El 90% de los reportes de awareness que veo arrancan por el mismo lugar: la tasa de clics en simulaciones de phishing. Baja respecto al período anterior, sube, se mantiene. Se presenta en una diapositiva con un porcentaje grande, un color verde o rojo, y una conclusión implícita: “estamos bien” o “estamos mal”.
Y con eso, la reunión de seguridad sigue adelante.
El problema es que esa métrica, por sí sola, no dice casi nada sobre el estado real de tu programa de concienciación. Según el Verizon DBIR 2025, aproximadamente el 60% de las brechas confirmadas involucran una acción humana: un clic, una llamada de ingeniería social, un envío de datos al destinatario equivocado. Si el riesgo humano sigue representando más de la mitad de los incidentes, ¿alcanza con medir solo la tasa de clics para saber si tu programa está funcionando?
Es como evaluar la salud de una persona midiendo únicamente su temperatura. Puede ser un dato útil, pero si es lo único que miras, vas a sacar conclusiones peligrosamente incompletas.
¿Qué mide realmente la tasa de clics?
La tasa de clics mide cuántos usuarios hicieron clic en un enlace dentro de una simulación de phishing. Nada más y nada menos.
No mide si los usuarios aprendieron algo. No mide si cambiaron su comportamiento fuera de la simulación. No mide si tu organización está más segura que hace seis meses. Mide una acción puntual, en un momento puntual, frente a un escenario específico.
Además, esta métrica es extremadamente sensible a factores que no tienen nada que ver con el nivel de concienciación de tus usuarios:
- La dificultad de la simulación. Un phishing que suplanta al CEO con contexto interno va a tener más clics que uno genérico de “actualiza tu contraseña”. Si enviaste uno fácil y la tasa bajó, no es porque los usuarios mejoraron. Es porque el phishing era más obvio.
- Los falsos positivos. Herramientas de seguridad, sandboxes y bots que interactúan con los enlaces antes que los usuarios. Si no los filtras, tus métricas están contaminadas con ruido que no representa comportamiento humano.
- El momento del envío. Un lunes a las 9 de la mañana no produce los mismos resultados que un viernes a las 17. Y eso no refleja diferencias en concienciación, sino en atención disponible.
Hay organizaciones que dedican semanas a preparar la simulación perfecta y luego le ponen toda la atención a esa única métrica. Es como entrenar para una maratón y medir solo la velocidad del primer kilómetro.
¿Qué métricas reflejan un cambio real de comportamiento?
Si lo que buscas es evidencia de que tu programa de awareness está generando un cambio de comportamiento sostenido, que es, al final, el objetivo real, necesitas mirar un conjunto más amplio de indicadores. Ninguno es perfecto por sí solo, pero combinados cuentan una historia mucho más completa.
Tasa de reporte de phishing. De todas las métricas disponibles, esta es probablemente la más subestimada. Un usuario que reporta un correo sospechoso está demostrando un comportamiento activo: no solo identificó la amenaza, sino que hizo algo al respecto. Eso es cultura segura en acción.
Tiempo de primer reporte. No alcanza con que los usuarios reporten; importa cuándo lo hacen. Si el primer reporte llega en los primeros minutos, la organización tiene una ventana de reacción real. Si llega tres días después, el daño de un ataque real ya estaría hecho. Esta métrica mide la velocidad de respuesta colectiva.
Reincidencia. ¿Los mismos usuarios caen una y otra vez en las mismas técnicas de persuasión? ¿O van mejorando con el tiempo? La tasa de reincidencia muestra si las acciones de concienciación están teniendo efecto sobre los usuarios que más lo necesitan. Un programa que no mueve esta métrica tiene un problema de diseño, no de los usuarios.
Correlación entre concienciación y simulación. Esta métrica cruza dos dimensiones: lo que los usuarios saben (evaluado a través de contenidos de concienciación) con lo que los usuarios hacen (medido en simulaciones). Si un usuario completó todos los módulos pero sigue cayendo en simulaciones, hay un gap entre conocimiento y comportamiento. Si otro no completó nada pero reporta correctamente, hay un sesgo de supervivencia. Los reportes de correlación permiten detectar estos patrones y actuar sobre ellos.
Cobertura real del programa. ¿Qué porcentaje de usuarios está realmente expuesto al programa de concienciación? No los que recibieron un email, sino los que completaron los contenidos y participaron en las simulaciones. Un programa con 95% de tasa de apertura pero 30% de finalización tiene un problema de engagement que la tasa de clics no va a mostrar.
El error de compararse con otros
Hay una tentación frecuente entre CISOs: buscar un benchmark externo para saber si su tasa de clics es “normal”. Si mi organización tiene un 15% y el promedio del sector es 20%, ¿estoy bien?
No necesariamente. Y lo hemos analizado antes: el benchmarking externo en awareness es, en la mayoría de los casos, engañoso. Las variables son demasiadas (tamaño de la organización, sector, madurez del programa, dificultad de las simulaciones, herramientas de filtrado, frecuencia de envío) como para que una comparación directa tenga valor real.
El único benchmarking que vale es el que haces contra ti mismo, período tras período. ¿Mejoró la tasa de reporte? ¿Bajó la reincidencia? ¿Se acortó el tiempo de primer reporte? Esas tendencias internas, medidas con consistencia, son las que realmente hablan de la efectividad de tu programa.
Cómo armar un tablero que cuente la historia completa
Si tuviera que recomendar un tablero mínimo para presentar a dirección, incluiría estos indicadores:
- Tasa de clics por tipo de escenario: no un promedio global, sino segmentada por técnica de persuasión (urgencia, autoridad, recompensa). Esto muestra dónde están las vulnerabilidades reales.
- Tasa de reporte y tiempo de primer reporte: la métrica que demuestra comportamiento activo y capacidad de respuesta.
- Reincidencia: usuarios que caen más de una vez en el mismo tipo de escenario. Esto identifica dónde enfocar las intervenciones.
- Correlación concienciación-simulación: para mostrar que las acciones de formación están (o no) impactando en el comportamiento observable.
- Cobertura del programa: porcentaje de usuarios que efectivamente participaron, no solo los alcanzados.
Lo que dejaría afuera: promedios globales sin contexto, comparativas con otras organizaciones, y cualquier métrica que no puedas vincular con una acción concreta de mejora.
Plataformas como SMARTFENSE permiten consolidar estas métricas en un solo lugar, correlacionando las acciones de concienciación con los resultados de simulación y el comportamiento de reporte. Eso transforma datos dispersos en una visión accionable del riesgo humano.
Medir bien es tan importante como concienciar bien
La tasa de clics no es una mala métrica. Es una métrica incompleta. El problema aparece cuando se convierte en la única lente con la que evaluamos un programa de awareness.
Un programa maduro mide comportamientos, no solo acciones puntuales. Mide tendencias propias, no promedios ajenos. Y mide el impacto de sus intervenciones, no solo la exposición a ellas.
Si tu siguiente reporte de awareness va a empezar por la tasa de clics, al menos asegúrate de que no termine ahí.
Deja un comentario