programa de comportamiento y cultura de seguridaddel awareness al comportamiento segurocambio de comportamiento en ciberseguridad

    14 de julio de 2026 · 6 min de lectura · Por Fensivo Team

    Qué es un programa de comportamiento y cultura de seguridad

    Read in English

    La conclusión: la industria dejó de medir lo que la gente sabe y empezó a medir lo que hace

    Un programa de comportamiento y cultura de seguridad (en inglés, Security Behavior and Culture Program, SBCP) es, en la definición de Gartner, un enfoque a nivel de toda la empresa para reducir los incidentes de ciberseguridad asociados al comportamiento de las personas. Dicho en dos frases: ya no se trata de dictar cursos y contar quién los completó, sino de cambiar cómo actúa la gente frente a un engaño real y comprobar que ese cambio ocurrió. Es el nombre con el que los analistas marcaron un giro que venía gestándose desde hace años, el paso de la concientización, que mide lo que alguien sabe, al comportamiento, que es lo que de verdad decide si una empresa resiste un ataque.

    El giro no es un capricho de vocabulario. El marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, ubica el riesgo donde está: en las personas y en cómo se comportan bajo presión, no en si aprobaron un examen. Y si el riesgo vive en la conducta, medir la conducta deja de ser un lujo y se vuelve el punto entero del programa.

    Qué nombra el marco de comportamiento y cultura de seguridad, y por qué apareció

    El marco nombra algo que las campañas de concientización no lograban: mover el comportamiento de forma sostenida en toda la organización. Gartner lo describe como el paso de limitarse a elevar la concientización hacia fomentar una cultura de seguridad apropiada al contexto de cada empresa, y recomienda ejecutarlo con su marco PIPE (prácticas, influencias, plataformas y facilitadores), es decir, no una campaña anual sino un sistema que trabaja sobre hábitos, incentivos y herramientas al mismo tiempo.

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso

    Apareció porque el modelo viejo se quedó corto frente a la realidad del ataque. Según CISA, más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing, y ese correo no falla contra un firewall, falla contra una persona que lo abre en un mal momento. Un video anual sobre qué es el phishing no cambia esa reacción; a lo sumo la explica. El marco surgió para cerrar esa distancia entre saber que existe una amenaza y actuar distinto cuando llega.

    En qué se diferencia de un programa de concientización tradicional

    La diferencia se ve mejor cuando se ponen los dos enfoques lado a lado sobre los mismos criterios. No es que la concientización tradicional esté mal, es que responde una pregunta distinta, la de si el empleado recibió la información, no la de si cambió su conducta.

    CriterioConcientización tradicionalPrograma de comportamiento y cultura
    Qué mideLo que la persona sabe o recuerdaCómo actúa frente a un engaño real
    Unidad de éxitoCurso completado, examen aprobadoConducta que cambia y se sostiene
    Cuándo intervieneEn el calendario, una o dos veces al añoEn el momento del fallo, cuando es relevante
    Frente al errorRepite el mismo contenido para todosAtaca la vulnerabilidad específica de cada persona
    Cómo lo ve la direcciónPorcentaje de cumplimientoReducción de la propensión al engaño

    El punto que ninguna tabla captura del todo es el cambio de mentalidad detrás. La concientización asume que informar basta. El programa de comportamiento parte de lo contrario: la información es necesaria pero no suficiente, y por eso su vara no es la asistencia sino la conducta.

    Cuatro señales de que un programa mide conducta y no actividad

    La primera señal es que mide comportamiento bajo presión real, no respuestas en un cuestionario que el empleado sabe que están evaluándolo. Un puntaje de riesgo que sube y baja según cómo reacciona la persona a un ataque simulado dice mucho más que una nota de examen.

    La segunda es que su métrica de éxito no es la completación ni la tasa de click aislada, sino si la persona vuelve a caer cuando se la prueba de nuevo. Aquí conviene distinguir bien qué se mide y en qué orden, porque no todas las métricas pesan lo mismo: lo explicamos en detalle en tasa de reporte, tasa de click y retest.

    La tercera es que la capacitación llega en el momento del fallo y es específica al ataque en el que la persona cayó, no un módulo genérico en una fecha del calendario. Hay evidencia de por qué esto importa, y de por qué la capacitación tradicional no cambia la conducta cuando se dicta desconectada del error.

    La cuarta es que el programa se repite y se mide en el tiempo, porque la vulnerabilidad humana no es estática. Una persona resistente hoy puede caer dentro de tres meses bajo un pretexto nuevo, y un programa que mide conducta lo sabe y vuelve a probar, en lugar de dar por resuelto un riesgo con un certificado de asistencia.

    Dónde encaja el retest: la prueba de que la conducta cambió

    Aquí es donde el marco deja de ser una idea bonita y se vuelve verificable. El retest es volver a probar el comportamiento semanas después del fallo, con otro escenario del mismo tipo y dificultad, para ver si la persona aprendió la lección o solo recordó un correo puntual. Es la diferencia entre creer que alguien cambió y comprobarlo.

    Y no es una preferencia de estilo, tiene respaldo. Hay evidencia revisada por pares (Ho et al., IEEE S&P 2025; Lain et al., IEEE S&P 2022) de que completar una capacitación no predice por sí solo la reducción de fallos reales; lo que demuestra el cambio es volver a probar la conducta bajo condiciones parecidas. Un programa de comportamiento sin retest se queda a mitad de camino: entrena, pero no valida. Con retest, la afirmación "esta persona es menos vulnerable que hace un mes" deja de ser una esperanza y pasa a ser un dato.

    Así entendido, un programa de comportamiento y cultura de seguridad no es la concientización con otro nombre. Es un sistema que mide conducta, interviene en el momento del error y comprueba el cambio, y que por eso puede decirle a la dirección algo que un porcentaje de cursos completados nunca dirá: no cuánta gente vio el material, sino cuánta cambió de verdad.

    En Fensivo construimos la gestión de riesgo humano (Human Risk Management, HRM) sobre esa lógica: medimos el comportamiento de cada persona frente a simulaciones realistas, entregamos la capacitación en el momento del fallo y validamos con retest que la conducta cambió, no que el curso se completó. Puedes ver cómo aplica a tu caso en nuestros casos de uso. La pregunta que deja el marco es incómoda a propósito: ¿tu programa actual sabe cuánta de tu gente cambió de conducta, o solo cuánta hizo click en "finalizar curso"?

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso