El 98% de los incidentes de seguridad en empresas comienzan con acciones de los empleados

La protección digital de las empresas enfrenta un reto creciente: el comportamiento humano es responsable del 98% de los incidentes de seguridad, según cifras recientes recopiladas por SISAP y el informe DBIR 2025 de Verizon.

Qué comportamientos son los que ponen en riesgo la ciberseguridad

En el contexto colombiano, un simple clic en un enlace sospechoso, el uso de contraseñas poco seguras o la pérdida de dispositivos expone a las organizaciones a riesgos que ningún software es capaz de mitigar por completo.

La mayoría de las brechas de seguridad, más del 60%, tiene su origen en errores humanos, y el 44% de estos casos involucra ataques de ransomware con pagos promedio de 115.000 dólares. Frente a estos datos, las inversiones en antivirus y sistemas avanzados de protección se muestran insuficientes si los empleados no cuentan con formación adecuada ni siguen prácticas recomendadas.

Ingrid Delgado, Customer Education & Awareness Manager de SISAP, señaló que fortalecer el “factor humano” reduce de manera sustancial la exposición a ciberataques y protege los activos empresariales más críticos. Destacando que “el compromiso de la dirección marca la diferencia al impulsar una cultura de ciberseguridad sólida y en constante evolución” dentro de las organizaciones.

Cuál es el eslabón más frágil que atacan los ciberdelincuentes en una empresa

Los ataques a empresas aprovechan no solo vulnerabilidades técnicas sino sobre todo errores cotidianos de los empleados, como abrir correos maliciosos, compartir contraseñas o ignorar alertas del sistema. La defensa más costosa y sofisticada puede verse derribada por acciones tan básicas como responder a un mensaje fraudulento.

Estudios recientes de Kaspersky revelaron que el 47% de las empresas en América Latina no capacita a su personal para identificar estafas digitales. La falta de entrenamiento posibilita que métodos como el phishing (en el que los delincuentes simulan comunicaciones legítimas para obtener información confidencial) sigan siendo el principal vector de ataque. El uso creciente de inteligencia artificial facilita campañas de engaño aún más creíbles y personalizadas.

Según investigaciones presentadas en el DBIR 2025, uno de cada tres ataques digitales comienza con el robo de cuentas empresariales. Los ciberdelincuentes se aprovechan de empleados desprevenidos, disfrazando mensajes o archivos con apariencia institucional para obtener credenciales y datos sensibles.

Muchas veces, se hacen pasar por responsables de Recursos Humanos o figuras de autoridad para ganar la confianza de sus víctimas.

Cuando la formación es insuficiente, las posibilidades de que un empleado entregue información privada, efectúe transferencias económicas o comparta accesos aumentan exponencialmente.

El estudio de Kaspersky alertó que casi la mitad de las empresas latinoamericanas descuida esta capa de defensa, manteniendo al personal como el eslabón más vulnerable en la cadena de seguridad.

Riesgos económicos y operacionales por falta de capacitación

El impacto de la inseguridad digital va más allá de las pérdidas de datos. El mal manejo de la protección informática puede paralizar las operaciones empresariales. El ingreso de un ransomware puede inutilizar la red entera, exigir pagos millonarios por liberar datos y ocasionar interrupciones prolongadas en los servicios.

Además, divulgar información delicada o enviarla a destinatarios equivocados genera sanciones regulatorias y erosiona la confianza de clientes y socios comerciales. La publicación accidental de documentos con datos personales o estratégicos puede tener efectos financieros y reputacionales de largo alcance. Cada hora fuera de línea representa pérdidas económicas significativas.

Expertos coinciden en que la ciberseguridad es, en esencia, un desafío cultural. Crear una cultura digital segura implica establecer políticas claras, fomentar el monitoreo continuo de comportamientos y apostar por la capacitación constante de todos los empleados, no solo del personal técnico. Los líderes deben impulsar un cambio de mentalidad donde cada integrante asuma su responsabilidad frente a la protección de la información corporativa.

La gestión del riesgo humano consiste en identificar, medir y reducir las amenazas relacionadas con las acciones y decisiones de los colaboradores, considerándolos no solo como una posible vulnerabilidad, también como el primer muro de defensa. Solo con personas formadas, conscientes y comprometidas, las empresas pueden reducir su exposición y proteger mejor su patrimonio digital.