7 min. de lectura<\/p>\n
El 84 por ciento de las empresas alemanas que sufrieron un ciberataque en 2025 se\u00f1ala el phishing como la v\u00eda de ataque utilizada. Sin embargo, solo el 24 por ciento de todas las compa\u00f1\u00edas capacita a la totalidad de su plantilla. El resto escatima precisamente all\u00ed donde los ciberdelincuentes emplean sus herramientas m\u00e1s efectivas. Desde el 6 de diciembre de 2025, esta falta de formaci\u00f3n ya no es simplemente negligente, sino ilegal: la Ley de Implementaci\u00f3n de la Directiva NIS2 convierte las sesiones de concienciaci\u00f3n en una obligaci\u00f3n para alrededor de 30.000 empresas en Alemania. Quienes incumplan se exponen a multas de hasta 10 millones de euros.<\/strong><\/p>\n Conciencia ciberseguridad es una prioridad concreta para las empresas en 2026, porque influye directamente en la ciberresiliencia, las operaciones de seguridad y las obligaciones regulatorias. Este art\u00edculo utiliza el ejemplo de synaforce para mostrar qu\u00e9 requisitos, cifras y pasos operativos importan en la pr\u00e1ctica.<\/p>\n La firewall est\u00e1 configurada, la autenticaci\u00f3n multifactor (MFA) est\u00e1 activada y se ha implementado protecci\u00f3n de endpoints. Y, sin embargo, un empleado hace clic en un enlace contenido en un correo electr\u00f3nico de Microsoft 365 aparentemente leg\u00edtimo y introduce sus credenciales. El Informe de Situaci\u00f3n del BSI correspondiente a 2025 documenta 950 ataques de ransomware denunciados durante el per\u00edodo analizado, de los cuales el 80 por ciento afectaron a peque\u00f1as y medianas empresas. Adem\u00e1s, se registraron 119 nuevas vulnerabilidades al d\u00eda, lo que representa un aumento del 24 por ciento respecto al a\u00f1o anterior.<\/p>\n Sin embargo, estas cifras solo cuentan media historia. Seg\u00fan el Informe de Investigaci\u00f3n sobre Violaciones de Datos de Verizon de 2025, el 60 por ciento de todas las violaciones de seguridad confirmadas a nivel mundial tuvieron como factor determinante una acci\u00f3n humana. No fue un exploit ni un ataque de d\u00eda cero; fue una persona que hizo clic en un enlace, comparti\u00f3 sus datos de acceso o envi\u00f3 informaci\u00f3n sensible a la direcci\u00f3n equivocada.<\/p>\n El problema no radica en que las empresas no utilicen tecnolog\u00eda. El problema es que incluso la mejor tecnolog\u00eda falla si las personas no act\u00faan con la debida precauci\u00f3n. Precisamente aqu\u00ed se abre una brecha: seg\u00fan el BSI, el 79 por ciento de las empresas imparte formaci\u00f3n a su personal en materia de seguridad inform\u00e1tica. A primera vista, parece una buena noticia. Pero solo el 24 por ciento capacita a todos los empleados; el 55 por ciento se limita a ciertos puestos clave, mientras que uno de cada cinco negocios prescinde por completo de dicha formaci\u00f3n.<\/p>\n Desde el 6 de diciembre de 2025, la Ley de Implementaci\u00f3n de la Directiva NIS2 est\u00e1 en vigor en Alemania. Afecta a aproximadamente 30.000 empresas con al menos 50 empleados o un volumen de negocio anual de 10 millones de euros, pertenecientes a 18 sectores clave. La obligaci\u00f3n de registro ante la Agencia Federal de Seguridad Inform\u00e1tica (BSI) entr\u00f3 en vigor el 6 de enero de 2026.