kras99 - stock.adobe.com

Reportaje

¿Qué ocurre con la conciencia de ciberseguridad en los equipos de trabajo?

En general, los equipos muestran mayor conciencia frente a amenazas clásicas y emergentes, dicen los expertos. Pero ese avance está enfocado en comportamientos puntuales, no en una cultura madura y consolidada. Aquí tiene algunos consejos para mejorar la conciencia de ciberseguridad en los equipos empresariales.

Cristián Vera-Cruz
por
Publicado:17 oct 2025

Octubre es el Mes de la Ciberseguridad, y un momento especial para analizar una de las grandes interrogantes que existen actualmente en un mundo altamente digitalizado y colmado de amenazas: ¿Ha mejorado la concienciación en ciberseguridad de los equipos de trabajo en las empresas?

Los delincuentes virtuales están al acecho hoy más que nunca para atacar sistemas vulnerables y aprovecharse de comportamientos inadecuados para robar información de valor en las compañías. El último reporte “The State of Ransomware” preparado por Sophos detalla que, a nivel global, casi la mitad de las empresas paga rescates tras sufrir un ciberataque. Esto demuestra que el ransomware es una amenaza que persiste con fuerza, lo que sin duda genera preocupación en los equipos de trabajo.

Otro dato del mismo reporte revela que, por tercer año consecutivo, las vulnerabilidades explotadas fueron la causa técnica raíz número uno de los ataques, mientras que un 40 % de las víctimas indicó que los atacantes aprovecharon una brecha de seguridad desconocida.

Los expertos sostienen que, en general, los equipos muestran mayor conciencia frente a amenazas clásicas y emergentes, y se intenta incorporar mejores prácticas de seguridad. Sin embargo, ese avance suele estar focalizado en comportamientos puntuales, no en una cultura madura y consolidada. Esto se refleja en un estudio de Cisco, el cual indica que sólo el 4 % de las organizaciones hoy alcanza un nivel “maduro” de preparación en ciberseguridad. El análisis concluye que, si bien se ha mejorado en un punto porcentual con respecto al año pasado, todavía es un porcentaje muy bajo.

Juan Marino, Cisco.

“Los programas de concienciación han progresado en inducir comportamientos seguros, pero, para que la mentalidad colectiva evolucione, se necesita más inversión, recursos, tiempo y respaldo sostenido. Pienso que no se puede sobrecargar la expectativa de que los usuarios mantengan la organización segura por su nivel de conciencia sobre las amenazas de seguridad, sino más bien hace falta un avance significativo en cambiar el paradigma “top-down” en la estructura corporativa, entendiendo cómo se construye la resiliencia digital, en lugar de pensar un modelo tradicional de seguridad preventiva”, dice Juan Marino, gerente de ciberseguridad para Cisco Latinoamérica.

La situación de Chile frente a la región

En comparación con el resto de la región, Chile cuenta con avances significativos en materia de concienciación en ciberseguridad dentro de las empresas, aunque, como todos los países, tiene muchos desafíos por delante.

En América Latina, en general, la cultura de concienciación sigue en desarrollo. De hecho, menos de la mitad de las empresas encuestadas para el “ESET Security Report 2025” afirmó tener un plan estructurado de capacitación para sus colaboradores. Si bien, de acuerdo con el mismo informe, un 31 % realiza capacitaciones al menos una vez al año y un 29 % lo hace dos veces al año, estas instancias suelen llevarse a cabo de forma aislada, sin un enfoque estratégico sostenido.

En el caso de Chile, sin embargo, se puede observar un mayor compromiso en materia de ciberseguridad, lo que incluye la mejora de los sistemas de concienciación. De hecho, dentro de sus avances destaca la promulgación de la Ley Marco de Ciberseguridad (Ley N.º 21.663) y la creación de la Agencia Nacional de Ciberseguridad (ANCI), cuya finalidad es justamente perfeccionar todos los aspectos de una infraestructura de ciberseguridad. 

Una investigación realizada en el 2024, “Radiografía de la Ciberseguridad en Directorios de Chile 2024”, menciona que la concienciación forma una parte relevante de la agenda de los directorios empresariales en el país.

Fabiana Ramírez, ESET.

“Considerando este escenario, podemos afirmar que, en la mayoría de los países latinoamericanos, la capacitación de los equipos no es sistemática, y el factor humano sigue siendo el eslabón más vulnerable frente a amenazas como el phishing o la ingeniería social. Se puede decir que Chile supera al promedio regional en estructura y gobernanza de ciberseguridad por tener diversas iniciativas legislativas que sirven como guías, pero que también obligan a las empresas y organizaciones a mejorar sus infraestructuras de ciberseguridad”, explica Fabiana Ramirez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica.

