La AECC forma a más de 1300 empleados para proteger su misión digital
Una organización volcada en la salud que también protege su información: la AECC da un paso firme hacia la concienciación digital.
Participación en el programa:
88,95 % de los usuarios asignados registrados
Más del 80 % del personal registrado iniciaron la formación
Reducción de incidentes por error humano
La Asociación Española Contra el Cáncer (AECC) es una entidad sin ánimo de lucro que lleva más de 70 años acompañando a pacientes, familias e investigadores en la lucha contra una de las enfermedades más relevantes del siglo XXI. Su labor abarca desde la atención social, prevención e investigación hasta el apoyo psicológico. La organización ya contaba con una infraestructura tecnológica sólida, pero necesitaba reforzar el papel del factor humano ante un entorno de amenazas cada vez más complejo.Con más de 1300 empleados y miles de voluntarios en todo el país, la AECC necesitaba reforzar su cultura digital interna frente a los nuevos riesgos en materia de seguridad. Como explica Alfonso Delgado, responsable de infraestructuras y CISO:
“Necesitábamos elevar la cultura de seguridad de toda la organización. No valía con enviar un PDF, correos de concienciación o una charla anual: hacía falta algo medible, continuo y adaptado a distintos perfiles.”
Una organización con propósito, también en el entorno digital
El valor de la información que gestiona la AECC va mucho más allá del aspecto económico. Se trata de datos sensibles de pacientes, donantes y proyectos de investigación, cuyo uso responsable es esencial para mantener la confianza que la sociedad ha depositado en la institución.
“Lo que muchos no ven es que la ciberseguridad en una ONG grande es igual o más exigente que en una empresa, porque tratamos datos extremadamente sensibles, con muchos perfiles de usuario y recursos ajustados”, destaca Delgado.
Durante los últimos años, la digitalización de procesos internos y la adopción de nuevas herramientas online, como la IA, han impulsado una mayor exposición a riesgos: correos fraudulentos, ransomware o suplantaciones de identidad. El proceso de certificación ISO 27001 fue un punto de inflexión para estructurar estos esfuerzos y reforzar la concienciación como pilar estratégico de la seguridad.
La clave, explica Delgado, estaba en convertir la seguridad en parte de la cultura organizativa. Hasta entonces, el equipo técnico asumía la mayor parte del control y la prevención, pero los empleados no siempre percibían la ciberseguridad como una responsabilidad compartida.
“La repetición corta y continua funciona mucho mejor que un macrocurso anual. Se retiene más, se normaliza más y se detectan riesgos antes.”
El proyecto comenzó con un programa de formación estructurada en módulos breves, dinámicos y adaptados a cada perfil profesional. El formato digital permitió que los empleados pudieran aprender a su ritmo, desde cualquier lugar, sin interrumpir su trabajo diario.
“Integrar la concienciación en más procesos internos y seguir afinando la detección de usuarios vulnerables. Y, sobre todo, evolucionar hacia un modelo de formación continua, no limitado a “uno o dos años”, sino a un aprendizaje sostenido en el tiempo”, asegura Delgado.
La protección de datos extremadamente sensibles
En organizaciones con un propósito social, cada minuto cuenta. La AECC no podía permitirse que una brecha de seguridad interrumpiera su labor de apoyo a pacientes o su red de donaciones. Por eso, la estrategia de concienciación no solo se centró en prevenir incidentes, sino en asegurar la continuidad de su misión.
“La reducción clara de usuarios altamente vulnerables y la mejora en la respuesta ante simulaciones y correos sospechosos reales” ha sido una de las mejoras que han visto en el equipo de AECC, según el responsable de ciberseguridad y comunicaciones.
Para Delgado, la seguridad no debe entenderse como un obstáculo a la productividad, sino como un acelerador de confianza. La formación constante, combinada con simulaciones de phishing y recordatorios prácticos, ha creado un entorno en el que la seguridad se vive de forma natural.
