Camino al #VII CYBERSECURITY & DATA INNOVATION SUMMIT 2026: una charla con Andrea Zamorano
Andrea Zamorano, Manager de ciberpsicología en Kymatio
La ciberseguridad suele percibirse como un ámbito principalmente técnico: firewalls, cifrado, autenticación multifactor o análisis de vulnerabilidades. El fin es proteger la información y, para ello, es necesario entender cómo funcionan loshttps://kymatio.com/ sistemas y sus componentes. Es la única forma de proponer medidas encaminadas a su protección.
Sin embargo, esta visión es incompleta. En la práctica, más del 60% de los incidentes de seguridad no se producen por fallos en la tecnología, sino por la interacción humana con ella. Por tanto, resultaría obvio pensar que también es necesario entender a las personas, pero el papel tan fundamental de la Psicología en la ciberseguridad ha sido subestimado desde sus inicios.
Hace tiempo que los ciberdelincuentes tienen a las personas en su punto de mira, diseñando sus estrategias en consecuencia. Técnicas como el phishing (ataque a través de correo electrónico), el baiting (a través de dispositivos extraíbles infectados) o el QRishing (a través de códigos QR fraudulentos) no buscan entrar en los sistemas hackeándolos directamente, sino hackeando la mente humana. Lo hacen apelando a las emociones, explotando sesgos cognitivos y aprovechándose de nuestros hábitos y percepciones. Un correo urgente que simula ser de un superior, un mensaje que apela al miedo o una falsa recompensa pueden ser suficientes para que una persona revele información sensible o ejecute una acción comprometedora.
La Psicología permite entender por qué estas tácticas funcionan. Los seres humanos no tomamos decisiones de forma completamente racional; estamos influenciados por atajos mentales (heurísticos) y sesgos como la autoridad, la escasez o la urgencia. Por ejemplo, cuando un mensaje aparenta provenir de una figura de autoridad, es más probable que se obedezca sin cuestionarlo. Del mismo modo, la presión temporal reduce la capacidad de pensar de manera crítica, favoreciendo respuestas impulsivas.
Incorporar este conocimiento al diseño de estrategias de ciberseguridad implica cambiar el enfoque: no basta con proteger sistemas, también hay que preparar a las personas. La formación tradicional, basada en cursos puntuales sobre normas y procedimientos, suele ser insuficiente porque no tiene en cuenta cómo aprenden y se comportan los usuarios, ni tampoco su estado.
Para que un programa sea realmente efectivo, es necesario combinar distintos aspectos como la concienciación continua, las simulaciones realistas y la exposición de credenciales, así como tener en cuenta las individualidades de cada persona para que puedan comprender de dónde vienen sus comportamientos y cómo corregirlos o reforzarlos para mantener la seguridad tanto en su vida personal como laboral.
Dentro de estas individualidades también se engloba el bienestar. Un colaborador que se encuentre a disgusto en la organización supone un riesgo alto de incidente. El malestar favorece el desinterés, la evasión de medidas de seguridad para ahorrar tiempo, la comisión de errores e, incluso, aumenta la probabilidad de incidentes maliciosos. No obstante, es un aspecto que comúnmente se ve como responsabilidad exclusiva de Recursos Humanos, sin siquiera pensar en el altísimo impacto que puede tener en la seguridad de la información.
En definitiva, la ciberseguridad no es solo una cuestión de tecnología, sino también de personas. Ignorar la dimensión psicológica es dejar una puerta abierta a incidentes causados por ciberdelincuentes o errores directos de los colaboradores de la organización. Integrarla, en cambio, permite construir sistemas más robustos, organizaciones más conscientes y usuarios más preparados frente a un entorno digital cada vez más complejo.
Para asistir a su ponencia el próximo 28 de abril en el Colegio de Ingenieros de Madrid, puedes solicitar tu entrada AQUÍ
Consulta la agenda oficial del evento
