El control número catorce de los CIS reconoce algo que la industria a veces prefiere no decir, porque no se puede vender en una caja: tu mejor defensa también es un ser humano, y los humanos se pueden engañar. La gran mayoría de los ataques exitosos no vencen la tecnología: la rodean, convenciendo a una persona de hacer clic, de dar una contraseña, de autorizar una transferencia. El Control 14 pide capacitar y concientizar al personal, porque el eslabón humano es el más atacado, y también uno de los más rentables de reforzar.
Por qué la gente es el objetivo favorito
Vencer un buen sistema técnico es difícil y caro. Engañar a una persona ocupada que recibe cien correos al día es fácil y barato. Por eso el phishing, la ingeniería social y el fraude del "director que pide una transferencia urgente" siguen funcionando: apuntan al eslabón que no se parcha con software. Y aquí está el punto que muchos malinterpretan: no es que los usuarios sean torpes. Es que están ocupados, confían por defecto, y los engaños modernos son buenos. Culpar al usuario es cómodo e inútil; prepararlo es lo que funciona. Un empleado que reconoce un intento de phishing es una defensa que ningún producto reemplaza —lo desarrollamos en capacitar al usuario final.
Qué pide en la práctica
- Un programa de concientización continuo, no una charla anual que se olvida: recordatorios, ejemplos reales, cultura de seguridad.
- Entrenar en los riesgos concretos: reconocer phishing, manejar contraseñas, identificar ingeniería social, saber qué hacer ante algo sospechoso.
- Simulacros: ejercicios controlados (como campañas de phishing simulado) que enseñan sin castigar, para practicar en un entorno seguro.
- Capacitación acorde al rol: quien maneja datos sensibles o dinero necesita formación específica.
El aterrizaje honesto
La concientización mal hecha —el video aburrido anual que todos saltan— no sirve, y de ahí viene su mala fama. La bien hecha es continua, relevante y sin humillar a quien se equivoca (si castigas el error, la gente esconde los incidentes en vez de reportarlos, que es lo contrario de lo que quieres). Es, además, de las inversiones de seguridad con mejor retorno: cuesta relativamente poco y refuerza el eslabón que los atacantes más explotan. Por eso conecta directo con el Control 9: la tecnología filtra la mayoría de los ataques por correo y web, y la persona capacitada atrapa lo que se cuela. Máquina y humano, juntos.