El riesgo humano: la nueva frontera de la ciberseguridad

Hay algo que me genera ruido cada vez que reviso los reportes de la industria:

Gartner proyecta $213 mil millones de dólares en gasto global de seguridad de la información en 2025. IBM documenta que las organizaciones con defensas impulsadas por IA reducen el ciclo de vida de una brecha en 80 días y ahorran $1.9 millones en promedio. Los firewalls son más inteligentes, los sistemas de detección y respuesta reaccionan en milisegundos, las arquitecturas Zero Trust eliminan la confianza implícita. Todo esto funciona y todo esto es necesario.

Pero luego leo que en abril de 2025, Marks & Spencer perdió 300 millones de libras porque alguien convenció a un empleado de helpdesk de dar acceso, su presidente lo describió ante el parlamento británico como “lo que la gente ahora llama ingeniería social, que hasta donde puedo saber, es un eufemismo para suplantación de identidad.” 46 días con las operaciones digitales paralizadas, no fue una falla técnica, fue una conversación lo que originó todo el caos.

Dos meses después, Qantas Airways, la aerolínea de bandera y la compañía de transporte aéreo más grande de Australia reveló que datos de 6 millones de clientes fueron comprometidos a través de un callcenter tercerizado. El FBI había emitido una alerta esa misma semana advirtiendo que un grupo dedicado a este modo de intrusión estaba expandiendo operaciones al sector aéreo con la misma táctica: suplantar empleados para engañar mesas de ayuda. Co-op en Reino Unido perdió datos de 6.5 millones de miembros por un reseteo de contraseña logrado con ingeniería social. Hawaiian Airlines, WestJet, Harrods, Google, Workday… La lista no para.

En cada caso, las defensas técnicas estaban ahí, todo estaba correctamente configurado, todo en verde. La brecha no ocurrió porque la tecnología falló, la fortaleza estaba ahí, con muros altos e impenetrables, el orgullo de cualquier CISO, sucedieron porque alguien fue convencido de abrir la puerta.

Y eso me lleva a la pregunta que creo que no nos estamos haciendo con suficiente honestidad: si cada año invertimos más en proteger la infraestructura y los ataques siguen entrando por las personas, ¿estamos seguros de que el problema que necesitamos resolver es técnico?

Todo mejora, menos una cosa

No estoy diciendo que la inversión en tecnología esté mal. Todo lo contrario. Sin firewalls, sin detección de amenazas, sin controles de acceso, los números serían un desastre. El Verizon DBIR 2025 menciona que el ransomware está presente en el 44% de las brechas, que los ataques a dispositivos edge crecieron de 3% a 22% como vector de explotación. La tecnología defensiva es lo que evita que esos porcentajes se traduzcan en colapsos generalizados.

Lo que quiero señalar es algo más sutil. Cada año la infraestructura de seguridad se vuelve más difícil de penetrar. Y cada vez que eso ocurre, el atacante racional ajusta su estrategia: Cuando el muro es alto, no buscan un lado más bajo, buscan a alguien adentro que les abra la puerta.

Eso genera una paradoja peligrosísima: cuanto mejor es la seguridad técnica, más atractivo se vuelve el humano como objetivo. No porque seamos más débiles que antes, sino porque todo lo demás se volvió más fuerte.

Y a diferencia de un servidor que recibe un parche, de un firewall que se actualiza, o de un endpoint que escala con una licencia, el ser humano no se “mejora” al mismo ritmo. Los sesgos cognitivos que nos hacen vulnerables a la ingeniería social son los mismos que teníamos hace 50 años. La obediencia a la autoridad, la presión de la urgencia. la tendencia a confiar en lo que creemos conocer. No hay upgrade para eso, no hay nueva versión para nuestra programación biológica.

La tecnología mejora exponencialmente, pero nosotros no. Y esa asimetría, creo yo, es el problema menos resuelto y más importante de la ciberseguridad en 2026.

El momento en que el ataque se volvió perfecto

Lo que convierte esta asimetría en urgencia es algo que ocurrió en los últimos 18 meses: la inteligencia artificial borró la barrera de entrada del atacante.

Antes, ejecutar un ataque creíble de suplantación de identidad era un trabajo complicado. Necesitabas talento, investigación manual, tiempo. Un atacante sofisticado podía crear unos 10 o 20 correos altamente personalizados por día, la IA puede lograr el mismo resultado en 5 minutos. En marzo de 2025, Hoxhunt demostró que agentes de IA superaron a equipos de red team humanos de élite por un margen de 24% en efectividad creando campañas de phishing. El FBI reportó un aumento de 37% en ataques de Business Email Compromise asistidos por IA en su informe IC3 2025.