El éxito del proyecto radicó en varios factores:
1. Liderazgo comprometido
Desde el principio, la dirección mostró un compromiso activo con la estrategia de seguridad. La ciberseguridad se integró en la agenda ejecutiva, reforzando la importancia del ejemplo desde arriba.
“Llevamos campañas mensuales desde el inicio y mantenemos tasas de participación y finalización muy altas, algo que también ha sido posible gracias al apoyo constante de la dirección de la asociación.”
2. Formación continua y adaptada
El enfoque no fue impartir un curso único, sino mantener vivo el aprendizaje. Los contenidos se actualizan periódicamente para incluir nuevas amenazas y escenarios realistas, fomentando la curiosidad y la reflexión.
3. Comunicación y reconocimiento
La AECC entendió que la motivación es clave. Se promovieron pequeñas acciones de reconocimiento para los empleados más activos en la detección de intentos de phishing, reforzando el sentido de comunidad y vigilancia compartida.
“Hemos conseguido mejores tasas de reporte, menos incidentes por error humano y una concienciación mucho más arraigada en el día a día.”
Más allá de las métricas, lo que más valora el equipo de sistemas sobre la formación impartida por SoSafe es la facilidad de uso. La ciberseguridad ha pasado de ser un tema técnico a convertirse en una conversación cotidiana dentro de la organización.
“Por el equilibrio entre facilidad de uso, profundidad técnica y enfoque conductual. Desde tecnología valoramos mucho la parte técnica e informes (todas las opciones cumplían), pero fue el Departamento de Personal quien eligió SoSafe por su usabilidad y su capacidad de llegar a todos los perfiles.”
La formación también ha tenido un impacto personal. Muchos empleados reconocen haber aplicado los conocimientos adquiridos también en su vida diaria, protegiendo sus propios dispositivos y cuentas personales.
Resultados: más prevención, más confianza
En apenas unos meses, la AECC ha conseguido:
- Mejorar las tasas de reporte.
- Reducir el número de incidentes por error humano.
- Una mayor y más arraigada concienciación en el día a día.
Estos avances reflejan una tendencia clara: la seguridad se ha convertido en una competencia transversal, tan importante como la atención al paciente o la gestión administrativa.
“La cercanía, la rapidez de respuesta y la flexibilidad. El onboarding fue claro, guiado y sin fricciones”, fueron los aspectos más valorados desde el equipo de la Asociación Española Contra el Cáncer.»
De cara a 2026, la AECC planea seguir ampliando su programa de concienciación a nuevos colectivos y reforzar las acciones preventivas entre sus equipos regionales y voluntariado digital.
“Integrar la concienciación en más procesos internos y seguir afinando la detección de usuarios vulnerables. Y, sobre todo, evolucionar hacia un modelo de formación continua, no limitado a uno o dos años, sino a un aprendizaje sostenido en el tiempo.”
La experiencia demuestra que la ciberseguridad y la solidaridad pueden ir de la mano. En una entidad donde el valor humano lo es todo, proteger la información es proteger la confianza que sostiene su misión.
La seguridad lidera el compromiso colectivo de la AECC
El caso de la Asociación Española Contra el Cáncer ilustra cómo incluso las organizaciones sin ánimo de lucro, con estructuras complejas y misiones sociales, pueden convertirse en referentes en seguridad digital.
La clave no está solo en la tecnología, sino en el impacto cultural que se consigue educando, implicando y reconociendo a las personas que hacen posible la transformación día tras día.
“Más allá de las cifras, hemos consolidado un cambio de comportamiento: la seguridad es responsabilidad de todos y forma parte del trabajo diario.”
Consulta más casos de éxito de SoSafe
Fortalece tu cultura de la ciberseguridad sin esfuerzo
Informes 
Guías 
Blog 
Glosario 
Casos de éxito 
Todos los eventos 
Human Firewall Conference 
Danger Lab 
Por qué SoSafe 
Trabaja en SoSafe 
Novedades de producto 
Contacto 