La conclusión: reportar es mejor que no caer, pero solo el retest prueba que la conducta cambió
Si tuviéramos que ordenar en una sola frase el debate sobre métricas de este año, sería esta: la tasa de reporte es mejor señal que la tasa de click, pero ninguna de las dos demuestra que una persona haya cambiado su conducta. Eso solo lo prueba volver a probarla. Las tres métricas (cuántos caen, cuántos avisan y cuántos resisten cuando se les vuelve a poner el mismo tipo de trampa semanas después) miden cosas distintas, y confundirlas es el error más común en los tableros de seguridad de 2026.
El marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, es la razón por la que esta discusión importa tanto. Si el riesgo vive en las personas, medir el programa que las prepara no es un lujo, es la única forma de saber si el dinero invertido reduce riesgo real o solo genera actividad. Y actividad no es resultado. Un equipo puede reportar mucho, hacer muchos simulacros y aun así no ser más resiliente. La pregunta que ordena todo es simple: ¿esta métrica mide que alguien hizo algo, o que alguien cambió?
Por qué la tasa de click dejó de bastar como única métrica
La tasa de click (el porcentaje de personas que caen en una simulación de phishing) fue la primera métrica del sector y sigue siendo útil, pero como número único quedó corta. Su límite es doble. Primero, mide lo que salió mal, no lo que se aprendió: un click bajo puede significar que el equipo mejoró o, sencillamente, que la simulación era fácil de detectar. Segundo, es fácil de maquillar. Basta enviar señuelos poco creíbles para que el número se vea bien en el informe a dirección, sin que nadie esté más protegido. El dato canónico de CISA, que más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing, recuerda por qué la tasa de click nació: el click es la puerta. Pero medir solo la puerta que se abre deja fuera lo que de verdad interesa, que es qué hace la persona cuando reconoce la trampa.
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
Ese hueco es el que empujó a buscar una métrica que capturara el comportamiento correcto, no solo la ausencia del incorrecto. Ya escribimos sobre este marco general en cómo medir si la capacitación en seguridad funciona; aquí el foco es más estrecho y más incómodo: la escalera exacta de tres métricas y en qué orden leerlas.
Qué mide la tasa de reporte y por qué se posiciona como señal de madurez en 2026
La tasa de reporte es el porcentaje de personas que, al recibir un correo sospechoso, lo denuncian por el canal previsto en lugar de ignorarlo o hacer click. Es la métrica que este año se está posicionando como la señal de madurez de un programa, y con buena razón. Mide una acción activa y deseable: la persona no solo evita la trampa, avisa, y ese aviso puede alertar al equipo de seguridad de una campaña en curso antes de que otro caiga. Un empleado que reporta se convierte en un sensor. Frente a la tasa de click, que solo dice quién falló, la de reporte dice quién colaboró en la defensa. Es un cambio de mirada saludable: pasa de contar errores a reconocer el comportamiento que queremos ver más seguido.
Por eso el discurso del año, empujado por la presión regulatoria y por varios actores del mercado, gira alrededor de reportar en vez de solo no caer. La dirección correcta de ese cambio no está en duda. El problema no es que la tasa de reporte sea mala métrica, es que se está adoptando como si fuera la meta final, cuando en realidad es un escalón intermedio.
El límite de la tasa de reporte: mide intención de avisar, no cambio sostenido de conducta
Aquí conviene ser honestos, porque es el punto que casi nadie dice en voz alta: la tasa de reporte mide la intención de avisar en un momento dado, no que la conducta de la persona haya cambiado de forma estable. Que alguien reporte un correo hoy no garantiza que la próxima semana, con otro pretexto, más urgente o mejor personalizado, no haga click. El reporte captura un buen reflejo puntual; no captura resiliencia en el tiempo.
Y como toda métrica que se vuelve objetivo, la tasa de reporte se puede inflar. Si el programa premia reportar, la gente reporta de más, incluso correos legítimos, y el número sube sin que nadie sea más difícil de engañar. Es la vieja trampa de perseguir la métrica en lugar del resultado: cuando una medida se convierte en la meta, deja de ser una buena medida. Adoptar solo reporte sobre click, sin nada más, es tomar la mitad del camino y detenerse justo antes de la parte que prueba el cambio. Falta el escalón siguiente.
