Error humano, negligencia o intención no son lo mismo
Cuando algo sale mal en seguridad, la explicación aparece casi sola. Fue un error humano. La frase tranquiliza porque cierra el caso antes de abrirlo. También esconde un problema, porque reúne bajo la misma etiqueta situaciones que casi no se parecen. La persona que hace clic apurada al final de una jornada larga, la que reutiliza una contraseña porque nadie le ofreció algo mejor y la que copia una base de datos la semana antes de renunciar comparten una palabra y poco más. Según el Verizon Data Breach Investigations Report, el factor humano sigue presente en una proporción amplia de las brechas analizadas cada año. Ese dato suele leerse como una condena a las personas. Leerlo así es, justamente, el primer error, y ese sí nos pertenece.
¿A qué nos referimos con “error humano”?
El error humano es la desviación entre lo que una persona quiso hacer y lo que terminó ocurriendo. Definido con esa precisión, deja afuera buena parte de lo que solemos meter adentro. La psicología del error trabaja esta distinción desde hace décadas. En Human Error (1990), James Reason distinguió los fallos no intencionales, los deslices y las equivocaciones de quien buscaba acertar, de las violaciones, las desviaciones deliberadas de una norma conocida. Son mecanismos distintos, con causas distintas, y por eso requieren respuestas distintas.
El problema práctico es que la etiqueta “error humano” borra esa frontera. Junta a quien se equivocó sin darse cuenta, a quien tomó un atajo consciente y a quien actuó para hacer daño. Cuando el diagnóstico es tan grueso, el tratamiento también lo es. Y un tratamiento grueso suele fallar con los tres casos a la vez. Peor aún, esconde a la organización detrás de la persona. Si todo termina siendo “error humano”, nunca se revisa el entorno que hizo probable ese error.
¿En qué se diferencian el error, la negligencia y la intención?
Conviene separar tres fenómenos que la conversación cotidiana confunde.
El error ocurre cuando la persona quería hacer lo correcto y aun así falló. La atención estaba fragmentada, la capacidad de análisis agotada, un sesgo hizo el resto. No hubo ninguna decisión de saltarse una regla. El riesgo humano nace ahí, antes del clic, en las condiciones bajo las que alguien decide frente a la pantalla.
La negligencia aparece cuando la persona conocía la norma y eligió el camino de menor resistencia. Rara vez hay malicia. Casi siempre hay una organización que puso la seguridad a competir contra la tarea que esa persona tiene que entregar hoy. Reutilizar una contraseña, postergar una actualización o compartir un acceso “por esta vez” son atajos que el entorno vuelve razonables.
La intención es otra cosa. Aquí la persona busca causar daño o sacar un provecho. Sabotaje, fraude, robo de información antes de una salida. Es una minoría de los casos, pero existe, y no se corrige con una buena campaña de concientización.
Puestos en fila, la diferencia se ve rápido:
- Error: quería acertar y falló. Causas típicas: atención limitada, carga cognitiva, sesgos, presión temporal.
- Negligencia: sabía la norma y tomó un atajo. Causas típicas: fricción, incentivos del entorno, hábitos, procesos incómodos.
- Intención: actuó para obtener un beneficio o causar daño. Causas típicas: motivación personal, oportunidad, ausencia de controles.
Un mismo hecho puede caer en cualquiera de las tres categorías según el contexto. Compartir una contraseña con un compañero es un error de quien no sabía que estaba prohibido, una negligencia de quien lo sabía y prefirió ahorrarse el trámite, o el primer movimiento de un fraude. La acción observable es idéntica en los tres casos. Lo que cambia es la intención y las condiciones que la rodearon. Un registro que anota solo “contraseña compartida” pierde esa información justo cuando más falta hace, y deja a quien investiga con un dato que no distingue nada. Esa es la diferencia entre un tablero que acusa y uno que explica.
¿Qué intervención corresponde a cada tipo?
Distinguir sirve para algo muy concreto. Cada tipo se reduce con una herramienta diferente, y usar la equivocada desperdicia el esfuerzo.
El error se trabaja rediseñando el entorno de decisión. Si alguien falla porque su atención estaba en otro lado, repetirle la norma no cambia nada. Lo que cambia es bajar la carga cognitiva, agregar una señal en el momento justo y convertir cada fallo en un aprendizaje breve. Los nudges y los momentos educativos actúan sobre este tipo, no sobre los otros dos. Que el phishing no sea un problema de conocimiento es exactamente esto. La persona sabe, y aun así falla, porque el conocimiento no gobierna la decisión bajo presión.
La negligencia requiere reducir la fricción de hacer lo correcto y sostener la responsabilidad sin castigo. Si una contraseña única es imposible de recordar, un gestor de contraseñas hace más que diez recordatorios. Si el atajo es la vía rápida, la vía segura tiene que ser también la más cómoda.
El castigo como intervención empuja a esconder el error en lugar de reportarlo, y una organización que no se entera de sus incidentes pierde su mejor fuente de mejora. Para reducir la negligencia, conviene revisar qué atajos premia sin darse cuenta, porque casi siempre la conducta insegura es también la más rápida.
La intención excede al programa de concientización, y conviene decirlo con todas las letras. Frente a alguien decidido a hacer daño, lo que protege son los controles técnicos, la gestión de accesos y la capacidad de detectar comportamiento anómalo a tiempo. Ahí entran el monitoreo, las señales de comportamiento que el SIEM no ve por sí solo y la respuesta a incidentes. Pedirle a un curso que frene a un atacante interno es cargar sobre el awareness un peso que no le toca. Detectar a tiempo una descarga masiva de archivos o un acceso fuera de horario no es tarea de una campaña, sino de la correlación entre lo que hacen las personas y lo que registran los sistemas.
¿Distinguir es una forma de respeto?
Sí, y es la parte que más se pasa por alto. Nombrar bien lo que pasó es tratar a la persona por lo que hizo y no por la peor lectura disponible. Confundir a alguien sobrecargado con un saboteador es injusto y también ineficaz. La respuesta que merece el primero no sirve para el segundo. El respeto, en este terreno, es precisión antes que amabilidad.
Esa precisión también le sirve a quien gestiona el programa. Un tablero que informa “500 errores humanos” no dice nada accionable. Uno que separa los fallos por atención, los atajos por fricción y las conductas deliberadas señala tres planes de trabajo distintos, con responsables distintos. Distinguir también protege a la propia función de concientización. Cuando se le atribuye todo, incluido lo que no puede resolver, se la termina juzgando por fracasos que nunca le correspondieron, y se abandona justo la herramienta que sí reduce los errores y las negligencias.
Los programas de concientización que diseñamos en SMARTFENSE parten de esta distinción, porque un contenido pensado para el error no rinde igual que una simulación que mide comportamiento real. La etiqueta “error humano” consuela a quien la usa y no ayuda a quien la recibe. Empezar a nombrar bien lo que pasó es donde empieza el trabajo serio.
Deja un comentario