Programa de concienciación de seguridad para empleados
La mayoría de las filtraciones de seguridad no comienzan con hackers atravesando firewalls. Comienzan con un empleado que hace clic en un enlace de un correo, comparte credenciales por teléfono o deja documentos sensibles en un lugar público. Sus empleados son simultáneamente su mayor vulnerabilidad y su defensa más sólida, dependiendo de lo bien que estén formados.
La formación en concienciación de seguridad convierte a los empleados de objetivos en sensores. Una plantilla bien formada no solo evita las amenazas: las reporta. Cuestiona las solicitudes sospechosas. Entiende por qué importa la seguridad y toma buenas decisiones incluso cuando nadie la está observando.
Este capítulo explica cómo construir un programa de concienciación de seguridad que realmente funcione: contenido atractivo, habilidades prácticas y resultados medibles. No la formación anual rutinaria que todos olvidan de inmediato, sino una educación continua que cambia el comportamiento.
Por qué importa la concienciación de seguridad
Los datos cuentan una historia clara:
El error humano domina las estadísticas de filtraciones. El Informe de Investigaciones de Filtraciones de Datos 2024 de Verizon encontró que el 68 % de las filtraciones involucró un elemento humano no malicioso: personas que cayeron en ingeniería social o cometieron errores. Puede tener los mejores controles técnicos del mundo y seguir sufriendo una filtración a través de sus empleados.
El phishing es el principal vector de ataque. El mismo informe muestra el phishing como método de acceso inicial en el 16 % de las filtraciones. El pretexting (ingeniería social) representa otra parte significativa. Estos ataques se dirigen a las personas, no a los sistemas.
Las pequeñas empresas son objetivos principales. Los atacantes saben que las pequeñas empresas a menudo carecen de formación en seguridad. Según el Informe de Ciberpreparación Hiscox 2024, es más probable que se ataque a las pequeñas empresas que a las grandes, y sufren un daño proporcionalmente mayor.
Un solo clic puede costar millones. El coste medio de un ataque de phishing que resulta en una filtración de datos es de 4,76 millones de dólares según el Informe de Coste de una Filtración de Datos de IBM 2024. Para una pequeña empresa, eso suele ser fatal.
La formación funciona. Las organizaciones con programas de formación en concienciación de seguridad tienen un 70 % menos de incidentes de seguridad. Las simulaciones regulares de phishing pueden reducir las tasas de clics del 30 %+ a menos del 5 %.
Lo que los empleados necesitan saber
No todos necesitan entender los desbordamientos de búfer o la inyección SQL. Pero cada empleado, desde el recepcionista hasta el CEO, necesita entender estos temas:
1. Phishing y seguridad del correo electrónico
El phishing es el arte de engañar a las personas mediante correo electrónico (o SMS, o voz) para que revelen credenciales, instalen malware o realicen acciones dañinas. Es el vector de ataque más común contra las organizaciones.
Lo que los empleados deben reconocer:
| Indicador de phishing | Ejemplo |
|---|---|
| Urgencia o amenazas | «Su cuenta será cerrada en 24 horas» |
| Solicitudes inesperadas | «Por favor, actualice su información de pago» |
| Remitente sospechoso | «[email protected]» |
| Saludo genérico | «Estimado cliente» en lugar de su nombre |
| Errores gramaticales y ortográficos | «Por favor verifique sus informaciones» |
| Enlaces sospechosos | El texto del enlace dice «amazon.com» pero la URL real es «amzn-login.malicious.com» |
| Adjuntos inesperados | Invoice.pdf.exe o «Por favor revise este documento» |
| Solicitud de información sensible | «Responda con su contraseña para verificar su identidad» |
Escenarios de formación:
- Phishing de credenciales: Página de inicio de sesión falsa de Microsoft 365, Google Workspace o sistemas internos
- Spear phishing: Correo dirigido que parece provenir del CEO o un gerente
- Business Email Compromise (BEC): Solicitud urgente de transferencia bancaria del «CFO»
- Entrega de malware: «Factura adjunta» o «Tiene un paquete»
- Phishing de devolución de llamada: «Llame a este número para resolver el problema de su cuenta»
Qué hacer al recibir un correo sospechoso:
- Deténgase — no haga clic en ningún enlace ni abra archivos adjuntos
- Verifique — revise cuidadosamente la dirección del remitente
- Confirme — contacte al remitente por un canal conocido si tiene dudas
- Reporte — reenvíe a seguridad/IT o use el botón de denuncia
- Elimine — borre de la bandeja de entrada después de reportar
2. Ingeniería social
La ingeniería social es la manipulación para conseguir que las personas divulguen información confidencial o realicen acciones que no deberían. Explota la psicología humana, no las vulnerabilidades técnicas.
Técnicas comunes:
| Técnica | Descripción | Ejemplo |
|---|---|---|
| Pretexting | Crear un escenario falso para extraer información | «Soy de IT, necesito su contraseña para arreglar su cuenta» |
| Baiting | Ofrecer algo tentador | USB con la etiqueta «Información de salarios 2024» dejado en el estacionamiento |
| Tailgating | Seguir a una persona autorizada a través de una puerta segura | «¿Puede sostener la puerta? Olvidé mi tarjeta» |
| Quid pro quo | Ofrecer un servicio a cambio de información | «Soporte de IT gratuito» que instala malware |
| Vishing | Phishing de voz por teléfono | Llamada bancaria falsa sobre «actividad sospechosa» |
| Smishing | Phishing por SMS | «Su paquete no pudo ser entregado, haga clic aquí» |
| Suplantación | Fingir ser una figura de autoridad | Proveedor falso, ejecutivo o soporte de IT |
Ataques reales de ingeniería social:
El hackeo de Twitter (2020): Los atacantes llamaron a empleados de Twitter fingiendo ser soporte de IT y los convencieron de ingresar credenciales en un sitio interno falso. Resultado: cuentas de alto perfil (Obama, Musk, Gates) tuitearon una estafa de Bitcoin.
La filtración de Ubiquiti (2021): Los atacantes se hicieron pasar por un proveedor externo por correo, convencieron a empleados de realizar transferencias bancarias fraudulentas. Resultado: 46,7 millones de dólares perdidos.
MGM Resorts (2023): Los atacantes llamaron al servicio de asistencia de IT, se hicieron pasar por un empleado usando información de LinkedIn y convencieron al servicio de asistencia de restablecer el MFA. Resultado: sistemas caídos durante días, más de 100 millones de dólares en pérdidas.
Estrategias de defensa para enseñar:
- Verifique por un canal diferente — Si alguien llama pidiendo información, cuelgue y devuelva la llamada usando un número conocido
- Desconfíe de la urgencia — «Esto debe ocurrir AHORA» es una señal de alerta
- Confirme solicitudes de dinero o datos — Especialmente si son inusuales o inesperadas
- No deje que la cortesía supere a la seguridad — Está bien decir no a solicitudes que parezcan incorrectas
- Reporte intentos de ingeniería social — Incluso los fallidos; son inteligencia
3. Seguridad de contraseñas
A pesar de años de esfuerzos de concienciación, las contraseñas siguen siendo una debilidad importante. Las personas reutilizan contraseñas, eligen contraseñas débiles y las comparten de forma inapropiada.
Realidades sobre contraseñas que enseñar:
Por qué la reutilización de contraseñas es peligrosa:
2019: El usuario crea una cuenta en un foro aleatorio con la contraseña "Summer2019!"
2020: El foro sufre una filtración, la contraseña queda expuesta
2021: Un atacante prueba el mismo correo/contraseña en los sistemas de la empresa
2021: El atacante inicia sesión con éxito: el usuario reutilizó la contraseña
2021: Filtración de datos, la empresa sale en las noticias
Esto no es teórico: los ataques de relleno de credenciales (probar contraseñas filtradas en otros sitios) son extremadamente comunes. Have I Been Pwned tiene más de 14 mil millones de cuentas comprometidas en su base de datos.
Buenas prácticas con contraseñas:
| Haga | No haga |
|---|---|
| Use una contraseña única para cada cuenta | Reutilice contraseñas en diferentes sitios |
| Use un gestor de contraseñas | Escriba contraseñas en notas adhesivas |
| Use frases de contraseña largas (16+ caracteres) | Use contraseñas cortas con sustituciones (P@ssw0rd) |
| Habilite MFA donde esté disponible | Confíe solo en la contraseña para cuentas importantes |
| Cambie la contraseña si sospecha una filtración | Cambie contraseñas según un calendario arbitrario |
Presentando los gestores de contraseñas:
La mayoría de las personas no pueden recordar contraseñas únicas para más de 50 cuentas. Los gestores de contraseñas resuelven esto al:
- Generar contraseñas fuertes y únicas para cada sitio
- Almacenarlas de forma segura (cifradas)
- Rellenar automáticamente las credenciales (para no tener que escribirlas donde podrían ser capturadas)
- Alertar cuando las contraseñas se encuentran en filtraciones
Gestor de contraseñas recomendado:
Recomendamos Passwork — un gestor de contraseñas y secretos empresarial con cifrado de conocimiento cero, bóvedas compartidas, permisos granulares y registros de auditoría. Disponible como on-premise (sus propios servidores) o en la nube. Escala desde equipos pequeños hasta más de 30.000 usuarios. Desde 3 €/usuario/mes.
MFA (Autenticación multifactor):
Las contraseñas solas no son suficientes. El MFA añade un segundo método de verificación:
| Tipo de MFA | Nivel de seguridad | Comodidad |
|---|---|---|
| Código SMS | Bajo (puede ser interceptado) | Alta |
| App de autenticación (Passwork 2FA o cualquier app TOTP) | Medio | Media |
| Llave hardware (YubiKey) | Alto | Media |
| Passkeys | Alto | Alta |
Enseñe a los empleados:
- Habilitar MFA en todas las cuentas que lo ofrezcan
- Preferir apps de autenticación sobre SMS
- Nunca compartir códigos MFA con nadie (los servicios legítimos nunca los piden)
- «Alguien llamó pidiendo mi código» = ataque en curso
4. Manejo y clasificación de datos
Los empleados trabajan con datos sensibles a diario. Necesitan entender qué es sensible y cómo manejarlo.
Marco de clasificación de datos:
| Nivel | Descripción | Ejemplos | Manejo |
|---|---|---|---|
| Público | Sin daño si se divulga | Materiales de marketing, contenido del sitio web público | Compartir libremente |
| Interno | Solo para empleados | Políticas internas, organigramas, planes de proyecto | Mantener dentro de la empresa |
| Confidencial | Sensible para el negocio | Informes financieros, listas de clientes, contratos | Solo para quien necesite saberlo, cifrado |
| Restringido | Muy sensible | Datos personales (PII), información de salud, credenciales | Control de acceso estricto, cifrado |
Errores comunes en el manejo de datos:
- Enviar datos sensibles sin cifrar por correo — «Solo enviaré esta lista de clientes a mi cuenta personal»
- Guardar en almacenamiento personal en la nube — Datos de la empresa en Dropbox o Google Drive personal
- Compartir más allá de quien necesita saberlo — Reenviar documentos confidenciales a personas que no los necesitan
- Eliminación inadecuada — Tirar documentos sin destruirlos, no limpiar dispositivos
- Dejar datos a la vista — Pantalla desbloqueada en una cafetería, documentos en impresora compartida
Directrices para el manejo de datos:
Antes de compartir datos, pregúntese:
- ¿Esta persona necesita estos datos para su trabajo?
