De eslabones débiles a vínculos fuertes: la nueva batalla contra los ciberdelincuentes

Por Gorka Arroyuelos, responsable de IT en el Ayuntamiento de la Anteiglesia de Abadiño y CISO

 

¿Y si todo lo que creíamos sobre ciberseguridad es una gran mentira cómoda?

Sí, lo he dicho, una mentira. Durante años, hemos repetido hasta la saciedad dl típico mantra que las personas son el eslabón débil en la cadena de la ciberseguridad.

Quizás es que seguimos comprando esa excusa para no cuestionar nuestros propios fallos. Y si no son las personas las que fallan, sino el sistema ridículo que les imponemos, disfrazado de formación.

Si seguimos pensando que un curso anual de PowerPoint va a salvar nuestra empresa de un phishing astuto, es que estamos viviendo en el siglo pasado. Debemos repensar esta farsa y construir algo que funcione de verdad, porque aferrarnos a lo viejo solo invita a más brechas y vulnerabilidades.

Supongamos que un usuario abre un correo sospechoso, cae en la trampa y boom, datos robados. ¿Cuál sería nuestra primera reacción? ¿Culpar al usuario que es el punto débil?

¿Y nos hemos planteado qué pasa con esos programas de formación que son más aburridos que un manual de impuestos? Diseñados para marcar casillas en una auditoría, no para enseñar nada útil.

Los programas se sienten despersonalizados, desconectados del caos real del trabajo diario, como si ignoraran por completo el estrés de deadlines y multitarea.

Enviamos el quiz y todo olvidado al día siguiente. Aun así, nos extrañamos de que los usuarios sigan usando contraseñas como 123456.

Cómo no va a pasar si estamos descargando la responsabilidad en lugar de inspirar un cambio y eso es un grave error que va a perpetuar la vulnerabilidad. Mientras tanto, los hackers se ríen: ellos sí aprenden me atrevería a decir que cada día, evolucionan con IA y tácticas personalizadas que explotan precisamente esa desconexión.

¿Y nosotros? Nosotros estamos anclados en el miedo y en la obligación, como si eso motivara a alguien a largo plazo, ignorando que la motivación real viene de la relevancia y el empoderamiento.

Nos hemos llegado a plantear que es necesario tratar a los usuarios como licencias o números y empezar a tratarlos como aliados estratégicos en esta batalla. La seguridad no se enseña en una sesión obligatoria, sino que se cultiva, como un jardín que requiere paciencia, empatía y sol constante, nutriendo sus raíces profundas en lugar de podar superficialmente.

Olvidémonos del pánico, el cambio, el verdadero, nace cuando la seguridad se integra en las decisiones cotidianas, cuando deja de ser una imposición y se convierte en un hábito natural que fluye con el ritmo del negocio, cuando se inserta en el ADN de la empresa. Necesitamos líderes que no solo prediquen, sino que vivan el ejemplo: compartiendo sus propios tropiezos en reuniones reales, fomentando conversaciones abiertas sin juicios que conviertan los errores en lecciones compartidas.

Gestos pequeños, como un nudge en el correo que explica el riesgo en contexto real y ofrece alternativas inmediatas o talleres colaborativos donde el equipo diseña sus propias defensas adaptadas a su flujo único.

Aquí es donde surge la cultura corporativa, en la confianza mutua entre tecnología y personas, no en lecciones defensivas que generan más resistencia que protección y que al final solo alienan a quienes deberían ser los guardianes frontline.

¿Estamos listo para el desafío? Dejemos de hablar de eslabones débiles y empecemos a forjar vínculos que resistan tormentas digitales. Relaciones donde el aprendizaje sea parte del crecimiento profesional, no un lastre anual que se arrastra con resentimiento y pereza.

Si no cambiamos esta mirada miope, seguiremos en el mismo ciclo: ataques inevitables, culpas recicladas y cero progresos, mientras que competidores más ágiles nos dejan en el polvo. Pero si lo hacemos, transformaremos la ciberseguridad en una fortaleza colectiva, donde cada individuo contribuya con orgullo y conocimiento práctico.

Ahora, profundicemos un poco más en por qué este shift no solo es necesario, sino urgente dentro de nuestro ecosistema que evoluciona a velocidad luz.

Tengamos en consideración cómo las empresas que ya adoptan enfoques más  centrados en los usuarios ven reducciones drásticas en ciberincidentes: no por más reglas, sino por herramientas intuitivas que guían sin interrumpir.

Pensemos en el impacto psicológico de los usuarios cuando sienten que su input vale y aporta, reportan sospechas más rápido, creando un ecosistema proactivo en vez de reactivo.

Y no olvidemos el rol de la tecnología como facilitadora, no como vigilante: integra IA amigable que aprenda de patrones humanos, ofreciendo sugerencias personalizadas que hagan la seguridad accesible, no elitista.

Además, cuestionemos el costo oculto de mantener el status quo: no solo en brechas financieras, sino en moral del equipo, donde la culpa constante erosiona la productividad y la innovación. En cambio, si invertimos en cultivar, cosecharemos lealtad y resiliencia, convirtiendo a potenciales víctimas en vigilantes empoderados.

Visualicemos un futuro donde las auditorías celebren culturas y no checklists vacíos en donde la empatía sea el arma secreta contra la ingeniería social.

Atrévete a cuestionar tu propio enfoque… ¿O prefieres seguir en la zona de confort que nos deja expuestos?