El retest como escalón siguiente: volver a probar la misma categoría semanas después
El retest es volver a probar a la persona, semanas después de un fallo o de una capacitación, con un ataque del mismo tipo y dificultad pero con otro pretexto, para ver si esta vez resiste. Es la única de las tres métricas que responde a la pregunta que de verdad importa: ¿la conducta cambió, o la persona solo recordó un correo puntual? La diferencia es enorme. Aprobar una capacitación justo después de caer prueba memoria de corto plazo. Resistir un intento nuevo tres semanas más tarde, cuando la lección ya no está fresca y el contexto es distinto, prueba que algo se sostiene.
Esta idea tiene respaldo. Existe evidencia revisada por pares de que completar una capacitación no predice por sí solo la reducción de fallos reales; lo que demuestra el cambio es observar de nuevo el comportamiento bajo condiciones parecidas. Por eso escribir que un empleado "ya se capacitó" no es un dato de resultado, es un dato de actividad: la capacitación tradicional, por sí sola, no cambia la conducta de forma comprobable. El retest convierte una suposición ("suponemos que aprendió") en un hecho medido ("volvimos a probarlo y resistió"). Es, en la escalera de las tres métricas, el único peldaño que toca el resultado en vez de la actividad.
Cómo leer las tres métricas juntas sin confundir actividad con resultado
Las tres métricas no compiten, se complementan, pero solo si se leen en el orden correcto y sin confundir lo que mide cada una. La tasa de click vigila el riesgo de entrada. La tasa de reporte reconoce el comportamiento deseado. Y el retest valida que ese comportamiento se sostiene. Leerlas juntas evita el espejismo de un tablero que se ve bien (poco click, mucho reporte) mientras la resiliencia real sigue sin probarse.
| Métrica | Qué mide | Qué demuestra | Su límite |
|---|---|---|---|
| Tasa de click | Cuántas personas caen en la trampa | El riesgo de entrada del momento | No dice si se aprendió; se maquilla con señuelos fáciles |
| Tasa de reporte | Cuántas personas avisan del correo sospechoso | La intención activa de colaborar en la defensa | No prueba cambio sostenido; se infla si reportar es el premio |
| Retest | Si la persona resiste un intento nuevo del mismo tipo semanas después | El cambio real de conducta en el tiempo | Requiere un programa que reprograme y siga a cada persona |
La regla práctica para dirección es leer de derecha a izquierda cuando se trata de decidir si el programa funciona: primero el retest, que es el resultado, y solo después la tasa de reporte y la de click como señales de proceso que lo alimentan. Un informe a la junta que solo muestre click y reporte está contando esfuerzo; uno que muestre retest está contando efecto. Sobre cómo llevar esa distinción a un reporte que la dirección entienda, ya tratamos el formato en reportes ejecutivos de riesgo humano útiles; lo que esta pieza agrega es la advertencia de no coronar la tasa de reporte como meta final. Es un peldaño excelente, siempre que no se confunda con la cima.
En el fondo, todo esto es un problema de gestión de riesgo humano (Human Risk Management, HRM): la disciplina que mide y modifica cómo se comportan las personas bajo presión, no cuánto saben en un examen. Y en esa disciplina, la vara más alta no es cuántos avisan, es cuántos resisten cuando se les vuelve a probar.
En Fensivo construimos el programa alrededor de ese último peldaño. Medimos el click y el reporte como señales de proceso, pero el corazón del sistema es el retest: cuando alguien falla, recibe capacitación breve en el momento y, semanas después, una simulación nueva del mismo tipo con otro pretexto valida si de verdad cambió la conducta. Puede ver cómo se aplica en nuestros casos de uso. La pregunta que dejamos abierta es la que ordena el tablero: cuando su próximo informe muestre una tasa de reporte en alza, ¿sabrá decir si su equipo aprendió a resistir, o solo aprendió a avisar?
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