- ¿Son los datos mínimos que necesita?
- ¿Estoy usando un canal aprobado para compartirlos?
- ¿Están los datos adecuadamente protegidos (cifrados si es necesario)?
- ¿Debería tener un límite de tiempo o requerir confirmación?
Manejo especial de datos personales (PII):
La información de identificación personal requiere cuidado adicional:
- Nombre completo + otra información identificativa
- Direcciones de correo electrónico
- Números de teléfono
- Números de seguridad social / DNI
- Información financiera (cuentas bancarias, tarjetas de crédito)
- Información de salud
- Datos de localización
- Datos biométricos
Los requisitos legales (GDPR, CCPA, etc.) a menudo exigen un manejo específico. En caso de duda, trate los datos personales como Confidencial o Restringido.
5. Seguridad física
La seguridad no es solo digital. El acceso físico a dispositivos y documentos puede comprometer todo.
Conceptos básicos de seguridad física:
| Situación | Buena práctica |
|---|---|
| Al dejar el escritorio | Bloquee el ordenador (Win+L o Cmd+Ctrl+Q) |
| Al salir de la oficina | Asegure el portátil, recoja los documentos sensibles |
| En espacios públicos | Use pantalla de privacidad, no hable de asuntos confidenciales |
| Visitantes | Acompáñelos en todo momento, no los deje solos con ordenadores |
| Documentos | Destruya documentos confidenciales, use impresión segura |
| Dispositivos | No los deje en el coche, use candado de cable cuando sea posible |
| Puertas | No las deje abiertas, no entre detrás de otros, desafíe a personas desconocidas |
| USB/dispositivos externos | No conecte dispositivos desconocidos |
Seguridad en viajes:
Los viajeros de negocios enfrentan riesgos adicionales:
- Use VPN en WiFi de hotel/aeropuerto
- Habilite el cifrado completo del disco en el portátil
- No deje dispositivos desatendidos en la habitación del hotel (use la caja fuerte)
- Tenga cuidado con los curiosos en aeropuertos/cafeterías
- Desconfíe del «soporte de IT» que le contacte mientras viaja
- Considere dispositivos temporales para destinos de alto riesgo
6. Seguridad en el trabajo remoto
Con el trabajo remoto e híbrido, el hogar se ha convertido en una extensión de la oficina.
Seguridad en la oficina en casa:
| Área | Recomendación |
|---|---|
| Red | Asegure el WiFi doméstico con WPA3, contraseña única |
| Router | Actualice el firmware, cambie la contraseña de administrador predeterminada |
| Dispositivo de trabajo | Manténgalo separado del uso personal si es posible |
| Videollamadas | Sea consciente de lo que es visible al fondo |
| Llamadas de voz | Tenga cuidado al hablar de asuntos confidenciales si otros pueden escuchar |
| Documentos | Asegure o destruya los documentos de trabajo también en casa |
| Pantalla | Bloquéela al alejarse, incluso en casa |
WiFi público:
| Riesgo | Mitigación |
|---|---|
| Interceptación de tráfico | Siempre use VPN |
| Redes gemelas maliciosas | Verifique el nombre de la red, prefiera el punto de acceso móvil |
| Secuestro de sesión | Use HTTPS en todo, evite transacciones sensibles |
| Curiosos | Pantalla de privacidad, siéntese con la espalda a la pared |
7. Reporte de incidentes
Los empleados necesitan saber cómo y cuándo reportar preocupaciones de seguridad. Muchos incidentes no se reportan porque las personas temen ser culpadas o no creen que sea importante.
Qué reportar:
- Correos de phishing (aunque no haya hecho clic)
- Llamadas telefónicas sospechosas
- Dispositivos perdidos o robados
- Exposición accidental de datos
- Comportamiento inusual del ordenador
- Personas desconocidas en áreas seguras
- Credenciales posiblemente comprometidas
- Cualquier cosa que se sienta «rara»
El reporte debe ser:
- Fácil — Botón de reporte con un clic, dirección de correo simple, canal rápido de Slack
- Sin consecuencias negativas — Reportar no es admitir culpa
- Reconocido — Agradezca a las personas por reportar
- Accionable — Los reportes deben ir a algún lugar y ser atendidos
Proceso de reporte de ejemplo:
Cómo reportar: Correo a [email protected] · Slack #security-reports · Llame al servicio de asistencia de IT para problemas urgentes · Botón «Reportar phishing» en su cliente de correo
Al reportar, incluya: qué ocurrió, cuándo ocurrió, cualquier evidencia (capturas de pantalla, encabezados de correo), sus datos de contacto para seguimiento.
Formatos de entrenamiento que funcionan
La formación de seguridad tradicional — presentaciones de una hora, vídeos aburridos, ejercicios anuales de casillas — no cambia el comportamiento. Aquí está lo que realmente funciona:
1. Simulaciones de phishing
Las pruebas de phishing simuladas envían correos de phishing seguros a los empleados. Los que hacen clic reciben educación inmediata. Los que reportan reciben reconocimiento.
