Microaprendizaje en ciberseguridad: por qué el goteo continuo enseña lo que la formación anual olvida

Ilustración flat cálida de una regadera que deja caer gotas pequeñas y regulares sobre una planta que crece, en contraste con un balde volcado de golpe sobre tierra seca al costado

Microaprendizaje en ciberseguridad: por qué el goteo continuo enseña lo que la formación anual olvida

Hay un enemigo del que casi no hablamos cuando armamos un programa de concienciación, y es el aburrimiento. Una formación que aburre no se retiene, y lo que no se retiene no nos cuida el día que aparece un correo raro. El curso anual arrastra ese problema de nacimiento. Concentra todo en una sesión larga, la persona la hace, aprueba (y el certificado va derecho a una carpeta que nadie vuelve a abrir) y sigue con su día. Meses después, cuando de verdad hace falta, de esa sesión no queda casi nada.

No es culpa de nadie. La memoria funciona así. Guarda lo que repasamos y suelta lo que vio una sola vez, por más completo que fuera el material. Y acá está la parte que solemos pasar por alto. Lo que sostiene una buena decisión de seguridad es cuánto de lo aprendido sigue fresco en el segundo en que hay que decidir, y meses después de una única sesión fresco no queda mucho. Para que algo siga a mano, hay que volver a tocarlo.

Esa es la idea del microaprendizaje. En lugar de jugárselo todo a una gran sesión, reparte el aprendizaje en piezas chicas a lo largo del tiempo, para que el tema nunca se enfríe del todo.

¿Qué es el microaprendizaje en ciberseguridad?

El microaprendizaje es una forma de enseñar en piezas breves y autocontenidas, un video de dos minutos, un cómic de una página, un recordatorio de tres líneas, que se entregan espaciadas en el tiempo en vez de amontonar todo en una jornada larga. Cada pieza va por una sola idea y entra en el hueco de atención que la persona tiene de verdad, no en el que imaginamos que nos va a reservar.

La diferencia con la formación de siempre no está en el tema ni en la calidad del material. Está en el ritmo. Un mismo contenido sobre phishing puede vivir como un módulo de cuarenta minutos que se ve una vez, o como una docena de recordatorios cortos repartidos durante el año. El segundo enseña lo mismo, pero de un modo que la memoria puede sostener.

Y hay una razón práctica para preferir lo corto. Una pieza breve se puede consumir de verdad; un módulo de cuarenta minutos compite contra toda la agenda del día y esa pelea la pierde seguido. Trabajamos con la atención repartida en mil pestañas y con poco tiempo de corrido para algo que no sea lo urgente. Una pieza que respeta ese contexto entra. Una que lo ignora se cierra a los dos minutos, con certificado o sin certificado.

¿Por qué la formación anual no cambia el comportamiento?

Hace más de un siglo, el psicólogo Hermann Ebbinghaus describió la curva del olvido. Sin repasos, lo que aprendemos se cae rápido en los días y semanas que siguen, y se cae fuerte. Una formación anual entrega todo su valor en un pico y después deja que la curva haga lo suyo. Para cuando llega el correo malicioso, la base que levantamos en aquel curso ya se vino abajo.

Hay una segunda razón, y es más incómoda. Una investigación sobre formación antiphishing embebida presentada en ACM CCS 2024 (Lain et al.) encontró algo incómodo para quien apuesta todo al material. Lo que vuelve efectiva a esa intervención es su efecto recordatorio, el aviso periódico de que la amenaza sigue ahí, más que el contenido en sí, que casi nadie llega a consumir por falta de tiempo. Los autores lo dicen sin vueltas, el phishing es un problema de atención antes que de conocimiento. Un curso largo una vez al año pelea la batalla equivocada, porque intenta sumar conocimiento cuando lo que falta es presencia.

Y hay una trampa que conviene nombrar. La formación anual pasa la auditoría, deja el certificado en su carpeta y nos regala la sensación de tarea cumplida. Cumple con el papel. Pero el papel y la conducta son cosas distintas, y se puede tener a toda la plantilla formada y, meses más tarde, un índice de clics igual de alto, sencillamente porque lo que firmamos hace medio año no está presente en el segundo que importa.

¿Cómo el goteo continuo vence a la curva del olvido?

La psicología del aprendizaje tiene una respuesta vieja y bien estudiada para el olvido, el efecto de espaciamiento. Retenemos mejor cuando volvemos sobre una idea en momentos separados que cuando la tragamos toda de una. El microaprendizaje toma ese principio y lo vuelve la estructura del programa. En lugar de un pico anual, una serie de contactos cortos que reavivan el tema antes de que se apague.

