Poner en marcha y sostener un programa de concienciación en ciberseguridad supone uno de los retos más complejos para los responsables de seguridad de las organizaciones. Estos equipos deben dirigirse a plantillas amplias y heterogéneas, repartidas geográficamente, y hacerlo con recursos, tiempo y capacidades limitadas. Desde Proofpoint, compañía especializada en ciberseguridad y cumplimiento, subrayan que para que un programa sea realmente efectivo en la reducción de riesgos debe ajustarse al comportamiento real de los usuarios y a las amenazas existentes, además de permitir medir y comunicar los avances alcanzados.
El factor humano continúa siendo el principal punto débil en materia de seguridad digital. En España, el 49% de los CISOs identifica a las personas como el mayor riesgo para la organización, a pesar de que el 55% considera que los empleados conocen las buenas prácticas en ciberseguridad, un conocimiento que no siempre se traduce en conductas seguras. Además, el mismo estudio de 2025 revela que el 46% de las empresas no dispone de herramientas adecuadas para gestionar el riesgo interno, lo que dificulta cerrar la distancia entre saber cómo actuar y hacerlo de forma efectiva.
Según los especialistas, los programas formativos generalistas, que tratan por igual a toda la plantilla, tienen un impacto limitado, como sucede en muchos enfoques actuales. Cuando se intenta personalizar la formación, el proceso suele ser manual, lo que supone una carga adicional para equipos ya saturados. Sin automatización, resulta muy complicado ofrecer una experiencia formativa realmente eficaz a los empleados que presentan un mayor nivel de exposición al riesgo.
Aquí es donde el aprendizaje adaptativo cobra protagonismo frente a una formación tradicional insuficiente. Este enfoque proporciona una educación específica y basada en el riesgo, ajustada al comportamiento, el rol y el perfil de cada empleado. En Proofpoint apuestan por una segmentación inteligente y automatizada, junto con itinerarios de aprendizaje sistematizados y personalizados, lo que garantiza que las actividades asignadas (capacitaciones, simulaciones de phishing y notificaciones) sean relevantes, impactantes y efectivas para impulsar un cambio de comportamiento real.
Agrupar a los usuarios por su tasa de clics en simulaciones, por sus errores o simplemente por haber finalizado un curso, como hacen muchas plataformas de concienciación, no basta para comprender el riesgo real. Esto obliga a los administradores a recopilar más información manualmente para que los programas resulten útiles. A diferencia de esa segmentación básica, los grupos adaptativos incorporan señales de riesgo en tiempo real. Si un usuario gestiona incorrectamente datos sensibles, por ejemplo, pasa automáticamente a un grupo que recibe una formación diseñada para corregir ese comportamiento. De esta forma, los equipos de seguridad invierten menos tiempo en tareas operativas y más en apoyar a los usuarios, mientras los grupos se actualizan dinámicamente a medida que cambian los riesgos.
Los programas tradicionales de concienciación suelen estancarse por depender en exceso de procesos manuales. Los equipos deben decidir constantemente a quién dirigir, qué formación asignar y cuándo hacerlo. Las rutas adaptativas propuestas por Proofpoint automatizan la creación y entrega de experiencias de aprendizaje basadas en amenazas del mundo real. Si surge un grupo de usuarios que han activado alertas de prevención de pérdida de datos, se les inscribirá automáticamente en actividades diseñadas para abordar los riesgos asociados a sus comportamientos. La formación se ajusta en función de las acciones del usuario, su interacción con amenazas o los requisitos de cumplimiento. A medida que los riesgos cambian, los grupos se actualizan automáticamente, facilitando medir el impacto y refinar los programas.
Gracias a ello, los empleados no pierden tiempo preparándose para amenazas improbables o ya controladas. El enfoque se centra en quienes necesitan mayor apoyo y lo reciben exactamente cuando lo requieren. Más adelante, el refuerzo mediante repetición y ejemplos contextuales ayuda a que las prácticas seguras perduren.
“El verdadero poder del aprendizaje adaptativo reside en su impacto y en su eficiencia, al dirigir las experiencias a perfiles de riesgo de usuario comunes mediante grupos y rutas adaptativas. La experiencia de aprendizaje se vuelve más relevante, atractiva y efectiva, aumentando las probabilidades de que los usuarios retengan lo aprendido porque se conecta directamente con su rol y sus desafíos”, explican los expertos de Proofpoint. “Impulsar un cambio de comportamiento constante y medible no es un ejercicio anual, sino un proceso continuo y adaptado que refuerza la resiliencia en toda la fuerza laboral”.