Por qué funcionan las simulaciones:
- Aprendizaje experiencial — Las personas recuerdan lo que viven más que lo que se les cuenta
- Medible — Rastree las tasas de clics a lo largo del tiempo
- Personalizado — Identifique quién necesita más formación
- Retroalimentación en tiempo real — Momento de enseñanza cuando hacen clic
Ejecutar simulaciones efectivas:
| Elemento | Buena práctica |
|---|---|
| Frecuencia | Mensual (no tan seguido como para volverse predecible) |
| Dificultad | Comience fácil, aumente gradualmente la sofisticación |
| Variedad | Diferentes tipos: credenciales, adjuntos, BEC, etc. |
| Realismo | Use escenarios relevantes (anuncios falsos de la empresa, etc.) |
| Educación | Formación inmediata para los que hacen clic |
| Reconocimiento | Agradezca a los empleados que reportan |
| Medición | Rastree tasas de clics y reportes a lo largo del tiempo |
Herramientas de simulación de phishing:
| Herramienta | Mejor para | Precio |
|---|---|---|
| Gophish | Auto-alojado, gratuito | Código abierto |
| KnowBe4 | Empresas, integral | Precio bajo consulta |
| Proofpoint | Grandes organizaciones | Precio bajo consulta |
| Cofense | Enfocado en phishing | Precio bajo consulta |
| Hoxhunt | Gamificación | Precio bajo consulta |
| Microsoft Attack Simulator | Clientes de M365 | Incluido en algunos planes |
| Google Security Center | Clientes de Workspace | Incluido |
Ejemplo de configuración de Gophish (auto-alojado):
# Download and extract
wget https://github.com/gophish/gophish/releases/latest/download/gophish-v0.12.1-linux-64bit.zip
unzip gophish-*.zip
cd gophish
# Start Gophish
./gophish
# Access admin interface at https://localhost:3333
# Default credentials shown in console output
Calendario de campañas de simulación de ejemplo:
| Mes | Tema | Dificultad | Ejemplo |
|---|---|---|---|
| 1 | Phishing genérico | Fácil | «Su contraseña expira mañana» |
| 2 | Suplantación de proveedor | Fácil | «Su suscripción de Adobe necesita renovación» |
| 3 | Entrega de paquetes | Medio | «Su paquete no pudo ser entregado» |
| 4 | Remitente interno | Medio | «IT: Actualización de seguridad requerida» |
| 5 | Eventos actuales | Medio | Tema relevante a noticias actuales |
| 6 | Spear phishing | Difícil | Personalizado para el destinatario |
| 7 | Intento de BEC | Difícil | «Solicitud urgente de [nombre del CEO]» |
| 8 | Phishing por QR | Medio | «Escanee para información de sala de reuniones» |
| 9 | Mensaje de voz | Medio | «Tiene un mensaje de voz, haga clic para escuchar» |
| 10 | Temporada de impuestos/RRHH | Difícil | «Su W-2 está listo» o similar |
| 11 | Múltiples etapas | Difícil | Correo de seguimiento si el primero fue abierto |
| 12 | Temática navideña | Medio | «Notificación de bono navideño» |
2. Micro-aprendizaje
Los módulos de formación cortos y enfocados (5-15 minutos) entregados regularmente funcionan mejor que las sesiones anuales de una hora.
Principios del micro-aprendizaje:
- Un solo tema por módulo — Seguridad de contraseñas, no «toda la seguridad»
- Interactivo — Cuestionarios, escenarios, no solo diapositivas
- Compatible con móvil — Completable en cualquier dispositivo
- Regular — Cadencia mensual o quincenal
- Oportuno — Relevante para amenazas o eventos actuales
Calendario de micro-aprendizaje de ejemplo:
| Semana | Tema | Formato | Tiempo |
|---|---|---|---|
| 1 | Reconocimiento de phishing | Cuestionario interactivo | 10 min |
| 2 | Conceptos básicos del gestor de contraseñas | Vídeo + práctica | 15 min |
| 3 | Historias de ingeniería social | Casos de estudio | 10 min |
| 4 | Clasificación de datos | Basado en escenarios | 10 min |
| 5 | Reporte de preocupaciones de seguridad | Revisión del proceso | 5 min |
| 6 | Seguridad de dispositivos móviles | Lista de verificación + cuestionario | 10 min |
| 7 | Seguridad en WiFi público | Vídeo | 5 min |
| 8 | Reconocimiento de BEC | Escenario interactivo | 10 min |
3. Escenarios interactivos
Ponga a los empleados en situaciones realistas donde toman decisiones.
Escenario de ejemplo: Llamada telefónica sospechosa
Escenario: Recibe una llamada de «Soporte de Microsoft»
«Hola, soy Juan del Equipo de Seguridad de Microsoft. Hemos detectado actividad sospechosa en su ordenador. Necesito guiarle por algunos pasos para protegerlo.»
¿Qué hace?
- A) Siga sus instrucciones — Microsoft es de confianza
- B) Pida su número de empleado y número para devolver la llamada
- C) Cuelgue y reporte a IT
- D) Cuelgue y llame a Microsoft directamente usando el número oficial
Mejor respuesta: C o D. Microsoft nunca hace llamadas de soporte no solicitadas. Esto es una estafa clásica de soporte técnico. Incluso pedir un ID les da más oportunidad de manipular. Cuelgue inmediatamente y reporte el intento.
