Por Gabriel Cilfone, Líder de Concientización en Ciberseguridad de Seccuracy.-
La industria aseguradora, y no la única, enfrenta una realidad que las capas de defensa aplicada de tecnología, por sí solas, no pueden resolver: el comportamiento humano sigue siendo el vector de ataque más explotado por los ciberdelincuentes
En una conferencia de ciberseguridad, un reconocido especialista en soluciones de defensa tecnológica terminó su presentación y se fue al break. Había pasado cuarenta minutos explicando firewalls, detección de intrusiones y arquitecturas de protección de última generación. Dejó su notebook sobre el escritorio. Cuando volvió, ya no estaba.
La anécdota no es un chiste. Es una síntesis.
El dato no es nuevo, pero su magnitud sigue sorprendiendo. Según el informe global de IBM sobre el costo de las brechas de seguridad, el error humano aparece como factor contribuyente en la gran mayoría de los incidentes registrados. No porque los empleados sean negligentes por naturaleza, sino porque las organizaciones subestiman sistemáticamente la necesidad de formarlos, entrenarlos y sostener esa formación en el tiempo.
El sector asegurador, en el ojo de la tormenta
Si hay una industria que debería tomar este problema con especial seriedad, esa es la de seguros. Las aseguradoras procesan volúmenes masivos de datos sensibles: información personal, médica, patrimonial y financiera de sus asegurados. Operan con plataformas digitales que concentran transacciones, pólizas y siniestros. Y han acelerado su transformación digital en los últimos años con una velocidad que, muchas veces, no fue acompañada por una madurez equivalente en la cultura de seguridad de sus equipos.
El phishing, el smishing, el vishing, la ingeniería social y el ransomware no discriminan industrias, pero sí aprovechan los puntos más débiles de cada una. En el caso asegurador, esos puntos suelen ser las áreas de atención al cliente, los accesos remotos de especialistas de IT, los productores y los brokers conectados a los sistemas centrales, y los equipos administrativos con acceso a datos críticos. Un colaborador que hace clic en un enlace malicioso o que responde un correo aparentemente legítimo puede abrir una puerta que millones de dólares en infraestructura tecnológica no alcanzan a cerrar.
El colaborador no es el culpable. Pero sí es parte de la solución
Hay un error de diagnóstico que conviene desarmar desde el principio: cuando se habla del factor humano como el eslabón más débil, no se está señalando una falla moral ni una incompetencia individual. Los ataques de ingeniería social están diseñados por profesionales del engaño que estudian psicología, explotan sesgos cognitivos y construyen escenarios de urgencia o confianza difíciles de detectar incluso para personas alertas. Caer en una trampa bien ejecutada no es señal de descuido: es la consecuencia natural de no haber sido entrenado para reconocerla.
La diferencia entre un colaborador que representa un riesgo y uno que representa una defensa no está en su inteligencia ni en su compromiso con la empresa. Está en si fue o no expuesto a un programa de concientización serio, continuo y adaptado a los riesgos reales de su entorno. La responsabilidad, en ese sentido, recae sobre la organización, no sobre el individuo.
Dicho esto, el cambio no ocurre de manera pasiva. El colaborador necesita involucrarse activamente en su propia formación, desarrollar un criterio propio ante situaciones sospechosas y asumir que la seguridad de la información es también su responsabilidad, no solo de las áreas de seguridad o de tecnología. Esa disposición no surge espontáneamente: se construye con programas que generan conciencia, que explican el por qué detrás de cada práctica y que hacen del aprendizaje una experiencia cercana a la realidad cotidiana del trabajo.
Conciencia no es un taller anual
Aquí radica uno de los principales equívocos que persisten en el mercado local: confundir un programa de concientización con un evento aislado. Una jornada de capacitación al año, un correo con recomendaciones enviado cada tanto o una charla o curso del área de seguridad en el onboarding de nuevos empleados no constituyen un programa. Son intentos bien intencionados que no modifican conductas.
Un programa efectivo de security awareness tiene características que lo diferencian sustancialmente de esas iniciativas puntuales. Debe ser continuo, la memoria humana se erosiona rápido y las amenazas evolucionan constantemente. Debe ser medible, sin métricas de participación, tasas de clic en simulaciones de phishing y evaluaciones de conocimiento, es imposible saber si el comportamiento real está cambiando. Debe estar alineado con la cultura y el lenguaje propios de cada organización, un contenido genérico, desconectado de la realidad operativa de la empresa, genera rechazo o indiferencia. Y debe adaptarse por sectores y roles: no es lo mismo capacitar al equipo de tecnología que a los comerciales o al área de RRHH.
La simulación de ataques, en particular, se ha consolidado como una herramienta clave. Someter a los colaboradores a escenarios controlados de phishing o ransomware, antes de que un atacante real lo haga, permite identificar vulnerabilidades, personalizar la formación subsiguiente y generar una experiencia de aprendizaje que ningún módulo explicativo puede replicar. Y cuando esa simulación va acompañada de una devolución inmediata y constructiva, no punitiva, el resultado es un colaborador más alerta, no uno más temeroso.
Medir para transformar
Uno de los aspectos que más se descuida en los programas incipientes es la evaluación sistemática de resultados. Sin indicadores claros, cualquier iniciativa de concientización corre el riesgo de convertirse en un gasto justificable en papel, pero indemostrable en la práctica. Los programas maduros miden, entre otras variables, la evolución de las tasas de clic ante simulaciones sucesivas, los niveles de participación por área, la velocidad de reporte de incidentes sospechosos y la retención de conocimiento a lo largo del tiempo.
Esa trazabilidad no solo permite demostrar el retorno de la inversión ante la dirección: permite ajustar la estrategia en tiempo real, reforzar los sectores más vulnerables y adaptar los contenidos cuando aparecen amenazas nuevas que, inevitablemente, lo hacen con una frecuencia que ningún calendario anual puede anticipar.
Una decisión que ya no puede postergarse
La pregunta que deberían hacerse los responsables de seguridad y los líderes de las aseguradoras ya no es si necesitan un programa de concientización. Esa discusión ya no debería estar en agenda. La pregunta real es si el programa que tienen o que están por diseñar, está a la altura del riesgo que enfrentan.
Las capas de defensa tecnológica son necesarias e irrenunciables. Pero ninguna arquitectura de seguridad es completa si la conducta del colaborador queda librada a la intuición o a la buena voluntad. El factor humano no es el problema: es el activo de seguridad más subestimado que tiene una organización.
