrada en vigor.

Aun así, según el Estudio de Ciberseguridad 2025 realizado por TÜV, solo el 50 % de las empresas afectadas conoce la directiva NIS2. La mitad ni siquiera sabe que está incluida dentro de su ámbito de aplicación.

Empresas afectadas
~30.000
en Alemania (a partir de 50 empleados / 10 millones de euros de facturación)
Multas máximas
10 millones de €
o el 2 % del volumen de negocio mundial anual
Fuente: Ley de Implementación de la Directiva NIS2 (NIS2UmsuCG), artículos 30 y 38 de la BSIG, diciembre de 2025

La IA cambia el perímetro de ataque

La clásica campaña de phishing con faltas ortográficas y remitentes dudosos ya es cosa del pasado. KnowBe4 ha observado que el 82,6 % de todos los correos de phishing ya incorporan elementos impulsados por inteligencia artificial: textos gramaticalmente impecables, saludos personalizados y contenidos contextualizados. Los mensajes de phishing generados por IA alcanzan una tasa de clics del 54 %, aproximadamente 4,5 veces superior a la de las campañas tradicionales.

Aún más preocupante es la tendencia del vishing basado en deepfakes. Los ataques mediante clonación de voz apoyados en deepfake se dispararon más de un 1.600 % en el primer trimestre de 2025, comparado con el trimestre anterior. El caso más conocido fue el de un empleado financiero del estudio de ingeniería británico Arup, quien transfirió 25 millones de dólares estadounidenses tras participar en una videoconferencia falsa en la que aparecían representaciones generadas por IA de los directivos financieros y otros altos cargos. Un estudio realizado por TÜV confirma que el 51 % de los expertos en ciberseguridad en Alemania ya han detectado ataques cibernéticos respaldados por IA. Entre las grandes empresas, este porcentaje asciende al 81 %.

Al mismo tiempo, solo el 10 % de las empresas alemanas utiliza la IA para reforzar su propia defensa. Los atacantes adoptan esta tecnología con mayor rapidez que las organizaciones encargadas de protegerse. Esto agrava la brecha en concienciación: los empleados entrenados para identificar errores ortográficos y direcciones de correo sospechosas quedan completamente indefensos frente a las amenazas generadas por inteligencia artificial.

“El 91 % de las empresas considera que su nivel de ciberseguridad es bueno o muy bueno. Sin embargo, uno de cada siete negocios sufrió un ataque exitoso durante el último año. Esta discrepancia entre la percepción y la realidad constituye uno de los mayores riesgos.”
Estudio de Ciberseguridad de TÜV 2025 (506 empresas, encuesta realizada por Ipsos)

Lo que funciona: De la formación obligatoria al cambio de comportamiento

El típico entrenamiento en seguridad suele consistir en una sesión online de 45 minutos en enero, un control obligatorio, y luego se olvida hasta el próximo enero. La tasa de clics en correos de phishing baja temporalmente, pero vuelve a su nivel inicial en apenas tres meses. Las sesiones únicas no modifican el comportamiento. Para lograr un cambio, son necesarios la repetición, la relevancia y la retroalimentación.

El Informe de Benchmarking de la Industria del Phishing de KnowBe4 de 2025 ofrece la mayor base de datos sobre este tema hasta la fecha: 14,5 millones de usuarios en 62.400 organizaciones, con 67,7 millones de pruebas simuladas de phishing. Los resultados son claros. Antes del entrenamiento, la tasa media de clics en correos de phishing es del 33,1 %: uno de cada tres empleados hace clic en un enlace peligroso. Tras 90 días de formación continua, esta tasa se reduce en más de un 40 %. Después de doce meses, se sitúa en el 4,1 %. Esto supone una disminución del 86 %.

86 %
Reducción de la tasa de clics en phishing tras 12 meses de entrenamiento (de 33,1 a 4,1 %)
Fuente: Informe de Benchmarking de la Industria del Phishing de KnowBe4 2025 (14,5 millones de usuarios, 62.400 organizaciones)

Estos programas tienen algo en común: utilizan simulaciones de phishing (mensuales, con dificultad progresiva), módulos de microaprendizaje (de 3 a 5 minutos, semanales o tras eventos específicos), gamificación (tablas de clasificación por departamentos, insignias, desafíos entre equipos) y un sencillo botón para informar en Outlook o Gmail. El objetivo no es cumplir con las normas de formación, sino fomentar una cultura de seguridad en la que los empleados reporten los correos sospechosos antes de hacer clic.

El indicador clave no es la tasa de clics, sino la tasa de informes: ¿Cuántos empleados notifican activamente los correos sospechosos? Las empresas con programas avanzados alcanzan tasas de informes superiores al 70 %. Esto significa que siete de cada diez empleados detectan un intento de phishing y lo comunican antes de que se produzca algún daño.

Seguro cibernético: La concienciación como condición contractual

Quien hoy desee contratar o renovar un seguro cibernético se dará cuenta de que la formación en concienciación ya no es un mero complemento, sino un criterio clave para la suscripción del seguro. Allianz menciona explícitamente los programas de concienciación entre sus doce criterios fundamentales para los asegurados. AXA, por su parte, ofrece durante seis meses acceso gratuito a una plataforma de concienciación junto con la póliza cibernética. Asimismo, el cuestionario de riesgos sobre ciberseguridad del GDV incluye preguntas específicas relativas a las medidas de formación.

