Forrester designa a SoSafe como una empresa «Strong Performer» entre las evaluadas en su informe «The Forrester Wave™: Human Risk Management Solutions, Q3 2024». Más detalles aquí.

La pantalla de un ordenador portátil muestra una ilustración abstracta que simboliza los diversos aspectos de la ciencia del comportamiento en ciberseguridad.

Ciencia del comportamiento

Las 5 ventajas principales de aplicar la ciencia del comportamiento a la formación en ciberseguridad

24 julio 2024 · 12 min de lectura

Los expertos en ciberseguridad lo tienen claro: la tecnología por sí sola ya no es suficiente para proteger a las organizaciones frente a los ciberataques tan sofisticados de hoy en día. Los ataques de ingeniería social donde se manipula psicológicamente a las víctimas se han convertido en el arma preferida de los ciberdelincuentes. Lo alarmante es que, además, son extremadamente eficaces.

Según el último informe sobre investigaciones de fugas de datos de Verizon, nada menos que el 68 % de las fugas de datos se atribuyen al elemento humano, lo que incluye ataques de ingeniería social, errores o un uso indebido de herramientas. Esta cifra es todo un reto para las empresas y los profesionales de la ciberseguridad en todo el mundo. El informe de IBM coincide con estos datos y señala el robo de credenciales y el phishing como los dos principales vectores de ataque, ambos estrechamente relacionados con la explotación de las vulnerabilidades humanas. Esto reafirma una verdad ineludible: el factor humano es un campo de batalla cibernético que hay que reforzar con urgencia.

Cómo se aprovechan los ciberdelincuentes del factor humano: ejemplos reales de ataques de ingeniería social

La evolución en las amenazas ha tenido repercusiones significativas y muy costosas para organizaciones de todo el mundo, incluidos gigantes como Twilio, Cisco y Uber. Estas entidades han caído en las ingeniosas trampas de los ataques de ingeniería social, lo que muestra claramente los riesgos que conllevan estas estrategias.

El ataque de ingeniería social contra el gigante mundial de los servicios de transporte Uber en septiembre de 2022 es un ejemplo escalofriante. Un presunto hacker adolescente consiguió saltarse un mecanismo de autenticación multifactor (MFA) frágil usando una estrategia «man in the middle» o ataque de intermediario. Esta intrusión le permitió acceder a la infraestructura interna sensible de Uber.

Ilustración paso a paso del ataque de fatiga de MFA contra Uber.

Sin embargo, aún hay esperanza. Cuando las personas están alerta y bien informadas, se pueden convertir en una barrera muy robusta contra este tipo de ciberataques. El incidente de Reddit a principios de 2023 lo pone de manifiesto: tras un sofisticado ataque de phishing que desencadenó una filtración de datos, un empleado alertó inmediatamente al equipo de seguridad interno. Gracias a esta rápida reacción se limitó el acceso del ciberdelincuente y se evitaron más daños. Sin esta actuación inmediata, las repercusiones podrían haber sido mucho más graves.

Necesitamos programas de concienciación en ciberseguridad modernos y eficaces

Este aumento exponencial de ciberataques cada vez más complejos ha puesto de relieve que es imprescindible fomentar una cultura sólida de seguridad en las organizaciones. Un elemento central en ella es la formación en ciberseguridad, que entrena a los empleados para identificar las amenazas, responder adecuadamente y no contribuir involuntariamente a las brechas de seguridad.

Sin embargo, aunque la concienciación sobre seguridad figura desde hace años en las estrategias de seguridad de empresas de diversos tamaños y sectores, ahora está experimentando un cambio fundamental. Los modelos de formación tradicionales, que en gran medida se centran en el cumplimiento normativo y ofrecen bibliotecas de contenidos estáticos, se están mostrando ineficaces frente a las nuevas amenazas que han surgido con la profesionalización del sector de la ciberdelincuencia.