Francisco Fernández, Avantic.

No obstante, Francisco Fernández, gerente general de AVANTIC Chile, advierte que, a pesar de los buenos índices generales de Chile, persiste una brecha interna. “Mientras las grandes corporaciones han alcanzado niveles altos de madurez (70 % según IDC), las pequeñas y medianas empresas siguen muy atrás. En este sentido, se requiere un enfoque integral, y una cooperación público-privada, para que Chile siga fortaleciendo la cultura organizacional y la formación de profesionales especializados”, comenta.

Por otra parte, respecto de cuál ha sido la influencia de la IA en la concienciación en ciberseguridad de los equipos de trabajo, los expertos sostienen que la inteligencia artificial ha permitido que la ciberseguridad deje de ser vista en gran medida como un tema exclusivamente técnico, permitiendo que los equipos la puedan percibir de manera más cercana a través de simulaciones o aprendizajes prácticos que los conectan con su día a día. Las herramientas de IA están generando experiencias que hacen que cada persona o los equipos tomen conciencia de su rol en la protección de la empresa.

Héctor Kaschel, Coasin Logicalis.

“Generalmente, estas simulaciones o ejercicios adaptados a su realidad hacen que los trabajadores no sientan la ciberseguridad como un requisito impuesto, sino como una herramienta de apoyo para poder trabajar mejor, logrando que las personas se involucren de manera activa y consciente”, explica Héctor Kaschel, CyberSecurity Practice Head Andina de Coasin Logicalis.

Consejos para la concienciación en ciberseguridad

Rodolfo Castro, Sophos.

A partir de los datos que hemos revisado, no cabe duda de que la concienciación es el alma de una organización cibersegura. No hay estrategia posible que resulte exitosa si los equipos de trabajo no practican una cultura preventiva y no la implementan todos los días. “Los actores de amenazas cada vez estudian más a sus potenciales objetivos, y son capaces de estar mucho tiempo esperando el momento indicado para desplegar el ataque. Por ende, las herramientas técnicas son muy importantes, pero el elemento humano sigue siendo el eslabón más débil de la cadena de protección y, por ende, un consejo es que las organizaciones prioricen esta concienciación”, resalta Rodolfo Castro, gerente de Ingeniería en Sophos para LATAM.

En este mismo análisis, André Goujon, gerente general de Lockbits, sostiene que se pueden implementar las mejores capas de seguridad y contar con el servicio de monitoreo y administración (MDR) más avanzado, pero la intercepción de datos por ciberdelincuentes es altamente probable si los colaboradores abren archivos adjuntos sospechosos, acceden a sitios web dudosos o comparten información confidencial.

André Goujon, Lockbits.

“Por lo tanto, la concienciación es crucial. Todos los colaboradores, desde el personal de limpieza hasta el CIO, el directorio y los accionistas, deben aprender a utilizar las herramientas de forma segura. Un error común es creer que esta formación es un evento único, cuando en realidad debe ser un proceso constante y periódico, idealmente varias veces al año”, enfatiza.

El experto agrega, que, en este contexto, la realización de ejercicios de phishing ético puede ser útil para identificar vulnerabilidades. Sin embargo, no se recomienda el "castigo" a quienes caen en la trampa, ya que esto desincentivaría la denuncia. Es preferible establecer un canal de denuncia directo para que los colaboradores puedan contactar al área de ciberseguridad y validar la legitimidad de un correo sospechoso.

“De este modo, se sentirán seguros al reportar y denunciar incidentes. Los secretismos no son efectivos; por el contrario, compartir información sobre los ataques que ocurren es mucho más beneficioso. Además, la Ley Marco de Ciberseguridad en Chile exige el reporte de incidentes en plazos limitados”, concluye.

Francisco Fernández, gerente general de AVANTIC CHILE, ofrece algunas recomendaciones para la concienciación en ciberseguridad de los equipos empresariales:

  1. Brinde capacitación continua y simulaciones, e implemente programas regulares con pruebas de phishing y ransomware.
  2. Establece una política clara e impulsa una cultura de seguridad. Define normas simples, actualizadas y conocidas por todos.
  3. Adopta zero trust y herramientas modernas. EDR, firewalls de nueva generación, autenticación multifactor, gestión de vulnerabilidades y parchado son puntos básicos.
  4. Integra IA defensiva. Automatiza la detección y respuesta para reducir tiempos de reacción.
  5. Mide y mejora constantemente. Evalúa riesgos humanos con plataformas automatizadas disponibles en el mercado, y ajusta los programas según los resultados. Ya no sirve concientizar con charlas.

Investigue más sobre Políticas y concientización