Pensemos en lo que eso significa en la práctica: Las señales que durante años usamos para identificar un ataque (errores gramaticales, pretextos genéricos, remitentes sospechosos) ya no existen. No es que se redujeron, es que desaparecieron. Hoy un atacante puede clonar tu voz

con 3 segundos de audio, contextualizar el mensaje con información real extraída de LinkedIn, y producir cientos de variantes personalizadas en minutos.

Cuando el ataque era artesanal (hace año y medio, para no hacerlo sonar como de otra década), era suficiente enseñarle a la gente a reconocer señales básicas. Cuando el ataque es indistinguible de una comunicación legítima, esto ya no alcanza. Lo que necesitas es algo diferente: que la persona tenga un comportamiento defensivo natural que se active incluso cuando no hay señales obvias que detectar.

Y eso, es un problema que la industria todavía no está resolviendo bien.

El punto ciego

Toda la infraestructura de ciberseguridad que construimos tiene una suposición incorporada en su diseño: que el usuario actúa correctamente. Zero Trust verifica identidades. MFA agrega capas. Los gateways filtran mensajes sospechosos. Pero cuando alguien recibe una llamada con la voz exacta de su jefe, mencionando un proyecto real, pidiendo algo que está dentro de sus funciones normales, el sistema no puede identificar alertas que no existe, porque el empleado no está haciendo nada atípico. No es que las defensas fallen, es que nunca fueron diseñadas para un empleado engañado.

Mimecast entrevistó a 1,100 líderes de ciberseguridad para su reporte State of Human Risk 2025 y concluyó que el 95% de las brechas de datos involucran error humano (quiere decir que 9 de cada 10 brechas ni siquiera tiene que ver con sistemas ni pantallas negras de hacking).

Pero el dato que realmente me hizo pensar viene del mismo reporte: el 8% de los empleados causan el 80% de los incidentes de seguridad. No es toda la organización la que es vulnerable de la misma forma. Es un grupo reducido de personas que por su rol, su comportamiento o su nivel de exposición, concentra la mayor parte del riesgo.

Eso cambia la naturaleza del problema. No necesitas pasar a 300 personas por el mismo curso. Necesitas saber quiénes son esas 24 personas que concentran tu riesgo, entender por qué son vulnerables, y tener forma de validar que eso cambió.

Y acá es donde creo que la industria tiene un punto ciego enorme. Existe inversión masiva en saber si un servidor tiene vulnerabilidades, en saber si un endpoint está comprometido, en detectar si un paquete de red es malicioso. Pero no existe la misma inversión en saber si una persona específica es vulnerable a un tipo específico de ataque. No existe la misma rigurosidad para medir si nuestro equipo, bajo presión real, toma la decisión correcta. Y no existe la misma exigencia de evidencia para demostrar que ese comportamiento cambió.

Invertimos en diagnosticar y remediar cada componente técnico del ecosistema de seguridad. Menos el que causa la mayoría de las brechas.

La frontera

La industria sabe que tiene un problema con el factor humano. Los CISOs lo saben. Los reportes lo confirman trimestre tras trimestre. Lo que todavía no existe es la disciplina para abordarlo con la misma rigurosidad con la que se aborda el riesgo técnico.

Creo que esa disciplina es Human Risk Management. No como reemplazo de lo que ya existe, sino como la capa que falta. La que hace por el factor humano lo que la seguridad técnica ya hace por la infraestructura: medir, probar, intervenir, validar y medir de nuevo.

La próxima frontera no está en construir muros más altos, está en preparar a las personas que viven dentro de las fortalezas que creamos en las empresas para el momento en que alguien las intente convencer de abrir la puerta.

Dos preguntas para cerrar

Cuando el filtro antiphishing falle, o el vector de ataque venga de un remitente conocido,

¿sabes cuáles de tus empleados caerían en un ataque dirigido antes de que ocurra, o solo te enterarías cuando ya pasó?

Tus defensas técnicas están todas en verde, pero ese verde ¿te dice algo de tus personas, o solo de tus máquinas?

*El autor, José Vicente Chávez, es fundador de Fensivo, una startup ciberseguridad enfocada en riesgo humano donde buscan frenar las brechas causadas por empleados en las empresas, midiendo comportamiento real bajo ataque, con simulacros de phishing personalizados. Sus años de experiencia en monetización en Rappi definen la tesis detrás de Fensivo: las técnicas de personalización que perfeccionan los atacantes pueden invertirse para entrenar y proteger a las personas.

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Colombia.