Escenario de ejemplo: Fraude del CEO
Escenario: Está en finanzas y recibe este correo
De: James Wilson <[email protected]> Asunto: Transferencia bancaria urgente
Hola, estoy en una reunión y necesito que procese una transferencia bancaria urgente de 45.000 $ a un nuevo proveedor. Es urgente. Le enviaré los datos de la cuenta. Por favor, confírmeme cuando esté hecho.
Gracias, James. Enviado desde mi iPhone.
¿Qué señales de alerta ve? ¿Qué debe hacer?
Señales de alerta: la dirección del remitente no es el dominio oficial de la empresa · presión de urgencia · solicitud de omitir el proceso normal de aprobación · «en una reunión» para no ser localizado · nuevo proveedor sin relación previa.
Acción: No procese. Verifique con James a través de Slack, un número de teléfono conocido o en persona. Reporte a seguridad.
4. Gamificación
Haga que la formación en seguridad sea competitiva y divertida.
Elementos de gamificación:
| Elemento | Implementación |
|---|---|
| Puntos | Gane puntos por completar formación, reportar phishing |
| Clasificaciones | Rankings de equipo o individuales (opcional: puede ser desmotivador) |
| Insignias | «Detective de phishing», «Maestro de contraseñas», «Security Champion» |
| Desafíos | Desafíos de seguridad mensuales con premios |
| Rachas | Mantenga una racha de no hacer clic en pruebas de phishing |
| Niveles | Avance por niveles de habilidad en seguridad |
Ejemplo: Desafío de seguridad mensual
Desafío de seguridad de enero: «Potenciamiento de contraseñas»
Misión: ponga en orden su seguridad personal de contraseñas.
- Instale el gestor de contraseñas de la empresa — 50 puntos
- Importe al menos 10 contraseñas — 25 puntos
- Habilite MFA en su correo — 50 puntos
- Compruebe su correo en HaveIBeenPwned — 25 puntos
- Cambie las contraseñas encontradas en filtraciones — 25 puntos cada una
- Bonus: comparta un consejo con un colega — +10 puntos
Premio: los 10 mejores reciben artículos de la empresa. Premio de equipo: el equipo con mayor promedio recibe una comida de pizza.
5. Compartir historias reales
Los incidentes reales son más memorables que las amenazas abstractas.
Fuentes de historias:
- Filtraciones específicas del sector
- Casos propios de la empresa (anonimizados)
- Noticias sobre empresas similares
- Experiencias personales (del Security Champion o voluntarios)
Formato de historia:
## El correo de 46 millones de dólares
**Qué ocurrió:** En 2020, un solo correo le costó a Ubiquiti Networks 46,7 millones de dólares.
**Cómo funcionó:** Los atacantes se hicieron pasar por un proveedor externo a través del correo.
Convencieron a los empleados de finanzas de que los datos de pago del proveedor habían cambiado.
Los empleados transfirieron dinero a la nueva cuenta (controlada por los atacantes).
**Por qué pareció creíble:**
- El correo parecía profesional
- Llegó durante un período de mucha actividad
- Hacía referencia a una relación real con el proveedor
- Usó la urgencia para evitar una verificación cuidadosa
**Cómo prevenirlo:**
- Siempre verifique los cambios de pago por teléfono usando un número conocido
- No use la información de contacto del correo que solicita el cambio
- Tenga aprobación de dos personas para transacciones grandes
- Confíe en su instinto si algo parece raro
**Debate:** ¿Alguien ha recibido una solicitud sospechosa sobre pagos?
Construyendo su programa de formación
Paso 1: Evalúe el estado actual
Antes de construir un programa, entienda desde dónde parte:
Preguntas a responder:
- ¿Existe alguna formación en seguridad actualmente?
- ¿Cuándo recibieron los empleados formación por última vez?
- ¿Qué temas se abordaron?
- ¿Cuál es la tasa de clics de phishing actual (si se ha probado)?
- ¿Cuántos incidentes de seguridad se originaron en acciones de empleados?
- ¿Cuáles son los mayores riesgos de comportamiento?
Evaluación rápida de línea base:
| Métrica | Cómo medir | Objetivo |
|---|---|---|
| Adopción de MFA | Verifique el proveedor de identidad | 100 % en sistemas críticos |
| Uso del gestor de contraseñas | Verifique el uso de licencias | 80 %+ |
| Tasa de clics de phishing | Ejecute simulación base | Por debajo del 5 % |
| Tasa de reporte | Rastree los reportes a seguridad | Por encima del 50 % de las simulaciones |
| Finalización de formación | LMS o seguimiento manual | 95 % |
Paso 2: Defina los objetivos
¿Qué quiere lograr? Sea específico.
Objetivos de ejemplo:
| Objetivo | Métrica | Objetivo | Plazo |
|---|---|---|---|
| Reducir la susceptibilidad al phishing | Tasa de clics | Por debajo del 5 % | 6 meses |
| Aumentar el reporte | Tasa de reporte | Por encima del 60 % | 6 meses |
| Adopción universal de MFA | Cuentas con MFA | 100 % | 3 meses |
| Implementación del gestor de contraseñas | Usuarios activos | 80 % | 6 meses |
| Reducir incidentes de manejo de datos | Incidentes reportados | Reducción del 50 % | 12 meses |
Paso 3: Diseñe el currículo
Mapee los temas a los módulos de formación y el cronograma.
