Pensemos en la última vez que estuviste a punto de caer en un correo sospechoso. Probablemente sabías, en abstracto, que existen los correos falsos. Habías leído sobre phishing, quizás incluso habías hecho una capacitación. Y, sin embargo, por un instante, tu dedo se movió hacia el enlace. ¿Cómo se explica esa distancia entre lo que sabemos y lo que hacemos?
La respuesta incomoda a la intuición de muchos programas de seguridad, que asumen que basta con informar para proteger. Pero el phishing no es, en su raíz, un problema de conocimiento. Es un problema de cómo decidimos. Y entender esa diferencia cambia por completo la forma de pensar la concienciación.
¿Por qué saber no es lo mismo que estar a salvo?
Las personas no tomamos la mayoría de nuestras decisiones de forma deliberada. La ciencia del comportamiento describe dos modos de procesamiento: uno rápido, automático e intuitivo, que opera casi sin esfuerzo, y otro lento, analítico y consciente, que exige atención y energía. Pasamos buena parte del día funcionando en el primero, porque pensar todo en detalle sería agotador e inviable.
Ese modo automático es eficiente y, casi siempre, adaptativo. Nos permite responder decenas de correos, reconocer un logo conocido o seguir una instrucción de “urgente” sin detenernos a cada paso. El problema es que el phishing está diseñado, justamente, para operar ahí: en la vía rápida, donde no hay análisis. Un atacante competente no intenta engañar a tu razonamiento. Intenta que nunca lo actives.
Por eso el conocimiento, por sí solo, ofrece menos protección de la que creemos. Saber que existe el phishing vive en el modo reflexivo, pero el momento del clic ocurre en el modo automático. Entre los dos hay una brecha, y esa brecha es donde sucede el incidente.
¿Qué condiciones hacen que decidamos en automático?
Si el riesgo aparece cuando no estamos reflexionando, la pregunta útil es: ¿qué nos empuja al modo automático? La respuesta tiene poco que ver con la inteligencia o la voluntad, y mucho con el contexto.
- La carga cognitiva. Cuando atendemos varias cosas a la vez, la capacidad de análisis disponible se reduce. Un correo que llega en medio de una reunión, entre otras cincuenta tareas, casi no tiene chance de ser examinado.
- La presión de tiempo. La urgencia es el ingrediente favorito de la ingeniería social precisamente porque desactiva la reflexión. Frases como “tienes dos horas para responder” funcionan justamente porque empujan a actuar antes de pensar.
- La familiaridad. Reconocer un logo, un nombre o un formato habitual activa una sensación de seguridad que el atacante explota. Lo conocido se procesa rápido, y lo rápido no se cuestiona.
- La rutina. Hacemos lo mismo tantas veces que dejamos de mirarlo. El correo número doscientos del día no recibe la misma atención que el primero.
No es casualidad que el Verizon DBIR 2026 registre tasas de clic más altas en los ataques dirigidos al móvil: el teléfono es donde más operamos sobre la marcha, con la atención repartida y poco margen para el modo reflexivo.
Ninguna de estas condiciones es un defecto de la persona. Son rasgos normales de cómo funciona la atención humana. El error está en diseñar programas de seguridad que ignoran este funcionamiento y luego se sorprenden de que la gente “no aprenda”.
¿Por qué culpar al usuario es un diagnóstico equivocado?
Cuando alguien cae en una simulación o en un ataque real, la reacción frecuente es leerlo como falta de cuidado o de criterio. Pero si el mecanismo que falló es el procesamiento automático (el mismo que nos permite funcionar el resto del día), culpar a la persona es como reprochar a alguien que respire.
Esa mirada, además, es contraproducente. El miedo a la sanción no mejora la atención; lo que hace es empujar a la persona a esconder el error. Y un error escondido es mucho más peligroso que uno reportado a tiempo. Lo desarrollé desde el ángulo organizacional en el riesgo humano en ciberseguridad, pero acá importa la consecuencia psicológica: una cultura punitiva entrena el ocultamiento, no la prudencia.
¿Cómo se entrena una conducta que ocurre en automático?
Si el problema no es de conocimiento, la solución tampoco puede ser solo más información. No alcanza con explicar mejor qué es el phishing. Hay que intervenir en el momento y en la forma en que se decide.
La ciberpsicología sugiere un camino distinto: en lugar de pedirle a las personas que estén siempre alerta (algo que ningún cerebro puede sostener), conviene diseñar pequeños empujones que reintroduzcan un instante de reflexión justo donde la vía automática está por actuar. Es la lógica de los nudges en ciberseguridad: no buscan enseñar un dato, sino crear una micro-pausa que devuelva por un segundo el control al modo consciente.
Ese segundo lo es todo. La diferencia entre caer y reportar no suele estar en cuánto sabe la persona, sino en si algo la hizo detenerse antes de actuar. Por eso el aprendizaje más efectivo no llega en una capacitación agendada semanas después, sino en el momento exacto del error, cuando la atención está alta y la experiencia es vívida.
¿Cómo aborda esto SMARTFENSE?
En SMARTFENSE trabajamos sobre esta premisa: los contenidos de concienciación no están pensados para llenar de información a las personas, sino para activar la reflexión en el instante en que más importa. Las simulaciones reproducen las condiciones reales en las que decidimos en automático, y el momento educativo posterior interviene cuando el aprendizaje puede fijarse, sin tono punitivo y con foco en el reflejo de detenerse y reportar. No se trata de que las personas sepan más, sino de que, frente al próximo correo, cuenten con ese segundo de pausa que cambia la decisión.
El phishing seguirá apuntando a la vía rápida, porque ahí es donde somos predecibles. La concienciación, bien entendida, trabaja con la naturaleza de la atención humana en lugar de pelear contra ella. Saber no nos vuelve invulnerables. Detenernos a tiempo, sí.
Deja un comentario