Si no se aporta la prueba correspondiente, las empresas corren el riesgo de enfrentar primas más altas o incluso exclusiones de cobertura ante daños derivados de phishing. En una época en la que el coste medio de un ataque de phishing en Alemania asciende a 4,15 millones de euros, este es un riesgo que ningún director financiero debería asumir.

El ROI de un programa de concienciación

La cuenta es sencilla. Un programa de concienciación cuesta a una empresa mediana con 200 empleados entre 10.000 y 20.000 euros al año. KnowBe4 comienza en 18 dólares estadounidenses por usuario y año, mientras que Proofpoint parte de 25 dólares estadounidenses. A esto se suman de 2 a 4 horas mensuales de trabajo interno dedicadas a la administración.

Por otro lado, el coste promedio de cada incidente de phishing asciende a 4,15 millones de euros. La reducción de la tasa de clics del 33% al 4% disminuye en un 86% el riesgo de que un ataque de phishing tenga éxito. Incluso con una estimación conservadora del riesgo: si el programa evita un solo ataque exitoso en diez años, habrá justificado su inversión con creces.

Conclusión: Capacitar o responder legalmente

La ecuación ha cambiado. Antes de NIS2, la formación en concienciación era una medida voluntaria: algunas empresas la tomaban en serio, mientras que la mayoría la consideraba un trámite obligatorio. Desde diciembre de 2025, sin embargo, es de carácter obligatorio por ley. La dirección ejecutiva asume responsabilidad personal en caso de incumplimiento. Las aseguradoras cibernéticas también lo exigen. Además, los atacantes han elevado el nivel con técnicas avanzadas como el phishing impulsado por inteligencia artificial y el vishing mediante deepfakes.

La buena noticia es que sí funciona. Una reducción del 86 % en la tasa de clics tras doce meses no es un dato de marketing, sino que se basa en la información recopilada de 14,5 millones de usuarios. Las herramientas están maduras, los costos son razonables y el retorno de la inversión (ROI) es evidente. Lo que falta en muchas empresas es simplemente tomar la decisión de empezar.

Preguntas frecuentes

¿Exige NIS2 explícitamente formaciones de concienciación?

Sí. El artículo 30, apartado 2, de la Ley de Seguridad de la Infraestructura Informática (BSIG) obliga a las empresas afectadas a realizar formaciones en ciberseguridad y sensibilización. El artículo 38, apartado 3, de la misma ley va más allá: la dirección debe participar personalmente y con regularidad en dichas formaciones. Esta normativa afecta aproximadamente a 30.000 empresas en Alemania que cuentan con al menos 50 empleados o alcanzan un volumen de negocio anual de 10 millones de euros.

¿Con qué frecuencia se deben llevar a cabo simulaciones de phishing?

Una vez al mes es el punto óptimo. Realizarlas con mayor frecuencia puede provocar fatiga, mientras que hacerlo con menor periodicidad reduce su efectividad formativa. La dificultad debe aumentar progresivamente y abordar diversos tipos de ataques: fraude ejecutivo, intento de acceso a Microsoft, notificaciones falsas de paquetería o comunicaciones aparentemente legítimas del departamento de recursos humanos. Tras cada simulación en la que se haga clic, se deben activar inmediatamente módulos breves de aprendizaje.

¿Cuánto cuesta un programa de concienciación?

KnowBe4: desde 18 dólares estadounidenses por usuario y año. Proofpoint Security Awareness: desde 25 dólares estadounidenses por usuario y año. Para una empresa con 200 empleados, esto supone entre 3.600 y 5.000 dólares anuales. A ello hay que sumar el esfuerzo interno: de 2 a 4 horas mensuales dedicadas a la administración y el análisis de los resultados.

¿Se debería sancionar a los empleados que hacen clic en correos de phishing?

No. Las sanciones pueden desincentivar a los empleados a informar sobre incidentes. En su lugar, lo recomendable es ofrecer un módulo de aprendizaje inmediato tras el clic, utilizar un enfoque positivo y centrarse en la mejora continua. El objetivo es fomentar una cultura de reporte, no una cultura del miedo. Empresas que adoptan enfoques exclusivamente educativos han logrado tasas de denuncia superiores al 70 %.

¿Exigen las aseguradoras cibernéticas formaciones de concienciación?

Aunque no constituye un requisito legal obligatorio, sí es un criterio habitual en el proceso de suscripción. Allianz incluye la concienciación entre sus 12 criterios fundamentales. Asimismo, el cuestionario de riesgos cibernéticos del GDV (Asociación Alemana de Aseguradores) plantea preguntas específicas al respecto. De no presentarse la evidencia de dichas formaciones, las compañías podrían imponer primas más altas o incluso excluir coberturas relacionadas con daños derivados de phishing.

¿Cómo protegerse frente al phishing impulsado por inteligencia artificial?

Los indicadores tradicionales, como los errores ortográficos, ya no son suficientes para detectarlo. Por ello, las formaciones deben centrarse en reconocer anomalías conductuales: urgencias inesperadas, remitentes inusuales o desviaciones del flujo normal de trabajo. Además, es fundamental implementar medidas técnicas: DMARC/DKIM para la autenticación del correo electrónico, filtros de correo basados en IA y procesos de verificación de transacciones financieras mediante canales alternativos.

Recomendaciones de lectura de la redacción

Fuente de la imagen principal: Pexels / Tima Miroshnichenko

Más sobre este tema de synaforce

Más servicios, casos de uso y contexto práctico están disponibles en synaforce para seguridad gestionada y cumplimiento.

También disponible en

Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH DEENFRES
Newsletter