Currículo principal (todos los empleados):
| Tema | Formato | Duración | Frecuencia |
|---|---|---|---|
| Fundamentos de seguridad | Curso en línea | 30 min | Incorporación + anual |
| Reconocimiento de phishing | Interactivo + simulación | 15 min | Mensual |
| Seguridad de contraseñas | Vídeo + práctica | 20 min | Incorporación + anual |
| Manejo de datos | Escenarios | 15 min | Incorporación + anual |
| Ingeniería social | Historias + cuestionario | 15 min | Trimestral |
| Seguridad física | Lista de verificación + vídeo | 10 min | Anual |
| Reporte de incidentes | Proceso + cuestionario | 10 min | Incorporación |
Adiciones por rol:
| Rol | Temas adicionales |
|---|---|
| Finanzas | Concienciación sobre BEC, verificación de pagos, validación de proveedores |
| RRHH | Manejo de PII, datos de verificación de antecedentes, registros de empleados |
| Soporte al cliente | Manejo de datos de clientes, ingeniería social a través de tickets de soporte |
| Ejecutivos | Ataques de «whaling», concienciación como objetivo de alto valor |
| IT/Ingeniería | Cubierto en la formación específica para desarrolladores |
Paso 4: Seleccione los métodos de entrega
Combine métodos según el tema y la audiencia.
Comparación de métodos de entrega:
| Método | Mejor para | Pros | Contras |
|---|---|---|---|
| Cursos en línea | Currículo principal | Autodirigido, rastreable | Puede ser aburrido |
| Simulaciones de phishing | Habilidades prácticas | Experiencial, medible | Puede sentirse punitivo |
| Sesiones en vivo | Debate, preguntas y respuestas | Interactivo, atractivo | Difícil de programar |
| Vídeo | Conceptos, historias | Fácil de consumir | Pasivo |
| Cuestionarios | Verificación de conocimiento | Rápido, gamificable | Prueba la memoria, no el comportamiento |
| Escenarios | Toma de decisiones | Realista | Requiere tiempo para crear |
| Carteles/recordatorios | Refuerzo | Siempre visible | Fácil de ignorar |
| Boletín | Actualizaciones, historias | Punto de contacto regular | A menudo no se lee |
Paso 5: Cree el contenido
No necesita crear todo desde cero. Existen muchos recursos disponibles.
Recursos gratuitos:
| Recurso | Lo que ofrece | Enlace |
|---|---|---|
| NIST | Recursos de concienciación sobre phishing | nist.gov/itl/applied-cybersecurity/nice |
| CISA | Materiales de concienciación de ciberseguridad | cisa.gov/resources-tools/programs/national-cybersecurity-awareness-month |
| SANS | Recursos de concienciación de seguridad | sans.org/security-awareness-training/resources |
| Cuestionario de phishing | phishingquiz.withgoogle.com | |
| Microsoft | Plantillas de formación en seguridad | Varios recursos de Microsoft Learn |
| Have I Been Pwned | Concienciación sobre filtraciones | haveibeenpwned.com |
Plataformas de formación comerciales:
| Plataforma | Fortalezas | Precio |
|---|---|---|
| KnowBe4 | Integral, gran biblioteca | Precio bajo consulta |
| Proofpoint | Integración con seguridad de correo | Precio bajo consulta |
| Mimecast | Integración con seguridad de correo | Precio bajo consulta |
| Curricula | Enfoque narrativo | Precio bajo consulta |
| Ninjio | Vídeos atractivos | Precio bajo consulta |
| Hoxhunt | Gamificación, impulsado por IA | Precio bajo consulta |
Paso 6: Implemente y rastree
Lista de verificación de lanzamiento:
- Obtener el respaldo de la dirección (correo del CEO apoyando el programa)
- Configurar el sistema de seguimiento (LMS, hoja de cálculo o plataforma de formación)
- Programar la formación en el calendario de la empresa
- Comunicar el programa a todos los empleados
- Enviar el primer módulo de formación
- Ejecutar la simulación de phishing de línea base
- Recopilar retroalimentación inicial
Ejemplo de hoja de cálculo de seguimiento:
| Empleado | Departamento | Incorporación completa | Phishing (ene) | Phishing (feb) | Formación Q1 | Notas |
|---|---|---|---|---|---|---|
| Jane Doe | Ingeniería | ✓ | ✓ (reportó) | - | ✓ | Campeón |
| John Smith | Ventas | ✓ | ✗ (hizo clic) | ✓ (reportó) | ✓ | Mejoró |
| ... | ... | ... | ... | ... | ... | ... |
Paso 7: Itere y mejore
La formación no es un proceso que se configura y se olvida. Revísela y mejórela continuamente.