<\/p>\n Dos art\u00edculos son fundamentales para el tema de la concienciaci\u00f3n. El art\u00edculo 30, apartado 2, de la Ley de Seguridad de las Infraestructuras Cr\u00edticas (BSIG) obliga a las empresas afectadas a realizar formaciones sobre ciberseguridad y sensibilizaci\u00f3n como parte de las medidas obligatorias de gesti\u00f3n de riesgos. Por su parte, el art\u00edculo 38, apartado 3, de la BSIG va un paso m\u00e1s all\u00e1: la direcci\u00f3n ejecutiva debe participar personalmente y de forma regular en dichas formaciones, demostrando conocimientos suficientes para evaluar los riesgos. En septiembre de 2025, la BSI public\u00f3 una gu\u00eda espec\u00edfica para la formaci\u00f3n de la alta direcci\u00f3n en materia de NIS2, detallando contenidos concretos.<\/p>\n Las sanciones econ\u00f3micas son significativas. Para las infraestructuras especialmente cr\u00edticas: hasta 10 millones de euros o el 2 % del volumen de negocio mundial anual, seg\u00fan cu\u00e1l sea mayor. Para las infraestructuras cr\u00edticas: hasta 7 millones de euros o el 1,4 %. No existe per\u00edodo transitorio; las medidas se aplican de manera inmediata desde la entrada en vigor.<\/p>\n Aun as\u00ed, seg\u00fan el Estudio de Ciberseguridad 2025 realizado por T\u00dcV, solo el 50 % de las empresas afectadas conoce la directiva NIS2. La mitad ni siquiera sabe que est\u00e1 incluida dentro de su \u00e1mbito de aplicaci\u00f3n.<\/p>\n La cl\u00e1sica campa\u00f1a de phishing con faltas ortogr\u00e1ficas y remitentes dudosos ya es cosa del pasado. KnowBe4 ha observado que el 82,6 % de todos los correos de phishing ya incorporan elementos impulsados por inteligencia artificial: textos gramaticalmente impecables, saludos personalizados y contenidos contextualizados. Los mensajes de phishing generados por IA alcanzan una tasa de clics del 54 %, aproximadamente 4,5 veces superior a la de las campa\u00f1as tradicionales.<\/p>\n A\u00fan m\u00e1s preocupante es la tendencia del vishing basado en deepfakes. Los ataques mediante clonaci\u00f3n de voz apoyados en deepfake se dispararon m\u00e1s de un 1.600 % en el primer trimestre de 2025, comparado con el trimestre anterior. El caso m\u00e1s conocido fue el de un empleado financiero del estudio de ingenier\u00eda brit\u00e1nico Arup, quien transfiri\u00f3 25 millones de d\u00f3lares estadounidenses tras participar en una videoconferencia falsa en la que aparec\u00edan representaciones generadas por IA de los directivos financieros y otros altos cargos. Un estudio realizado por T\u00dcV confirma que el 51 % de los expertos en ciberseguridad en Alemania ya han detectado ataques cibern\u00e9ticos respaldados por IA. Entre las grandes empresas, este porcentaje asciende al 81 %.<\/p>\n Al mismo tiempo, solo el 10 % de las empresas alemanas utiliza la IA para reforzar su propia defensa. Los atacantes adoptan esta tecnolog\u00eda con mayor rapidez que las organizaciones encargadas de protegerse. Esto agrava la brecha en concienciaci\u00f3n: los empleados entrenados para identificar errores ortogr\u00e1ficos y direcciones de correo sospechosas quedan completamente indefensos frente a las amenazas generadas por inteligencia artificial.<\/p>\n \n \u201cEl 91 % de las empresas considera que su nivel de ciberseguridad es bueno o muy bueno. Sin embargo, uno de cada siete negocios sufri\u00f3 un ataque exitoso durante el \u00faltimo a\u00f1o. Esta discrepancia entre la percepci\u00f3n y la realidad constituye uno de los mayores riesgos.\u201d El t\u00edpico entrenamiento en seguridad suele consistir en una sesi\u00f3n online de 45 minutos en enero, un control obligatorio, y luego se olvida hasta el pr\u00f3ximo enero. La tasa de clics en correos de phishing baja temporalmente, pero vuelve a su nivel inicial en apenas tres meses. Las sesiones \u00fanicas no modifican el comportamiento. Para lograr un cambio, son necesarios la repetici\u00f3n, la relevancia y la retroalimentaci\u00f3n.