Como persona apasionada de la seguridad de la información, me paso parte del día rodeado de procedimientos, instrucciones técnicas, políticas, multifactor y protocolos que hacen que «aparentemente» los dispositivos sean cada vez más resistentes. Pero con los años he llegado a una conclusión incómoda: el mayor agujero de seguridad no siempre está en la tecnología. Está en las personas. Y eso tiene un nombre: falta de cultura de ciberseguridad.
Una historia que seguro que ha pasado
Imagina que alguien pierde su portátil en el metro. Por suerte, el disco estaba cifrado. Por desgracia, la contraseña para acceder estaba en un post-it pegado en la carcasa.
No es un caso real (o eso quiero pensar), pero cualquiera que trabaje en seguridad sabe que este tipo de escenarios no suenan tan descabellados como deberían. Ponemos cerraduras electrónicas en las puertas, pero dejamos la llave bajo el felpudo.
Normas con mala fama
Hay personas que, cuando les hablas de seguridad, ponen cara de «a mí no me hace falta». Algunos incluso llegan a decir cosas como:
«Yo firmo lo que haga falta para que me quites esos mecanismos de seguridad, ya me hago responsable.»
¿Responsable… de qué exactamente?
¿De que un atacante cifre 14.000 ficheros de una empresa porque abriste un adjunto sin mirar?
¿De que se filtre información confidencial porque usaste un servicio gratuito no autorizado?
¿Y qué pasará cuando ocurra?
¿Pedirás disculpas? ¿Dirás que fue un despiste? ¿Que no lo sabías?
Spoiler: no hay indemnización en el mundo que compense una brecha de reputación o la pérdida de confianza institucional.
La cultura de ciberseguridad no consiste en firmar papeles. Consiste en entender que las medidas existen porque los riesgos son reales. Y que no se trata de poner trabas, sino de construir barreras inteligentes contra amenazas reales.
Tecnología sin contexto = seguridad de cartón
Puedes invertir en las mejores herramientas del mercado: detección de amenazas, análisis de comportamiento, Zero Trust, lo que quieras. Pero si el personal comparte credenciales por WhatsApp “porque era urgente”, o si se usan plataformas no autorizadas porque son “más cómodas”, lo técnico se convierte en pura decoración.
La cultura de ciberseguridad no se instala. Se entrena. Se cultiva. Se vive.
Esta misma semana, tras meses con WeTransfer bloqueado por motivos de seguridad, detectamos el uso creciente de otra plataforma de transferencia de archivos similar. El patrón se repite: se bloquea una herramienta, pero si intentas explicar el motivo y o no acuden a las jornadas donde se explica, o les entra por una oreja y les sale por la otra… aparece otra.. Es como poner un dedo en una fuga y que salte otra por otro lado.
Y uno de los casos más ilustrativos fue cuando, casi por casualidad, descubrimos que muchas personas usuarias estaban utilizando plataformas como ILovePDF (y similares) para manipular documentos que contenían información sensible.
Subían documentación confidencial, listados, contratos… a un servicio gratuito, sin cifrado ni control, alojado vaya usted a saber dónde.
El razonamiento era sencillo: “Solo quería juntar dos PDFs” o “solo necesitaba extraer una página”. ¿Y para eso vas a regalar la información a un tercero?
Lo más llamativo es que esas mismas funciones están disponibles localmente en sus equipos, con herramientas corporativas que lo permiten sin exponer nada. Pero claro: abrir la herramienta, buscar la opción, hacer clic… requiere un mínimo de tiempo y hábito. Entrar a una web, subir y descargar, parece más rápido. Hasta que un día deja de serlo.
Porque la comodidad inmediata gana, pero la seguridad pierde.
Y lo preocupante no es solo que esto ocurra. Es que ocurre sin que nadie lo perciba como un riesgo. Eso es lo que más duele. Porque cuando alguien usa un servicio externo sin garantías para tratar datos confidenciales, no es un fallo técnico: es un fallo de cultura de ciberseguridad..
El conflicto eterno: seguridad vs. productividad
Todos hemos oído (o dicho) alguna vez: “Si aplicamos todas estas medidas, nadie podrá trabajar.”
Y sí, existe una tensión natural entre proteger y facilitar. Pero no es una batalla perdida. Se trata de adaptar, de negociar, de escuchar. De buscar el equilibrio entre lo ideal y lo viable.
En algunos entornos, bloquear una herramienta no soluciona nada si no se ofrece una alternativa segura y funcional. Porque si la seguridad se percibe como un obstáculo, buscarán atajos.
Y lo más difícil de todo no es poner la medida, ni siquiera implantarla. Lo más difícil es que quieran entender el “por qué” detrás de cada decisión. Muchas veces no es que no puedan comprenderlo… es que simplemente no quieren. Porque hacerlo implicaría cambiar hábitos. Y la frase maldita siempre aparece: “Esto siempre lo hemos hecho así.”
Brechas culturales disfrazadas de incidentes técnicos
Muchos de los incidentes que gestionamos (phishing, fugas de datos, clics en enlaces maliciosos) no son fallos del sistema. Son fallos de comprensión, de costumbre, de rutina.
No es que la tecnología falle. Es que las personas no saben cómo interactuar con ella de forma segura. Y ahí es donde entra en juego la cultura.
Cambiar la cultura de ciberseguridad, poco a poco
En esto de la concienciación no hay fórmulas mágicas. Solo constancia, creatividad… y mucha, muchísima paciencia.
Hay que insistir una y otra vez. No solo en el entorno profesional, sino también en el doméstico. Porque los mismos malos hábitos que vemos en la oficina se repiten en casa: contraseñas compartidas por WhatsApp, conexiones a WiFi públicas sin protección, dispositivos sin actualizar… y todo eso también es parte del ecosistema que queremos proteger.
Insisto en que la ciberseguridad no se queda en la oficina. Empieza en casa, con tu familia, con tus dispositivos personales, con tus hábitos diarios. Si alguien entiende por qué no debe subir documentos personales a páginas sospechosas, será más fácil que tampoco lo haga en el trabajo.
Usamos infografías, simulacros de phishing, jornadas de concienciación… A veces funciona, a veces no. Pero lo importante es que, poco a poco, algo va calando.
Lo sé porque empiezan a llegarme preguntas como:
— ¿Esta web es segura?
— ¿Puedo conectar esto en casa?
— ¿Qué antivirus me recomiendas para mi hijo?
Y eso, créeme, es señal de que la semilla empieza a echar raíces.
Cerrar la brecha invisible
Si algo he aprendido es que la cultura de ciberseguridad no va solo de firewalls y protocolos. Va de personas. De cómo piensan, de cómo trabajan, de cómo entienden (o no) los riesgos.
Invertir en tecnología es imprescindible. Pero invertir en cultura es insustituible.