Revisión mensual:
- Resultados de simulación de phishing
- Tasas de finalización de formación
- Reportes recibidos
- Cualquier incidente de seguridad
Revisión trimestral:
- Métricas generales frente a objetivos
- Retroalimentación de los empleados
- Nuevas amenazas a abordar
- Contenido que necesita actualización
Revisión anual:
- Evaluación completa del programa
- Actualización del currículo
- Evaluación de herramientas/plataformas
- Planificación del próximo año
Guía de higiene digital básica
Uno de los entregables del taller es un memo de «Higiene digital básica». Aquí tiene una plantilla:
# Higiene digital básica
## Su guía para mantenerse seguro en línea — en el trabajo y en casa
### Contraseñas
✓ Use un gestor de contraseñas (le proporcionamos [Nombre de herramienta])
✓ Cree contraseñas únicas para cada cuenta
✓ Habilite MFA donde esté disponible
✓ Nunca comparta contraseñas — IT nunca le pedirá la suya
### Seguridad del correo electrónico
✓ Verifique cuidadosamente las direcciones de los remitentes: busque errores ortográficos
✓ No haga clic en enlaces en correos inesperados: vaya al sitio directamente
✓ Reporte correos sospechosos usando el botón «Reportar phishing»
✓ En caso de duda, consulte a IT antes de hacer clic
### Seguridad del dispositivo
✓ Bloquee su ordenador cuando se aleje (Win+L o Cmd+Ctrl+Q)
✓ Mantenga el software actualizado: no posponga las actualizaciones
✓ Instale solo software aprobado
✓ No conecte dispositivos USB desconocidos
### Manejo de datos
✓ Solo acceda a los datos que necesita para su trabajo
✓ No envíe datos sensibles por correo personal
✓ Use herramientas aprobadas para compartir archivos, no Dropbox personal
✓ Destruya los documentos de papel confidenciales
### Trabajo remoto
✓ Use VPN en WiFi público
✓ Mantenga lo laboral y lo personal separados cuando sea posible
✓ Asegure su WiFi doméstico con una contraseña segura
✓ Tenga cuidado con lo que es visible en las videollamadas
### Cuando algo sale mal
✓ Reporte de inmediato: no tendrá problemas
✓ Correo: [email protected]
✓ Slack: #security-help
✓ Teléfono: [número del servicio de asistencia de IT]
Recuerde: reportar siempre es la decisión correcta.
¡Más vale prevenir que lamentar!
Plantilla de plan de formación trimestral
Aquí tiene una plantilla para organizar su programa de formación anual:
# Plan de formación en concienciación de seguridad — [Año]
## T1: Fundación
### Enero
- [ ] Inicio: mensaje del CEO sobre la importancia de la seguridad
- [ ] Módulo: Repaso de conceptos básicos de seguridad (todos los empleados)
- [ ] Simulación de phishing n.º 1 (línea base)
### Febrero
- [ ] Módulo: Profundización en seguridad de contraseñas
- [ ] Acción: Implementación/verificación del gestor de contraseñas
- [ ] Simulación de phishing n.º 2
### Marzo
- [ ] Módulo: Reconocimiento de ingeniería social
- [ ] Sesión en vivo: preguntas y respuestas con el equipo de seguridad
- [ ] Simulación de phishing n.º 3
- [ ] Informe T1 para la dirección
## T2: Desarrollo de habilidades
### Abril
- [ ] Módulo: Clasificación y manejo de datos
- [ ] Por rol: Formación BEC para el equipo de finanzas
- [ ] Simulación de phishing n.º 4
### Mayo
- [ ] Módulo: Seguridad física y escritorio limpio
- [ ] Actividad: Revisión de seguridad de la oficina
- [ ] Simulación de phishing n.º 5
### Junio
- [ ] Módulo: Seguridad móvil y en trabajo remoto
- [ ] Repaso de seguridad para viajes (antes de los viajes de verano)
- [ ] Simulación de phishing n.º 6
- [ ] Informe T2 para la dirección
## T3: Refuerzo
### Julio
- [ ] Mes ligero: solo consejo de seguridad de la semana
- [ ] Simulación de phishing n.º 7
### Agosto
- [ ] Módulo: Procedimientos de reporte de incidentes
- [ ] Ejercicio de simulación: incidente simulado
- [ ] Simulación de phishing n.º 8
### Septiembre
- [ ] Módulo: Nuevas amenazas y tendencias
- [ ] Planificación del Mes de Concienciación de Seguridad
- [ ] Simulación de phishing n.º 9
- [ ] Informe T3 para la dirección
## T4: Celebración y planificación
### Octubre (Mes de Concienciación de Ciberseguridad)
- [ ] Actividades y eventos especiales
- [ ] Ponente invitado o vídeo
- [ ] Desafío de seguridad con premios
- [ ] Simulación de phishing n.º 10
### Noviembre
- [ ] Módulo: Seguridad navideña (compras, viajes)
- [ ] Lista de verificación de fin de año
- [ ] Simulación de phishing n.º 11
### Diciembre
- [ ] Mes ligero: agradecimiento y reconocimiento
- [ ] Boletín de resumen anual
- [ ] Simulación de phishing n.º 12
- [ ] Informe anual y planificación del próximo año
## Métricas rastreadas
| Métrica | Objetivo T1 | Objetivo T2 | Objetivo T3 | Objetivo T4 |
|---------|-------------|-------------|-------------|-------------|
| Finalización de formación | 90 % | 95 % | 95 % | 95 % |
| Tasa de clics de phishing | menos del 15 % | menos del 10 % | menos del 7 % | menos del 5 % |
| Tasa de reporte de phishing | >40 % | >50 % | >60 % | >70 % |
| Adopción de MFA | 95 % | 100 % | 100 % | 100 % |
Errores comunes a evitar
Hacer que la formación sea punitiva. Avergonzar a las personas que hacen clic en pruebas de phishing es contraproducente. Dejan de reportar y ocultan los errores. Use los fallos como momentos de enseñanza, no como castigo.
Solo formación anual. Una vez al año no es suficiente. Las personas olvidan. Las amenazas evolucionan. Los puntos de contacto mensuales mantienen la seguridad presente.
Contenido aburrido. Si los empleados se desconectan durante la formación, no están aprendiendo. Use historias, interactividad, variedad. Si usted se aburre creándola, ellos se aburrirán mirándola.
Talla única. Diferentes roles enfrentan diferentes amenazas. Personalice la formación para grupos de alto riesgo (finanzas, ejecutivos, manejadores de datos de clientes).
No medir. Sin métricas, no sabe si la formación funciona. Rastree tasas de phishing, finalización de formación, reportes de incidentes.