<\/p>\n El Informe de Benchmarking de la Industria del Phishing de KnowBe4 de 2025 ofrece la mayor base de datos sobre este tema hasta la fecha: 14,5 millones de usuarios en 62.400 organizaciones, con 67,7 millones de pruebas simuladas de phishing. Los resultados son claros. Antes del entrenamiento, la tasa media de clics en correos de phishing es del 33,1 %: uno de cada tres empleados hace clic en un enlace peligroso. Tras 90 d\u00edas de formaci\u00f3n continua, esta tasa se reduce en m\u00e1s de un 40 %. Despu\u00e9s de doce meses, se sit\u00faa en el 4,1 %. Esto supone una disminuci\u00f3n del 86 %.<\/p>\n Estos programas tienen algo en com\u00fan: utilizan simulaciones de phishing (mensuales, con dificultad progresiva), m\u00f3dulos de microaprendizaje (de 3 a 5 minutos, semanales o tras eventos espec\u00edficos), gamificaci\u00f3n (tablas de clasificaci\u00f3n por departamentos, insignias, desaf\u00edos entre equipos) y un sencillo bot\u00f3n para informar en Outlook o Gmail. El objetivo no es cumplir con las normas de formaci\u00f3n, sino fomentar una cultura de seguridad en la que los empleados reporten los correos sospechosos antes de hacer clic.<\/p>\n El indicador clave no es la tasa de clics, sino la tasa de informes: \u00bfCu\u00e1ntos empleados notifican activamente los correos sospechosos? Las empresas con programas avanzados alcanzan tasas de informes superiores al 70 %. Esto significa que siete de cada diez empleados detectan un intento de phishing y lo comunican antes de que se produzca alg\u00fan da\u00f1o.<\/p>\n Quien hoy desee contratar o renovar un seguro cibern\u00e9tico se dar\u00e1 cuenta de que la formaci\u00f3n en concienciaci\u00f3n ya no es un mero complemento, sino un criterio clave para la suscripci\u00f3n del seguro. Allianz menciona expl\u00edcitamente los programas de concienciaci\u00f3n entre sus doce criterios fundamentales para los asegurados. AXA, por su parte, ofrece durante seis meses acceso gratuito a una plataforma de concienciaci\u00f3n junto con la p\u00f3liza cibern\u00e9tica. Asimismo, el cuestionario de riesgos sobre ciberseguridad del GDV incluye preguntas espec\u00edficas relativas a las medidas de formaci\u00f3n.<\/p>\n Si no se aporta la prueba correspondiente, las empresas corren el riesgo de enfrentar primas m\u00e1s altas o incluso exclusiones de cobertura ante da\u00f1os derivados de phishing. En una \u00e9poca en la que el coste medio de un ataque de phishing en Alemania asciende a 4,15 millones de euros, este es un riesgo que ning\u00fan director financiero deber\u00eda asumir.<\/p>\n La cuenta es sencilla. Un programa de concienciaci\u00f3n cuesta a una empresa mediana con 200 empleados entre 10.000 y 20.000 euros al a\u00f1o. KnowBe4 comienza en 18 d\u00f3lares estadounidenses por usuario y a\u00f1o, mientras que Proofpoint parte de 25 d\u00f3lares estadounidenses. A esto se suman de 2 a 4 horas mensuales de trabajo interno dedicadas a la administraci\u00f3n.<\/p>\n Por otro lado, el coste promedio de cada incidente de phishing asciende a 4,15 millones de euros. La reducci\u00f3n de la tasa de clics del 33% al 4% disminuye en un 86% el riesgo de que un ataque de phishing tenga \u00e9xito. Incluso con una estimaci\u00f3n conservadora del riesgo: si el programa evita un solo ataque exitoso en diez a\u00f1os, habr\u00e1 justificado su inversi\u00f3n con creces.