En casi cualquier formación de seguridad, equivocarse cuenta como una nota roja. Marcamos mal la opción, el sistema lo anota como error y sigue con la próxima pregunta. En un videojuego pasa algo distinto. El personaje se cae, la pantalla dice que perdimos y esa caída es justo la parte donde algo queda. Volvemos a intentar y esta vez esquivamos el pozo que antes no habíamos visto.
Parece un detalle de diseño, pero toca el centro de cómo las personas aprendemos a decidir bajo presión. Un programa de concientización que solo premia la respuesta correcta se pierde la mitad más jugosa del asunto, que es lo que ocurre cuando nos equivocamos y nadie nos cobra la factura por eso.
Ese permiso para fallar, para aprender del error sin que salga caro, tiene nombre y tiene evidencia detrás. Vale la pena mirarlo, porque explica por qué un juego bien pensado deja una huella que el curso de siempre no consigue.
¿Por qué un videojuego nos deja fallar sin que pase nada?
Un videojuego se apoya en un pacto silencioso. Puedes fallar todas las veces que quieras y no se rompe nada real. A eso lo llamamos ensayo seguro, la posibilidad de probar una decisión, ver cómo sale mal y volver a empezar sin consecuencias fuera de la pantalla. El error, ahí, funciona como información para el próximo intento más que como una condena.
Cada intento fallido te dice algo del siguiente. Caíste en el pozo, ahora sabes que está ahí. Abriste el cofre trampa, la próxima vez desconfías del que brilla demasiado. Nadie te manda un correo de recursos humanos por haber muerto en el nivel tres (todavía). Ese margen es lo que vuelve al juego un lugar cómodo para practicar cosas que en la vida real dan miedo. Cuando el costo de probar baja casi a cero, probamos más, y de tanto probar vamos afinando el ojo para la próxima.
En seguridad, lo que da miedo es bastante concreto. Hacer clic donde no había que hacer clic, aprobar una transferencia que no era, entregar una credencial a quien no debía. Un juego nos deja vivir esas microdecisiones muchas veces, en un entorno donde el peor final es empezar el nivel de nuevo. Y practicar la decisión, no leer sobre ella, es lo que después sostiene el reflejo.
¿Qué dice la evidencia sobre aprender del error?
La investigación es bastante clara en un punto. Entrenar dejando que la persona cometa errores suele funcionar mejor que guiarla paso a paso para que no se equivoque nunca. Este enfoque tiene un nombre poco glamoroso, error management training, y consiste en darle espacio al error durante la práctica en lugar de blindar cada movimiento.
Un meta-análisis de Nina Keith y Michael Frese, publicado en el Journal of Applied Psychology en 2008, reunió veinticuatro estudios con más de dos mil personas y comparó los dos caminos. Entrenar con errores le ganó al método que los evita, con un efecto moderado y consistente. Y acá está lo que más nos importa a quienes trabajamos en concientización. Esa ventaja crecía cuando la persona tenía que aplicar lo aprendido a una situación nueva, distinta de la que había practicado.
Y es, en el fondo, lo que le pedimos a cualquiera frente a un ataque. El correo malicioso que llega nunca es idéntico al del ejemplo del curso. Cambian el remitente y la excusa, y a veces hasta el idioma en que está escrito. Reconocer la trampa nueva a partir de las viejas que ya vivimos es transferencia, y es justo el terreno donde el aprendizaje con errores saca ventaja. Un método que solo nos mostró la respuesta correcta una vez llega peor preparado a esa cita.
Hay una intuición sencilla detrás de ese resultado. Cuando tenemos miedo de equivocarnos, exploramos menos. Seguimos el camino seguro que alguien nos marcó y evitamos tocar lo que no conocemos, que es lo contrario de lo que hace falta para detectar algo inédito. Un entorno donde el error sale gratis baja esa guardia. Deja que la persona pruebe, se anime a mirar debajo de la alfombra y arme un criterio propio, en lugar de memorizar una única ruta correcta que se derrumba apenas la realidad cambia un detalle.
¿Por qué un examen que se aprueba una vez no entrena el reflejo?
Un examen que se aprueba una vez mide lo que recordamos ese día, no lo que vamos a hacer meses después cuando llegue el correo raro. Marcamos la opción correcta, sale el certificado y el tema se archiva. El detalle incómodo es que la seguridad no se juega en el momento del examen sino en el momento de la decisión, y entre uno y otro suele pasar mucho tiempo.
Lo que necesitamos es que a la persona le salga el gesto correcto casi sin pensarlo cuando aparece la trampa, más allá de que sepa contestar bien una pregunta de opción múltiple. A eso lo llamo el reflejo, y el reflejo no se explica, se entrena. Se arma repitiendo la misma microdecisión en contextos parecidos hasta que reconocerla cuesta poco.