Esto implica que hay que dejar de lado las medidas orientadas únicamente al cumplimiento normativo para dar paso a iniciativas que fomenten eficazmente hábitos seguros entre los empleados y les permitan minimizar los riesgos en su trabajo cotidiano. Al integrar los principios de la ciencia del comportamiento en los programas de concienciación sobre seguridad, las empresas pueden dejar atrás las medidas puntuales e implantar una gestión continua de su cultura de seguridad, lo que contribuye a construir una protección sólida contra la ingeniería social.

Los beneficios de la ciencia del comportamiento: las 5 ventajas principales de la formación en ciberseguridad

Dado el potencial transformador de la integración de la ciencia del comportamiento en los programas de concienciación en ciberseguridad, hemos elaborado una lista que resume todas las ventajas y el impacto de este cambio:

Resumen de las cinco ventajas principales de aplicar la ciencia del comportamiento a la formación en ciberseguridad.

1. Consigue más participación

Comprender el comportamiento humano en el ámbito de la ciberseguridad e influir sobre él puede aumentar considerablemente la motivación de los empleados e impulsar su participación en los programas de formación en ciberseguridad. La gamificación es una poderosa herramienta de la ciencia del comportamiento. Al transformar las sesiones tradicionales en experiencias interactivas, el aprendizaje no solo resulta informativo, sino también ameno y atractivo. Según refleja una encuesta realizada por Talent LMS, más del 80 % de los encuestados consideraron que la gamificación mejoraba su aprendizaje y fomentaba una mayor vinculación con el contenido.

Otro principio de la ciencia del comportamiento que puede mejorar el compromiso de los empleados es el nudging. El nudging en forma de correos electrónicos automatizados y periódicos fomenta las interacciones con los usuarios y les mantiene informados. Además, como se menciona en el Análisis del riesgo humano de 2022, aumenta la participación en un 30%, e incluso hasta en un 90%, en la fase introductoria. Los recordatorios automatizados se pueden realizar, por ejemplo, en forma de refuerzos positivos y actualizaciones de progreso para garantizar que los usuarios sean constantes en su formación. 

Utilizados en conjunto, la gamificación y el nudging demuestran el profundo impacto que puede tener la ciencia del comportamiento en los programas de formación en ciberseguridad. Al potenciar la participación y fomentar un entorno de aprendizaje interactivo, estas técnicas pueden conseguir que la concienciación en ciberseguridad se convierta en un proceso dinámico y centrado en el ser humano, dejando así atrás los programas de formación cuyo único objetivo es cumplir las normativas.

Si quieres saber más sobre cómo utilizar la gamificación para hacer que tu formación en ciberseguridad sea atractiva y fácil de recordar para tus empleados, puedes echar un vistazo a nuestro informe sobre gamificación.

Cómo transformar la formación en línea gracias a la gamificación

Descargar el informe

Descubre cómo la gamificación puede ser un elemento clave para mejorar los resultados de tu programa de formación en ciberseguridad.

2. Aumenta la adquisición y la retención de conocimientos de ciberseguridad

Los métodos basados en la ciencia del comportamiento, como el nudging, tienen un papel fundamental no solo en la participación, sino también en la mejora de la adopción y la retención del aprendizaje. Tradicionalmente, los conocimientos se transmitían de forma lineal, a menudo en sesiones largas e intensas. Sin embargo, cada vez es más evidente que los talleres interminables y las clases monótonas no son eficaces. Son formatos anticuados que no cumplen el objetivo principal de la formación, que es fomentar un conocimiento duradero.

Este problema se debe a las propias características naturales de la retención de conocimientos, que tienden a disminuir exponencialmente con el tiempo. La curva del olvido de Ebbinghaus sugiere que los usuarios pueden olvidar hasta el 90 % de lo que aprenden tan solo una semana después de haberlo aprendido. Este ritmo de pérdida de información se intensifica cuando los usuarios no mantienen ciertas pautas y frecuencia entre las formaciones.