Enfocarse solo en el conocimiento. Evaluar lo que las personas saben no es lo mismo que evaluar lo que hacen. Las simulaciones evalúan el comportamiento real.
Olvidar a la dirección. Los ejecutivos son objetivos de alto valor y modelos a seguir. También necesitan formación, y su participación indica importancia.
Sobrecargar. Demasiada formación causa fatiga. Mantenga los módulos cortos, distribúyalos, respete el tiempo de las personas.
Taller: cree su programa
Parte 1: Evalúe el estado actual
-
Haga un inventario de la formación existente:
- ¿Qué formación existe hoy?
- ¿Cuándo fue actualizada por última vez?
- ¿Qué temas se cubren?
- ¿Qué falta?
-
Recopile métricas de línea base:
- Ejecute una simulación de phishing inicial O
- Encueste a los empleados sobre sus prácticas de seguridad
- Verifique las tasas de adopción de MFA
- Revise los reportes de incidentes pasados
Parte 2: Diseñe el currículo
-
Liste los temas a cubrir:
- Obligatorios (phishing, contraseñas, manejo de datos)
- Por rol (finanzas, ejecutivos, etc.)
- Específicos de la empresa (sus herramientas, políticas)
-
Elija los métodos de entrega:
- Módulos en línea para el contenido principal
- Simulaciones de phishing mensualmente
- Sesiones en vivo trimestralmente
- Boletín mensualmente
-
Cree el calendario:
- Use la plantilla anterior
- Adáptela al calendario de su empresa
- Evite los períodos de mayor actividad
Parte 3: Cree el primer contenido
-
Escriba la guía «Higiene digital básica»:
- Use la plantilla anterior
- Personalícela con las herramientas de su empresa
- Solicite revisión de IT/dirección
- Diseñe para fácil distribución (cartel, PDF, intranet)
-
Configure la simulación de phishing:
- Elija la herramienta (Gophish gratuito o comercial)
- Cree la primera campaña (dificultad fácil)
- Planifique la formación inmediata para los que hagan clic
- Planifique el reconocimiento para los que reporten
Artefactos a producir
Después de este taller, debería tener:
- Evaluación del estado actual — documento de la formación existente y métricas de línea base
- Currículo de formación — temas, formatos y calendario
- Plan de formación trimestral — calendario detallado de 12 meses
- Guía de higiene digital básica — lista para distribuir a los empleados
- Plan de simulación de phishing — primeras 3 campañas diseñadas
Preguntas de autoevaluación
- ¿Qué porcentaje de las filtraciones involucra errores humanos?
- ¿Cuáles son cinco señales de alerta que indican un correo de phishing?
- ¿Por qué es peligrosa la reutilización de contraseñas?
- ¿Cuáles son tres tipos de ataques de ingeniería social?
- ¿Qué deben hacer los empleados cuando reciben un correo sospechoso?
- ¿Por qué las simulaciones de phishing son más efectivas que las conferencias?
- ¿Cuál es el problema con solo tener formación anual?
- ¿Cómo se mide si la formación en seguridad está funcionando?
- ¿Cuál es la diferencia entre evaluar el conocimiento y evaluar el comportamiento?
- ¿Cómo debe manejar a los empleados que reiteradamente fallan en las pruebas de phishing?
Cómo explicar esto a la dirección
Comience con el impacto en el negocio: «El error humano causa el 68 % de las filtraciones. Un solo clic en un phishing puede costar millones. La formación reduce nuestro mayor factor de riesgo.»
Muestre la brecha: «Ahora mismo, el [X %] de nuestros empleados nunca ha recibido formación en seguridad. Cuando probamos con un correo de phishing simulado, el [Y %] hizo clic.»
Presente el plan: «Propongo formación mensual en seguridad: 15 minutos por empleado. Ejecutaremos simulaciones de phishing para medir la mejora. Objetivo: reducir la tasa de clics del [X %] a menos del 5 %.»
Aborde las preocupaciones:
- «El coste de tiempo es mínimo: 15 minutos al mes frente a días o semanas para recuperarse de un incidente»
- «Las herramientas son asequibles: podemos comenzar con recursos gratuitos y simulaciones básicas»
- «Mediremos los resultados: verá las métricas trimestralmente»
Conecte con otros objetivos:
- «Los clientes y socios preguntan cada vez más sobre la formación en seguridad como parte de las evaluaciones de proveedores»
- «Esto apoya nuestros objetivos de SOC 2 / ISO 27001 / [cumplimiento]»
- «Protege nuestra reputación y la confianza de los clientes»
Enlaces y recursos
Herramientas de simulación de phishing
- Gophish — Gratuito, código abierto
- Microsoft Attack Simulation — Clientes de M365
- Google Security Center — Clientes de Workspace
- KnowBe4 — Plataforma empresarial
Recursos de formación gratuitos
- Recursos de concienciación de ciberseguridad de CISA
- SANS Security Awareness
- Cuestionario de phishing de Google
- Marco NICE del NIST
Datos e informes
Gestores de contraseñas
- Passwork — gestor de contraseñas y secretos empresarial, on-premise o en la nube
Conclusión
La formación en concienciación funciona cuando es específica, repetida y con seguimiento. Una presentación anual de una hora no cambia el comportamiento. Las simulaciones mensuales, los vídeos cortos y las victorias rápidas sí lo hacen.
Comience con el phishing: es medible, identificable y el vector de ataque más común al que se enfrentarán sus empleados.
Qué sigue
Siguiente: currículo de seguridad para desarrolladores — formación estructurada en seguridad para las personas que escriben el código.