Son las 16:40 de un martes y una persona está cerrando pestañas para salir a horario. Entra un correo del “área de pagos”: hay una factura trabada y un enlace que promete destrabarla en dos clics. El cursor ya viaja hacia el botón. No es que no sepa qué es el phishing. Hizo la capacitación en marzo y hasta sacó buena nota. Pero marzo queda lejísimos a las 16:40 de un martes, con la cabeza puesta en la vuelta a casa.
Lo que resuelve ese instante no es lo que esa persona aprendió hace tres meses. Es lo que aparece, o no aparece, en la pantalla justo a las 16:40. Y ahí, en ese segundo en que la decisión todavía está abierta, es donde un nudge se gana o se pierde.
Un nudge es un empujón suave, un recordatorio o una idea breve que busca inclinar una decisión de seguridad hacia el lado correcto sin obligar a nada. No es un reto ni una alerta técnica. Y acá está la parte que solemos saltear: por bien escrito que esté, si llega a la hora equivocada no cambia nada. El mismo texto, a las 16:40 o tres días antes, no juega el mismo partido.
¿Por qué un nudge depende tanto del momento?
Casi ninguna decisión de seguridad es deliberada. Frente a un correo, la mayoría de las personas no razona: reacciona. Es el sistema rápido que describe la economía del comportamiento, ese piloto automático que nos deja resolver cien microdecisiones por día sin fundirnos, y que también es el primero en tropezar cuando alguien mete urgencia de por medio.
Un nudge sirve cuando se cuela en ese reflejo, justo antes de que el clic ocurra. Un mensaje impecable que llegó el lunes a la mañana, sepultado bajo cuarenta correos sin abrir, no está presente el martes a las 16:40. Y la presencia, acá, es casi todo.
No es solo intuición. Hay una investigación sobre la formación antiphishing embebida, esa que llega justo cuando alguien cae en un phishing simulado. El trabajo (Lain et al., presentado en ACM CCS 2024) encontró algo incómodo para quien apuesta todo al material: lo que la vuelve efectiva no es su contenido, que casi nadie consume por falta de tiempo, sino su efecto recordatorio, el aviso periódico de que la amenaza sigue ahí. Los autores lo dicen sin vueltas: el phishing es un problema de atención, no de conocimiento. Y la atención no vive en un PDF, vive en un momento. Si te interesa el debate de fondo sobre si los nudges funcionan, lo abrimos en otro artículo.
¿En qué se diferencia de un momento educativo?
Conviene no mezclar dos cosas que llegan en tiempos distintos. El nudge aparece a las 16:40, mientras la mano todavía duda. El momento educativo aparece el miércoles, cuando el clic ya ocurrió y toca entender, sin dramatismo, qué pasó.
Uno previene en caliente, el otro repara en frío. Los dos enseñan, y un programa sano usa los dos. El problema empieza cuando se le pide a uno el trabajo del otro: un momento educativo no evita el clic de hoy, y un nudge no reemplaza la explicación que hace falta mañana.
¿Cuándo llega un nudge en el momento justo?
La respuesta corta: cuando lo dispara algo que la persona acaba de hacer, no el calendario.
Cada nudge se cuelga de un disparador, que es la combinación de un tipo de contenido y una acción concreta. Tres ejemplos para verlo:
- Alguien abre un phishing simulado y, en vez de un reto, recibe un nudge que lo invita a mirar remitente, urgencia y enlace antes de seguir.
- Alguien termina una capacitación y recibe un refuerzo que fija lo que acaba de ver, cuando todavía está fresco.
- Alguien no aprueba un examen y recibe un mensaje que lo anima a reintentar, sin reproche.
En la plataforma de SMARTFENSE esto se traduce en alrededor de cincuenta disparadores repartidos entre los contenidos: phishing, capacitaciones, exámenes, ransomware, newsletters y varios más. El hilo común es que el nudge nace de algo que la persona hizo recién, un comportamiento observable, y por eso cae cuando todavía hay una decisión por delante o un aprendizaje caliente para fijar. Intervenir sobre lo que la persona hace, y no sobre lo que suponemos que siente, es la misma lógica que sostiene un programa de cambio de comportamiento que se toma en serio.