<\/p>\n La ecuaci\u00f3n ha cambiado. Antes de NIS2, la formaci\u00f3n en concienciaci\u00f3n era una medida voluntaria: algunas empresas la tomaban en serio, mientras que la mayor\u00eda la consideraba un tr\u00e1mite obligatorio. Desde diciembre de 2025, sin embargo, es de car\u00e1cter obligatorio por ley. La direcci\u00f3n ejecutiva asume responsabilidad personal en caso de incumplimiento. Las aseguradoras cibern\u00e9ticas tambi\u00e9n lo exigen. Adem\u00e1s, los atacantes han elevado el nivel con t\u00e9cnicas avanzadas como el phishing impulsado por inteligencia artificial y el vishing mediante deepfakes.<\/p>\n La buena noticia es que s\u00ed funciona. Una reducci\u00f3n del 86 % en la tasa de clics tras doce meses no es un dato de marketing, sino que se basa en la informaci\u00f3n recopilada de 14,5 millones de usuarios. Las herramientas est\u00e1n maduras, los costos son razonables y el retorno de la inversi\u00f3n (ROI) es evidente. Lo que falta en muchas empresas es simplemente tomar la decisi\u00f3n de empezar.<\/p>\n S\u00ed. El art\u00edculo 30, apartado 2, de la Ley de Seguridad de la Infraestructura Inform\u00e1tica (BSIG) obliga a las empresas afectadas a realizar formaciones en ciberseguridad y sensibilizaci\u00f3n. El art\u00edculo 38, apartado 3, de la misma ley va m\u00e1s all\u00e1: la direcci\u00f3n debe participar personalmente y con regularidad en dichas formaciones. Esta normativa afecta aproximadamente a 30.000 empresas en Alemania que cuentan con al menos 50 empleados o alcanzan un volumen de negocio anual de 10 millones de euros.<\/p>\n<\/details>\n Una vez al mes es el punto \u00f3ptimo. Realizarlas con mayor frecuencia puede provocar fatiga, mientras que hacerlo con menor periodicidad reduce su efectividad formativa. La dificultad debe aumentar progresivamente y abordar diversos tipos de ataques: fraude ejecutivo, intento de acceso a Microsoft, notificaciones falsas de paqueter\u00eda o comunicaciones aparentemente leg\u00edtimas del departamento de recursos humanos. Tras cada simulaci\u00f3n en la que se haga clic, se deben activar inmediatamente m\u00f3dulos breves de aprendizaje.<\/p>\n<\/details>\n KnowBe4: desde 18 d\u00f3lares estadounidenses por usuario y a\u00f1o. Proofpoint Security Awareness: desde 25 d\u00f3lares estadounidenses por usuario y a\u00f1o. Para una empresa con 200 empleados, esto supone entre 3.600 y 5.000 d\u00f3lares anuales. A ello hay que sumar el esfuerzo interno: de 2 a 4 horas mensuales dedicadas a la administraci\u00f3n y el an\u00e1lisis de los resultados.<\/p>\n<\/details>\n No. Las sanciones pueden desincentivar a los empleados a informar sobre incidentes. En su lugar, lo recomendable es ofrecer un m\u00f3dulo de aprendizaje inmediato tras el clic, utilizar un enfoque positivo y centrarse en la mejora continua. El objetivo es fomentar una cultura de reporte, no una cultura del miedo. Empresas que adoptan enfoques exclusivamente educativos han logrado tasas de denuncia superiores al 70 %.<\/p>\n<\/details>\n Aunque no constituye un requisito legal obligatorio, s\u00ed es un criterio habitual en el proceso de suscripci\u00f3n. Allianz incluye la concienciaci\u00f3n entre sus 12 criterios fundamentales. Asimismo, el cuestionario de riesgos cibern\u00e9ticos del GDV (Asociaci\u00f3n Alemana de Aseguradores) plantea preguntas espec\u00edficas al respecto. De no presentarse la evidencia de dichas formaciones, las compa\u00f1\u00edas podr\u00edan imponer primas m\u00e1s altas o incluso excluir coberturas relacionadas con da\u00f1os derivados de phishing.