Sin embargo, existen enfoques estratégicos capaces de mejorar la retención de la información y de reforzar los esfuerzos formativos. La formación espaciada en el tiempo en cantidades pequeñas (nudges) y distribuida a través de diversos canales permite a los usuarios repasar y reforzar lo que han aprendido. Combinada con elementos interactivos y atractivos como los cuestionarios, esta estrategia resulta eficaz para mitigar la curva del olvido.

Curva del olvido de Ebbinghaus

El aprendizaje incidental es otro elemento de la formación en ciberseguridad basada en la ciencia del comportamiento que comparte similitudes con el nudging, ya que apoya el aprendizaje en escenarios de la vida real. En un mundo tan saturado de información y donde suele escasear el tiempo es fundamental ofrecer pequeñas unidades de aprendizaje en los momentos adecuados. Un buen ejemplo de ello son las páginas de aprendizaje que mostramos después de que el usuario haga clic en un correo electrónico de la simulación de phishing. Estos fragmentos breves de formación en ciberseguridad, de solo cinco minutos, encajan a la perfección en una ajetreada jornada laboral, lo que facilita un aprendizaje continuo sin abrumar al usuario.

3. Entrena a tus empleados a reconocer y evitar posibles ataques

Un aspecto crucial para fomentar una cultura de seguridad sólida es permitir que los empleados jueguen un papel activo en la identificación y la mitigación de las amenazas. Para conseguirlo, las organizaciones deben establecer un entorno que fomente un comportamiento seguro e incorpore herramientas que permitan a los empleados responder con firmeza ante las ciberamenazas. Esto es más fácil si la plataforma de concienciación está basada en la ciencia del comportamiento e incluye funciones específicas para hacer más sencilla la detección y el aviso de actividades digitales sospechosas. Por ejemplo, los empleados que tienen acceso al botón de aviso de phishing de SoSafe muestran un porcentaje de interacción con correos electrónicos de phishing un 30 % menor que los que carecen de esta función.

Este tipo de herramientas tienen una doble finalidad: dotan a los empleados de las habilidades necesarias para identificar y mitigar las ciberamenazas y les permiten visualizar el impacto directo de sus acciones en el bienestar de su organización. Este feedback refuerza su compromiso con el aprendizajey su determinación de mantener un entorno de trabajo seguro. Así, los empleados pueden pasar de tener un papel pasivo a uno activo en la protección de la ciberseguridad de su organización.

4. Obtén resultados medibles y significativos

Si las organizaciones comprenden el comportamiento tanto de los atacantes como de los usuarios y el éxito que tienen determinadas medidas a la hora de cambiar el comportamiento de los usuarios, serán capaces de anticiparse a los ataques y neutralizarlos a tiempo. Disponer de métricas claras y relevantes basadas en la ciencia del comportamiento, a las que nosotros llamamos métricas de comportamiento (Behavioral metrics), ayudan a los responsables de la toma de decisiones a comprender cómo reaccionan los empleados ante las distintas amenazas y a determinar si un tipo concreto de formación funciona o no. 

Las métricas de comportamiento permiten a las organizaciones perfeccionar continuamente sus iniciativas de concienciación basándose en estos resultados. Por ejemplo, si un equipo en particular muestra un porcentaje de aviso de phishing inferior al de otros equipos, se pueden enviar pequeñas dosis de conocimiento o nudges para mejorar su capacidad de identificar y avisar de correos electrónicos sospechosos. Estas métricas ofrecen una valiosa perspectiva del impacto cultural que tienen los programas de concienciación en la seguridad general de una organización. Además, tienen un valor inestimable para todos los miembros de la organización, desde los ejecutivos de máximo nivel hasta los empleados, ya que aportan pruebas tangibles de la eficacia de las iniciativas de concienciación.

Entre los ejemplos de métricas de comportamiento se incluyen los porcentajes de aviso de phishing mediante herramientas integradas, el número de archivos etiquetados correctamente con su nivel de confidencialidad correspondiente en la intranet de la empresa, el impacto de la gamificación en los porcentajes de finalización del e-learning, la variación en los porcentajes de clics en función de las tácticas psicológicas utilizadas y las métricas relacionadas con el tiempo que se tarda en avisar de un correo de phishing.

