La ciberseguridad no depende solo de la tecnología. También depende de cómo actúan las personas dentro de la organización. Los informes más recientes de 2025 y 2026 coinciden en una idea de fondo:
El factor humano sigue estando en el centro de muchas brechas, incidentes y campañas de ingeniería social, en un contexto marcado además por ataques más creíbles, más personalizados y cada vez más apoyados en inteligencia artificial.
El factor humano sigue teniendo un peso decisivo en las brechas
Cuando se habla de ciberseguridad, la atención suele centrarse en la tecnología. Se habla de ataques, de herramientas de protección, de vulnerabilidades o de cumplimiento normativo. Todo eso importa. Sin embargo, una parte importante del riesgo sigue dependiendo de algo mucho más cotidiano: cómo actúan las personas dentro de la organización.
El Data Breach Investigations Report 2025 de Verizon sitúa el elemento humano en el 60% de las brechas de seguridad analizadas. Muchas de estas brechas no comienzan con una acción maliciosa, sino con decisiones normales, tomadas en un contexto de prisas, confianza, rutina o falta de claridad. Abrir un enlace sin revisar bien su procedencia. Reutilizar una contraseña. Guardar credenciales en un lugar poco seguro. Compartir información sin verificar el destinatario. Saltarse una política interna porque ralentiza el trabajo.
Ese dato obliga a mirar
el factor humano como una parte central de la exposición al riesgo.
El problema no es solo la falta de formación
Las organizaciones intentan abordar esta cuestión con campañas de concienciación, formación obligatoria y simulaciones de phishing. Todo eso es útil, pero no basta.
El informe de Gartner “4 Tactics for Developing Security-Minded Employees”, muestra datos especialmente reveladores de a una encuesta a realizada a 1.310 empleados:
- El 69% de los empleados reconoció haber ignorado deliberadamente directrices de ciberseguridad en los últimos doce meses.
- El 65% afirmó que, al menos a veces, abre correos electrónicos, enlaces o archivos adjuntos de fuentes desconocidas en un dispositivo de trabajo.
- El 63% utiliza su dispositivo o su cuenta profesional para asuntos personales.
- El 63% guarda sus contraseñas de trabajo directamente en el navegador sin utilizar una solución aprobada por la empresa, como un gestor corporativo de contraseñas.
Lo más llamativo es que el 93% de los empleados que incurren en estos comportamientos es consciente de que está aumentando el riesgo para la organización.
Muchas personas saben lo que deberían hacer, pero no siempre actúan en consecuencia.
La ingeniería social sigue funcionando porque sigue apelando a las personas
La evolución reciente del phishing y de la ingeniería social confirma con claridad esta realidad.
Proofpoint, en The Human Factor 2025, parte de una idea sencilla pero muy relevante: el atacante sigue explotando emociones, contexto y confianza para inducir a la víctima a actuar. Para este informe, la compañía analizó más de 3,4 billones de correos electrónicos, 21 billones de URL, 0,8 billones de adjuntos y 1,4 billones de SMS sospechosos en el periodo comprendido entre marzo de 2024 y febrero de 2025.
A partir de ese análisis, explica que la ingeniería social se apoya en factores como la urgencia, el miedo, la expectativa o la curiosidad, y que el uso de inteligencia artificial generativa está facilitando campañas más rápidas de producir, más escalables y creíbles. En su análisis sobre phishing y amenazas basadas en URL, añade que las URL aparecen cuatro veces más que los adjuntos en los correos maliciosos, que al menos el 55% de los mensajes de smishing sospechosos contenían URL maliciosas y que las amenazas con códigos QR identificadas por Proofpoint alcanzaron los 4,2 millones solo en el primer semestre de 2025.
La identidad es hoy uno de los objetivos más sensibles
En un análisis de mayo de 2025 sobre técnicas de ataque a la identidad, Microsoft explica que, aunque la adopción de autenticación multifactor, soluciones sin contraseña y mejores protecciones del correo ha cambiado el panorama del phishing, la ingeniería social sigue siendo una parte esencial de estos ataques. La compañía advierte de que los atacantes están más motivados que nunca para obtener credenciales, especialmente en entornos cloud empresariales.
