La concienciación sobre la seguridad cibernética se ha basado durante mucho tiempo en una premisa simple: educar a los empleados, reducir el riesgo. Pero en 2026, ese modelo ya no se cumple.
Analista principal de Gartner.
Esto pone de relieve la brecha entre los programas de concientización tradicionales y los riesgos cibernéticos modernos.
Para los líderes de seguridad y gestión de riesgos, la concientización por sí sola ya no es suficiente.
La superficie de riesgo humano se está ampliando
La adopción de GenAI ha aumentado en todas las organizaciones, y más del 86% ahora pone a prueba o implementa estas herramientas. Lo que comenzó como experimentos a menudo se incorporó a los flujos de trabajo diarios sin una gobernanza o supervisión asociada.
Los empleados no esperan aprobación formal. Muchos están recurriendo a cuentas personales de GenAI para tareas laborales, ingresando datos confidenciales en herramientas públicas o descargando aplicaciones no autorizadas. Este fenómeno, a menudo descrito como “IA en la sombra”, está aumentando los riesgos de ciberseguridad iniciados por los empleados.
Según la Encuesta sobre innovaciones en ciberseguridad en la gestión y el uso de riesgos de IA de 2025 de Gartner, más del 57% de los empleados utilizan cuentas GenAI personales para trabajar y el 33% admite haber ingresado información laboral confidencial en herramientas GenAI públicas o no autorizadas.
Las amenazas externas también están aumentando. Los deepfakes y los ataques de phishing avanzados se están volviendo más sofisticados gracias a las capacidades de GenAI. La encuesta encontró que el 35% de las organizaciones se han visto afectadas por ataques deepfake y los correos electrónicos de phishing asistidos por IA se han duplicado en los últimos dos años, lo que dificulta que los empleados detecten algunas amenazas.
Esto crea un doble desafío: las organizaciones están expuestas internamente, a través del uso no administrado de IA, y externamente, a través de ataques mejorados por IA.
Por qué fracasan los programas tradicionales de concientización
La mayoría de los programas de concientización sobre ciberseguridad se crearon para una era diferente. Se centran en formación estática, campañas periódicas y pautas genéricas como “no hacer clic en enlaces sospechosos”.
Pero GenAI cambia las reglas.
Primero, reduce la visibilidad de las amenazas. El contenido generado por IA a menudo es indistinguible de las comunicaciones legítimas, lo que dificulta que los empleados confíen en las señales tradicionales.
En segundo lugar, aumenta la velocidad y la escala del ataque. Lo que antes requería tiempo y esfuerzo ahora se puede automatizar y personalizar en volumen.
En tercer lugar, introduce comportamientos de riesgo completamente nuevos. Los modelos de formación heredados no cubren la inyección rápida, el uso inseguro de herramientas de IA y el intercambio involuntario de datos confidenciales a través de la plataforma GenAI.
Los resultados son claros: a pesar de la continua inversión en concientización, la exposición a los riesgos relacionados con los humanos no está disminuyendo.
De la conciencia al comportamiento: un cambio necesario
Los líderes de ciberseguridad deben centrarse en programas de cultura y comportamiento de seguridad (SBCP), que enfatizan cómo actúan los empleados en situaciones del mundo real en lugar de solo lo que saben.
Los SBCP tienen como objetivo impulsar prácticas laborales seguras relacionadas con GenAI, reconociendo que los empleados tomarán decisiones y utilizarán herramientas de IA. El objetivo no es eliminar estos comportamientos, sino moldearlos de forma segura.
En la práctica, esto significa integrar la seguridad en los flujos de trabajo diarios en lugar de tratarla como una intervención periódica. La capacitación evoluciona desde módulos genéricos hasta simulaciones que replican ataques impulsados por IA, incluidos deepfakes y phishing avanzado.
Las políticas que cubren el uso de GenAI, el manejo de datos y el diseño rápido se vuelven claras y viables. Procesos de presentación de informes optimizados para fomentar una escalada más rápida de actividades sospechosas.
El cambio de comportamiento requiere refuerzo. Las sesiones de capacitación únicas se reemplazan por participación continua, microaprendizaje y retroalimentación en tiempo real.
Asegurar las interacciones humanas con la IA
A medida que la GenAI se integra en los procesos de negocio, asegurar las interacciones entre los humanos y los sistemas de IA se convierte en un punto de control crítico.
Esto introduce nuevas prioridades para los líderes de seguridad y gestión de riesgos.
Primero, las organizaciones deben establecer límites claros para el uso de GenAI. Esto incluye definir herramientas autorizadas, establecer reglas de clasificación de datos y comprender los riesgos de que los empleados compartan información confidencial.
En segundo lugar, la gobernanza debe extenderse más allá de la TI. Los riesgos de GenAI se cruzan con los aspectos legales, de cumplimiento, de protección de datos y de toma de decisiones ejecutivas. Sin la participación de los altos directivos, los esfuerzos para gestionar estos riesgos seguirán fragmentados.
En tercer lugar, las organizaciones deben invertir en alfabetización en IA. Los empleados deben comprender no solo cómo utilizar las herramientas GenAI, sino también cómo manipularlas. Esto incluye detectar alucinaciones, verificar los resultados y mantener la supervisión humana.
Finalmente, los equipos de seguridad deben aceptar algunas fricciones operativas en la estrategia. La lentitud para validar una solicitud inusual o un resultado generado por IA ya no es ineficiencia, es resiliencia.
Un punto de inflexión cultural, no tecnológico
Existe la tentación de ver el riesgo cibernético relacionado con la GenAI como un problema tecnológico que puede resolverse con mejores herramientas, más controles o políticas más estrictas.
Pero la evidencia dice lo contrario.
La dependencia excesiva de los controles técnicos contribuye poco a abordar los factores conductuales del riesgo. Los empleados seguirán buscando soluciones si las medidas de seguridad se perciben como un impedimento para la productividad. Mientras tanto, los atacantes seguirán explotando la confianza, la curiosidad y la urgencia de la gente.
Lo que se necesita es un cambio cultural.
La seguridad debe replantearse como un facilitador de la adopción segura de la IA, capacitando a los empleados para actuar de manera responsable e informar actividades sospechosas. El objetivo no es eliminar todos los riesgos, sino crear un entorno en el que el comportamiento seguro sea el predeterminado.
¿Qué viene después?
GenAI es un cambio fundamental en las operaciones organizacionales y las amenazas cibernéticas. Los programas de concientización sobre ciberseguridad deben centrarse en el comportamiento, incorporar la seguridad en las prácticas diarias y tratar el riesgo humano como algo dinámico y gestionado continuamente.
En un mundo impulsado por la IA, los líderes de seguridad y gestión de riesgos deben recordar que el riesgo se define menos por el conocimiento y más por cómo se comportan los empleados en momentos críticos.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