Este tipo de métricas les permiten a las organizaciones reforzar de forma proactiva y medible su cultura de la ciberseguridad y garantizar una defensa más sólida frente a posibles amenazas.

5. Fomenta un cambio de comportamiento real

En la base de cualquier cultura de seguridad sólida está el comportamiento, es decir, los hábitos y rutinas cotidianos de los empleados. Cada acción desempeña un papel importante en la protección de la organización, desde proteger la pantalla al alejarse del escritorio y observar bien los correos electrónicos en busca de posibles amenazas hasta informar rápidamente al departamento de informática sobre posibles riesgos.

Al utilizar la ciencia del comportamiento en la formación en ciberseguridad podemos conseguir que estas rutinas digitales cotidianas sean más eficaces. Además, permite que los empleados tomen conciencia de la seguridad de la información y se sientan motivados para adoptar comportamientos seguros en su entorno laboral y en su vida privada. Esta motivación se refuerza aún más cuando los empleados cuentan con las herramientas adecuadas, con un contexto de apoyo y con un sentimiento de responsabilidad personal sobre la seguridad de su organización.

El impacto positivo que ejerce el aprendizaje espaciado en el tiempo sobre la retención de conocimientos, el papel de la motivación en el aumento del porcentaje de participación y los efectos potenciadores de un buen entorno de aprendizaje en el porcentaje de aviso de phishing ponen de manifiesto el valor de un enfoque integral para conseguir una cultura de seguridad. El objetivo de las organizaciones a la hora de fomentar una cultura de seguridad sólida debe ser conseguir este tipo de cambios reales en el comportamiento.

Cómo aplica SoSafe la ciencia del comportamiento en sus programas de concienciación en ciberseguridad

En SoSafe integramos la ciencia del comportamiento en todo lo que hacemos. Con nuestra plataforma de e-learning, los empleados no solo adquieren conocimientos sobre ciberseguridad, sino que se sumergen en ella. A través de experiencias gamificadas, cautivamos a los usuarios y convertimos la detección y neutralización de ataques de ingeniería social en algo atractivo. Además, hacemos que el aprendizaje sea lo más eficiente posible. Sabemos que nadie quiere repetir las mismas lecciones una y otra vez si ya saben el contenido, así que nuestra plataforma permite personalizar las trayectorias de aprendizaje para ahorrar tiempo y permitir que tu equipo se centre en sus tareas diarias. 

El aprendizaje se ve aún más reforzado gracias a lo realistas que son nuestras  simulaciones de phishing. Además, van acompañadas de guías contextuales optimizadas por especialistas en aprendizaje. Estas simulaciones se pueden personalizarsegún el trabajo de tu empleado o su comportamiento y, combinadas con el aprendizaje continuo, fijan hábitos seguros en la conducta cotidiana de los empleados. A medida que se consolidan estos hábitos disminuye el riesgo para la organización y mejoran los tiempos de respuesta a los incidentes. 

Los responsables de seguridad también son conscientes de que las decisiones bien fundamentadas refuerzan la seguridad. La plataforma Human Risk OS de SoSafe aporta una visión holística de tu cultura de seguridad a través de la detección de riesgos en tiempo real, datos comportamentales, datos provenientes de integraciones propias y de terceros, así como sugerencias de intervenciones para mejorar tu cultura de seguridad. La plataforma de SoSafe no es solo una herramienta de concienciación, sino también un paquete completo de gestión de la cultura de seguridad orientado a minimizar el riesgo humano y crear una cultura de la seguridad sólida y proactiva.  

Solicita una demo

Descubre cómo nuestra plataforma puede enseñar a tu equipo a protegerse de las ciberamenazas y mantener segura a tu organización. Solicitar una demo y uno de nuestros expertos contactará contigo pronto.