Su análisis detalla varias técnicas recientes que van en esa dirección, como el phishing adversary-in-the-middle, el device code phishing, el OAuth consent phishing o campañas basadas en device join phishing. Todas tienen un punto en común: no dependen solo de una debilidad técnica, sino de que una persona sea engañada para aceptar, autorizar o completar una acción aparentemente legítima.
El Microsoft Digital Defense Report 2025 refuerza aún más este escenario. En su apartado sobre explotación mediante ingeniería social, señala que ClickFix fue el método de acceso inicial más común observado por Microsoft Defender Experts durante el último año, con un 47% de los ataques analizados, por delante del phishing, que representó el 35%. También recoge un dato especialmente llamativo: los correos de phishing automatizados con inteligencia artificial alcanzaron tasas de clic del 54%, frente al 12% de intentos estándar.
Ya no hablamos solo del correo fraudulento clásico. Hablamos de técnicas que simulan flujos legítimos, explotan mejor la confianza y se adaptan a entornos donde los controles técnicos son más maduros.
La inteligencia artificial está haciendo el problema más complejo
El Global Cybersecurity Outlook 2026, elaborado por el World Economic Forum, señala que la inteligencia artificial es el principal factor que va a transformar la ciberseguridad en los próximos años para el 94% de los encuestados. Además, el 87% identifica las vulnerabilidades relacionadas con la IA como el riesgo de más rápido crecimiento a lo largo de 2025, y el 77% afirma que el fraude y el phishing habilitados digitalmente han aumentado en el último año.
El informe explica que la IA generativa está reduciendo barreras para ejecutar ataques de phishing, aumentando su sofisticación y mejorando su credibilidad. También advierte del uso de deepfakes de audio y vídeo, así como de documentación falsa cada vez más convincente.
Por tanto, el factor humano no se enfrenta hoy al mismo tipo de engaño que hace unos años. Se enfrenta a ataques más verosímiles, más personalizados y más difíciles de detectar.
La formación ayuda, pero no resuelve por sí sola la distancia entre saber y actuar
El informe 2025 Security Awareness and Training de Fortinet, basado en 1.850 responsables senior de seguridad de 29 países, indica que el 67% de las organizaciones afirma haber logrado reducciones moderadas o significativas en intrusiones, incidentes y brechas tras implantar programas de concienciación y formación. También señala que el 53% ya mide la eficacia de estos programas en función de la reducción de incidentes y que el 88% adapta la formación a distintos grupos de empleados.
Ahora bien, el mismo informe muestra que el reto sigue muy presente. El 69% de los líderes encuestados considera que los empleados aún carecen de suficiente concienciación en seguridad, y solo el 40% cree que su plantilla está altamente preparada para identificar, evitar y reportar amenazas basadas en inteligencia artificial en los próximos doce meses. Además, un 26% admite que, incluso cuando los empleados consideran importante la seguridad, no siempre actúan en consecuencia.
La formación es necesaria, pero no basta por sí sola para cerrar la distancia entre saber y actuar.
El problema también es organizativo
El riesgo humano no nace solo de la falta de atención o de la imprudencia individual. También nace de entornos de trabajo mal diseñados.
Si una política es confusa, si un control añade una fricción excesiva, si la organización obliga a improvisar o si los mensajes no están adaptados a los riesgos reales de cada función, lo más probable es que aparezcan atajos. Y esos atajos acaban convirtiéndose en exposición.
La seguridad se consolida cuando las personas entienden qué se espera de ellas, por qué importa y cómo hacerlo sin convertir cada tarea en un obstáculo. Por eso este asunto no debería quedarse solo en el ámbito del departamento de seguridad o de informática. Es una cuestión transversal, con implicaciones directas para la continuidad de negocio, la protección de la información, el cumplimiento normativo y la resiliencia general de la organización. Y, como tal, necesita implicación de la dirección, de los mandos intermedios, de los equipos técnicos y del conjunto de profesionales que forman parte de la empresa.
En un contexto en el que los ataques son más creíbles, más automatizados y más difíciles de identificar, gestionar bien el factor humano ya no es una medida complementaria. Es una parte esencial de la ciberseguridad.