Un examen la toca una vez. Un juego la hace repetir sin que se sienta como repetir, porque la envuelve en una historia y en un desafío que dan ganas de seguir. Acá vuelve una idea que traigo seguido, y es que el aburrimiento es un agujero de seguridad. Una práctica que aburre se abandona, y lo que se abandona no entrena nada. El juego resuelve esa parte casi de contrabando. Mientras la persona quiere pasar el nivel, de yapa está ensayando la decisión que nos importa. Sobre cómo la repetición sostiene lo aprendido ya escribí antes, cuando hablamos de microaprendizaje y goteo continuo.
¿Cómo se lleva el ensayo seguro a un programa de concientización?
La forma práctica de darle a las personas ese permiso para equivocarse es ponerles delante situaciones realistas donde el error no cueste caro pero sí deje algo. Hay tres maneras que se complementan bien dentro de un mismo programa.
La primera es la simulación. Un correo de phishing simulado deja que la persona muerda el anzuelo en un entorno controlado y reciba, en el acto, la explicación de qué la delató. Falló, pero falló en el simulacro, que es exactamente donde queremos que falle antes que frente a un atacante real. Las herramientas de simulación existen para eso, para que el primer clic desafortunado ocurra en un ensayo.
La segunda son los videojuegos de concientización. Acá el ensayo seguro es casi literal. La persona toma decisiones de seguridad dentro de una historia, se equivoca, ve la consecuencia adentro del juego y vuelve a intentar. En nuestra biblioteca de videojuegos de concientización esa es justo la mecánica, entrenar criterio jugando en lugar de escuchar una lista de prohibiciones. Y como cada juego arma su propio mundo, la misma idea se puede contar de maneras muy distintas sin que canse, algo que ya habíamos visto al repasar las mecánicas de gamificación que cambian el comportamiento y al mirar los videojuegos como power-ups del programa.
La tercera es el momento educativo. Cuando la persona comete una acción de riesgo, por ejemplo hacer clic en una simulación de phishing, ese instante es la mejor clase posible, porque la atención está al máximo. El momento educativo entra justo ahí, apenas ocurre el error, y le explica qué acción de riesgo cometió y cómo reconocer el engaño la próxima vez. Es la misma lógica del juego, mostrarle qué pasó y ofrecerle la salida en el acto, sin el sermón de siempre, que suele llegar tarde y que además nadie termina de escuchar.
Conviene no mezclarlo con el nudge, que es otra pieza distinta. El nudge trabaja antes, como prevención, con un empujón sutil que aparece en el momento de la decisión para orientar sin obligar. El momento educativo llega después, como reacción, cuando el error ya ocurrió y hay una lección caliente para aprovechar. Cumplen funciones distintas y se potencian cuando conviven en la misma campaña, algo que ya desarrollamos en cómo los nudges y los momentos educativos moldean el comportamiento.
Hay algo que conviene no perder de vista en las tres. El ensayo seguro enseña solo si el error deja una lección clara. Un juego que te deja perder sin explicarte por qué entretiene un rato y no cambia nada. La consecuencia dentro de la pantalla tiene que apuntar a la decisión que se quiere entrenar, y la vuelta a intentar tiene que llegar rápido, mientras la experiencia sigue caliente.
El error enseña cuando la persona entiende por qué se equivocó. Sin esa explicación queda apenas un rato entretenido, y esa diferencia es la que separa un juego que forma de uno que solo pasa el rato. También es donde conviene medir si la gente aprendió algo o apenas se divirtió.
Como plataforma de concientización con contenido nativo en español y presencia consolidada en LATAM y España, en SMARTFENSE vemos ese patrón todo el tiempo. Los programas que más mueven la aguja suelen ser los que dejan practicar la decisión, por encima de los que la explican mejor. El error controlado, temprano y sin costo real termina siendo uno de los mejores maestros que tenemos a mano.
Volvamos a la nota roja del principio. En un examen, esa marca es el final del asunto. En un juego es el comienzo del siguiente intento, y con suerte del aprendizaje que buscábamos. Lo que hace la diferencia es haber tenido un lugar donde equivocarse antes de que el error fuera de verdad.
Un buen programa de concientización se parece más a eso que a un examen. Deja practicar y equivocarse las veces que haga falta, y confía en que la próxima trampa se reconozca porque ya se vivió en un sitio donde caerse no dolía. Ahí es donde la formación deja de sentirse como un trámite y empieza a cuidar a alguien.
¿Tu programa les deja espacio a las personas para equivocarse, o recién les toma examen el día que el error ya no tiene vuelta atrás?
Deja un comentario