Cinco puntos ciegos dentro de las empresas que las hacen propensas al phishing

Bogotá. Abril, 2026. A pesar del avance de las herramientas de ciberseguridad, el phishing sigue siendo uno de los principales puntos de entrada para los ataques contra las empresas. La razón va más allá de la tecnología: en muchos casos, las brechas persisten en el comportamiento humano y en la forma en que las organizaciones abordan la seguridad en sus operaciones cotidianas. Un estudio de KnowBe4, la plataforma de renombre mundial que aborda integralmente la gestión de riesgos relacionados con la IA humana y la IA autónoma, refuerza este escenario. La empresa analizó 67.7 millones de simulaciones de phishing realizadas con 14.5 millones de usuarios en más de 62,000 organizaciones a nivel mundial. Antes de recibir cualquier capacitación en seguridad, el 33.1% de los usuarios hace clic en enlaces o interactúa con mensajes de phishing simulados. Según la empresa, los datos muestran que el problema no es solo la sofisticación de los ataques, sino también fallas recurrentes dentro de las propias organizaciones. A partir de este conjunto de datos, KnowBe4 identificó cinco puntos ciegos que ayudan a explicar por qué el phishing sigue funcionando. Cinco puntos ciegos en las organizaciones ● El entrenamiento sigue siendo tratado como una acción puntual: Cuando la concientización ocurre de forma aislada, el impacto tiende a ser limitado. Según el análisis, los programas de capacitación continua marcan una diferencia más concreta. En 90 días, las tasas de susceptibilidad al phishing pueden reducirse alrededor de un 40%. ● La cultura de seguridad sigue siendo frágil: Los mensajes que imitan comunicaciones internas, como avisos de Recursos Humanos o de TI, siguen siendo los que generan más clics en las simulaciones. Esto muestra cómo la confianza en las rutinas corporativas puede ser fácilmente explotada cuando la seguridad no forma parte de la cultura empresarial cotidiana. ● Falta de visibilidad sobre el riesgo humano: Muchas empresas monitorean amenazas técnicas, malware y vulnerabilidades, pero aún rastrean el comportamiento de los usuarios con menos atención. Métricas como el Phish-prone Percentage (PPP), que mide la probabilidad de que los empleados caigan en ataques de phishing, ayudan a incorporar este riesgo a una gestión más concreta. ● El exceso de confianza sigue siendo un problema: Muchos profesionales creen que serían capaces de identificar un intento de phishing. Sin embargo, los datos muestran una realidad diferente: antes del entrenamiento, aproximadamente un tercio de los usuarios aún interactúa con mensajes simulados. ● Dependencia excesiva de la tecnología: Los filtros de correo electrónico y otras capas de protección siguen siendo esenciales, pero no detienen todos los ataques. Cuando un mensaje malicioso llega a la bandeja de entrada, la decisión del usuario se vuelve crítica. Según KnowBe4, los programas de capacitación y concientización continua pueden reducir el riesgo de phishing hasta en un 86% después de un año. Para la empresa, esto refuerza que el comportamiento humano debe ser tratado como una parte central de la estrategia de ciberseguridad. “Muchas organizaciones todavía tratan el phishing únicamente como un problema tecnológico, cuando en realidad está directamente vinculado al comportamiento humano. Sin capacitación continua y una cultura de seguridad sólida, incluso las mejores herramientas pueden ser insuficientes”, dice Rafael Peruch, Asesor Técnico de CISO en KnowBe4. Acerca de KnowBe4 KnowBe4 ayuda a los equipos de trabajo a tomar decisiones más inteligentes en materia de seguridad todos los días. Con la confianza de más de 70,000 organizaciones en todo el mundo, KnowBe4 fortalece la cultura de seguridad y gestiona el riesgo humano a través de una plataforma integral impulsada por inteligencia artificial. Su suite HRM+ incluye módulos de capacitación en concienciación y cumplimiento, seguridad de correo electrónico en la nube, entrenamiento en tiempo real, anti-phishing colaborativo, agentes de defensa con IA, entre otros. Más información en knowbe4.com. Sigan a KnowBe4 en LinkedIn y X.