Ese goteo hace dos cosas a la vez. Refuerza lo aprendido en cada repaso y mantiene la amenaza presente, que es justo el efecto recordatorio que la investigación marca como el motor real del cambio. Cuando el phishing, el ransomware o el buen manejo de contraseñas aparecen seguido y livianos, dejan de ser un recuerdo lejano y pasan a formar parte del paisaje mental de la persona.

Con el tiempo, eso entrena un reflejo. En vez de explicar las señales de un correo sospechoso una sola vez, un programa puede volver sobre el tema cada pocas semanas y desde ángulos distintos, un cómic que muestra un caso, más adelante un video que desarma un remitente falso, después una simulación que pone a prueba lo aprendido. Es el mismo contenido central, visto tres veces con semanas de por medio, y esa distancia es la que fija el hábito.

¿Cuánto contenido y cada cuánto, sin saturar a las personas?

Acá está el error que convierte una buena idea en una mala experiencia. Continuo no quiere decir constante. Si el goteo se transforma en un chorro de mensajes sueltos, el cerebro hace lo que mejor sabe hacer, dejar de verlos. Es la misma ceguera que tenemos con los banners, donde lo que se repite sin consecuencia se vuelve invisible, y detrás de esa ceguera viene la fatiga, ese punto en que un recordatorio más es una molestia más.

Dosificar bien es el verdadero trabajo. Tiene que ver con la cadencia, un ritmo que acompaña sin abrumar, y con la relevancia, que cada persona reciba lo que le toca según su rol, su nivel y lo que ya vio. El recorrido de alguien de finanzas no se parece al de un perfil técnico, y tratarlos igual gasta la atención de los dos. La microsegmentación de las personas es lo que permite que el goteo sea pertinente y no un mensaje genérico para todos.

En la práctica esto se apoya en dos cosas. Un catálogo pensado en formatos breves, cómics, videos y newsletters, que ya nacen para consumirse rápido, y una programación de campañas que reparte esas piezas a lo largo del año en vez de amontonarlas. En la plataforma de SMARTFENSE, ese reparto planificado y segmentado es lo que sostiene un programa de concienciación continua sin caer en la saturación. El formato pesa tanto como la frecuencia, y por eso conviene elegir qué formato sirve para qué comportamiento antes de armar el calendario.

Microaprendizaje y el momento justo

El goteo construye la base, pero hay un instante que ninguna serie de contenidos planificados llega a cubrir, el segundo exacto en que alguien está por hacer clic en algo dudoso. Ese hueco lo llena el nudge, ese empujón que llega en el momento justo, disparado por lo que la persona acaba de hacer y no por el calendario.

Conviene verlos como dos capas del mismo programa. El microaprendizaje trabaja de fondo, parejo y sin ruido, para que el tema nunca se apague del todo. El nudge entra en caliente, cuando la decisión todavía está abierta. Y cuando algo igual sale mal, el momento educativo que viene después del error también es, en el fondo, una píldora corta que llega cuando la persona está más receptiva. Las tres comparten la misma lógica, poco contenido, muchas veces, en el momento oportuno.

Cómo se ve en un programa real

Un buen programa de microaprendizaje se nota en qué tan presente queda el tema durante todo el año. Ese es el número que importa, más que la pila de horas de formación acumuladas. En vez de un evento anual y once meses de silencio, hay un flujo parejo de piezas cortas, ajustado a cada grupo de personas, con nudges que aparecen en los momentos de riesgo y refuerzos que fijan lo que se acaba de aprender.

En un programa así, la persona vuelve a cruzarse con el tema cada pocas semanas y desde ángulos distintos. Un cómic le muestra un caso, más adelante un video corto desarma un remitente falso y, más tarde, una simulación pone a prueba lo aprendido y le explica en el acto qué la delató. Cuando por fin aparece un correo diseñado para engañarla, el reflejo de revisar remitente, urgencia y enlace ya está entrenado, porque lo repasó hace poco y no en un curso lejano. Esa es la diferencia entre saber algo y tenerlo a mano.

Al final volvemos al mismo punto. El aburrimiento sigue siendo el agujero de seguridad del que casi nadie habla, y ninguna sesión anual lo tapa. Lo tapa estar presentes, un poco, muchas veces, justo cuando hace falta. Si quieres ver cómo se organiza ese flujo continuo en la práctica, puedes recorrer las herramientas de la plataforma o los recursos de concienciación, que ya están pensados en clave de goteo y no de atracón.

Carolina Carmelé

Creadora de contenidos con amplia experiencia en ciberseguridad, tecnología de la información y concienciación en seguridad. Desarrolla y gestiona materiales educativos claros, atractivos y eficaces, utilizando formatos creativos para conectar con audiencias diversas.

Deja una respuesta