¿Por qué un nudge a destiempo se vuelve ruido?
Acá está el costado del que casi nadie habla. Un nudge mal cronometrado no es neutro. Resta.
Cuando los mensajes llegan sueltos, en tanda y sin relación con lo que la persona está haciendo, el cerebro hace lo que mejor sabe hacer: dejar de verlos. Es la misma ceguera que tenemos con los banners, donde lo que se repite sin consecuencia se vuelve invisible. Y atrás de esa ceguera viene la fatiga, ese punto en el que un recordatorio más es una molestia más, y la persona termina ignorando la fuente entera, incluido el aviso que esta vez sí importaba.
Por eso enviar mejor no es enviar más. Es aparecer en el momento y elegir con cuidado cuáles. Que cada nudge se dispare por un hecho puntual, que sea corto y que cada organización encienda solo los que le sirven a su gente. Un nudge que cuida la atención de la persona se la guarda para cuando de verdad hace falta.
¿Cómo se arma un programa que aparezca en el momento justo?
Tres decisiones marcan la diferencia.
Colgar el envío de un comportamiento observable. Si no se puede registrar que la persona abrió el adjunto, reportó el correo o terminó el módulo, no hay momento del que agarrarse. El disparador necesita un hecho, no una fecha en la agenda.
Llegar por donde la persona ya está. Un nudge rinde más en el lugar real de trabajo. Por eso aparece en el correo, y también en Slack o Teams cuando la organización los usa, en vez de inaugurar un canal nuevo que nadie mira.
Hablarle a la persona, no al promedio. El mismo nudge puede personalizarse con el nombre y salir en el idioma de cada quien, solo. Un mensaje que se siente propio se lee; uno genérico engrosa el ruido.
SMARTFENSE trae más de treinta nudges listos para usar y la opción de armar los propios, todos atados a esos disparadores de comportamiento. Pero la herramienta es lo de menos al lado del principio: medir lo que la persona hace y aparecer en el instante en que esa información todavía puede torcer una decisión. Es la misma frontera que recorremos al hablar del riesgo humano antes del clic.
El contenido propone, el momento dispone
Un nudge brillante a deshora es un buen mensaje tirado a la basura. Uno sencillo en el segundo justo cambia lo que pasa después. Antes de pulir la próxima frase ingeniosa, hay una pregunta más barata que conviene hacerse: ¿esto va a aparecer cuando todavía hay algo que decidir? Si la respuesta es sí, el contenido hace su parte. Si es no, da igual lo bueno que sea: llegó cuando ya no había partido.
Para ver cómo se ven estas intervenciones dentro de un programa, el catálogo de herramientas de concienciación y evaluación de SMARTFENSE muestra los nudges junto al resto de los formatos que sostienen el cambio de comportamiento.
Preguntas frecuentes
¿Qué es un nudge en ciberseguridad?
Un nudge es un mensaje breve y contextual (un recordatorio, una pregunta o una idea) que busca influir de forma positiva en una decisión de seguridad sin imponer nada. No es un castigo ni una alerta técnica, sino un empujón suave que llega en el momento en que todavía hay una decisión por delante.
¿Por qué el momento de un nudge importa más que su contenido?
Porque las decisiones de seguridad se toman en segundos y con el sistema rápido e intuitivo del cerebro. Un nudge solo cambia esa decisión si interrumpe ese piloto automático en el instante exacto en que la persona está por actuar. El mismo mensaje, llegado tres días antes o en un resumen mensual, pierde toda su fuerza.
¿En qué se diferencia un nudge de un momento educativo?
El nudge actúa antes, mientras la decisión todavía está abierta; el momento educativo actúa después, cuando algo ya salió mal y conviene entender qué pasó y por qué. El nudge previene en caliente; el momento educativo repara en frío. Se complementan, pero intervienen en tiempos distintos.
¿Los nudges saturan a las personas?
Solo si se envían mal. Un nudge a destiempo, desconectado de lo que la persona está haciendo, se filtra como cualquier mensaje repetido y genera fatiga. Bien pensado, se dispara por un evento puntual, es corto y la organización activa solo los que tienen sentido, de modo que respeta la atención en lugar de gastarla.
Deja un comentario