<\/p>\n<\/details>\n Los indicadores tradicionales, como los errores ortogr\u00e1ficos, ya no son suficientes para detectarlo. Por ello, las formaciones deben centrarse en reconocer anomal\u00edas conductuales: urgencias inesperadas, remitentes inusuales o desviaciones del flujo normal de trabajo. Adem\u00e1s, es fundamental implementar medidas t\u00e9cnicas: DMARC\/DKIM para la autenticaci\u00f3n del correo electr\u00f3nico, filtros de correo basados en IA y procesos de verificaci\u00f3n de transacciones financieras mediante canales alternativos.<\/p>\n<\/details>\n Fuente de la imagen principal: Pexels \/ Tima Miroshnichenko<\/em><\/p>\n<\/div>\n M\u00e1s servicios, casos de uso y contexto pr\u00e1ctico est\u00e1n disponibles en synaforce para seguridad gestionada y cumplimiento<\/a>.<\/p>\n El firewall est\u00e1 configurado, la autenticaci\u00f3n multifactor activada y la protecci\u00f3n de endpoints implementada. Y entonces un empleado hace clic en un enlace en un correo aparentemente leg\u00edtimo.<\/p>\n","protected":false},"author":205,"featured_media":97149,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_yoast_wpseo_focuskw":"Formaci\u00f3n obligatoria en conciencia sobre NIS2","_yoast_wpseo_title":"Conciencia de ciberseguridad: Por qu\u00e9 la tecnolog\u00eda no basta","_yoast_wpseo_metadesc":"Descubra por qu\u00e9 la conciencia humana es clave en la ciberseguridad. La tecnolog\u00eda protege, pero las personas deciden. Casos reales y estrategias pr\u00e1cticas.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"featured_post_sortierung":0,"featured_post":0,"pre_headline":"","bildquelle":"","teasertext":"","language":"de","_evm_translation_lang":"","_wp_old_slug":[],"footnotes":""},"categories":[2239],"tags":[],"class_list":["post-97014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-tech","entry"],"evm_reading_time_minutes":15,"wpml_language":"es","wpml_translation_of":87988,"acf":[],"yoast_head":"\n\u00bfQu\u00e9 es Conciencia ciberseguridad?<\/h2>\n
Lo m\u00e1s importante en breve<\/h2>\n
\n
La brecha entre tecnolog\u00eda y comportamiento<\/h2>\n
La NIS2 convierte la concienciaci\u00f3n en una obligaci\u00f3n<\/h2>\n
La IA cambia el per\u00edmetro de ataque<\/h2>\n
\n
\n Estudio de Ciberseguridad de T\u00dcV 2025 (506 empresas, encuesta realizada por Ipsos)<\/cite>\n <\/p>\n<\/blockquote>\nLo que funciona: De la formaci\u00f3n obligatoria al cambio de comportamiento<\/h2>\n
Seguro cibern\u00e9tico: La concienciaci\u00f3n como condici\u00f3n contractual<\/h2>\n
El ROI de un programa de concienciaci\u00f3n<\/h2>\n
Conclusi\u00f3n: Capacitar o responder legalmente<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfExige NIS2 expl\u00edcitamente formaciones de concienciaci\u00f3n?<\/strong><\/summary>\n
\u00bfCon qu\u00e9 frecuencia se deben llevar a cabo simulaciones de phishing?<\/strong><\/summary>\n
\u00bfCu\u00e1nto cuesta un programa de concienciaci\u00f3n?<\/strong><\/summary>\n
\u00bfSe deber\u00eda sancionar a los empleados que hacen clic en correos de phishing?<\/strong><\/summary>\n
\u00bfExigen las aseguradoras cibern\u00e9ticas formaciones de concienciaci\u00f3n?<\/strong><\/summary>\n
\u00bfC\u00f3mo protegerse frente al phishing impulsado por inteligencia artificial?<\/strong><\/summary>\n
Recomendaciones de lectura de la redacci\u00f3n<\/h2>\n
\n
M\u00e1s del ecosistema de medios MBF<\/h2>\n
\n
M\u00e1s sobre este tema de synaforce<\/h2>\n
\n