🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

La guía definitiva para security awareness para 2026

Acerca de NIS2

Esta es una guía de formación en concienciación sobre seguridad MUY detallada para 2026.

En este nuevo artículo aprenderá sobre:

  • La importancia de security awareness
  • Los diferentes tipos de formación security awareness
  • Las mejores formas de conseguir que su organización participe
  • Cómo forman a sus empleados conocidas marcas holandesas

Entremos de lleno.

¿Qué es la formación security awareness ?

Security awareness es la formación que prepara al personal para reconocer y evitar las ciberamenazas que pueden encontrar en el trabajo o en su vida personal. Un buen programa de formación en seguridad sensibiliza sobre temas como phishing, el software malicioso (malware), la ingeniería social y otros peligros del mundo digital.

Security awareness La formación puede abarcar políticas o marcos normativos específicos, como la HIPAA, o puede ser más general. La formación puede adoptar muchas formas, desde una clase anual de actualización hasta un aprendizaje continuo impartido de forma regular.

¿Por qué es tan importante la formación en security awareness ?

Hasta el 95% de los hackeos y filtraciones de datos se deben a errores humanos. Desde hacer clic en un enlace de phishing hasta utilizar contraseñas débiles: los errores cometidos por seres humanos suelen estar en el inicio de la ciberdelincuencia. Por eso es tan importante formar a sus empleados para que aprendan a reconocer y denunciar las ciberamenazas.

La importancia de la formación en security awareness es un tema candente desde hace años. No todos los profesionales de la seguridad la consideran necesaria, ya que creen que no se puede descartar el error humano. Creen en las medidas tecnológicas para garantizar la seguridad incluso cuando se producen errores humanos.

En Guardey, creemos en una combinación de ambas. Si bien es cierto que la formación no puede garantizar la seguridad, entendemos que la tecnología tampoco. No hay filtro de spam en el mundo que garantice que atrapará todos los correos phishing . Para el uno por ciento de phishing que consigue atravesar sus defensas tecnológicas, usted quiere que sus empleados sean conscientes de los peligros de phishing.

Hay muchas ciberamenazas que no pueden prevenirse con tecnología. Piense en la ingeniería social de la vida real, en la que una persona entra en la oficina y convence a la recepción de que es un contratista que necesita acceder a los servidores. Situaciones como ésta sólo pueden prevenirse cuando todo el mundo dentro de tu organización tiene un alto sentido de security awareness.

Introducción a las ciberamenazas más comunes

Phishingvishing, smishing y quishing

Phishing es el uso de mensajes de correo electrónico para atacar a un objetivo. Los correos electrónicos Phishing simulan proceder de alguien en quien el objetivo normalmente confiaría, como un cliente o un colega, o de una entidad de confianza, como un banco o un minorista en línea. A veces, el objetivo de un correo electrónico phishing es engañar al destinatario para que descargue malware. Sin embargo, por lo general, el objetivo es obtener información confidencial, como las credenciales de acceso a un servicio bancario en línea o datos de identificación personal, como el número de la seguridad social.

Gráfico que muestra el crecimiento de los ataques a phishing a lo largo de los años.

El vishing es un ataque similar que utiliza llamadas de voz y videollamadas, mientras que el smishing utiliza SMS y mensajes de texto. El spear phishing es un ataque dirigido a una persona específica, como un ejecutivo de alto nivel o alguien con acceso a TI. En estos casos, el hacker suele utilizar ingeniería social para que la víctima crea que el mensaje es auténtico. El quishing se refiere al uso de códigos QR que engañan a las víctimas para que visiten sitios web maliciosos o transfieran dinero directamente a los delincuentes.

Malware

El malware es software malicioso que difunden los ciberdelincuentes. Puede infectar ordenadores individuales y otros dispositivos, o redes enteras. Existen muchos tipos de malware. He aquí algunos ejemplos:

Virus

Los virus son programas autorreplicantes diseñados para causar daños en un sistema, borrando datos o introduciendo nuevas vulnerabilidades que puedan ser explotadas.

Caballos de Troya

Los troyanos son programas que se disfrazan de software legítimo pero causan daños en un sistema. Los troyanos suelen esconderse sin ser detectados en los sistemas informáticos durante un largo periodo de tiempo, robando información y enviándola a los ciberdelincuentes. Un tipo común de troyano es el keylogger. Registra todas las pulsaciones de teclas introducidas en un ordenador infectado, revelando potencialmente contraseñas y otra información sensible. Esta información puede utilizarse para cometer otros delitos, como el robo de datos y la usurpación de identidad.

ransomware

Otro tipo común de malware es el ransomware. El ransomware es un programa malicioso diseñado para obtener un rescate de la víctima. Normalmente, el ransomware encripta todos los archivos de un sistema informático o de una red y luego solicita un rescate a la víctima a cambio de los medios para desencriptarlos.

Los rescates exigidos suelen ser muy elevados, a veces mucho más de lo que la víctima puede llegar a pagar. Incluso si se paga el rescate, no hay garantía de que el atacante proporcione las claves de descifrado. En muchos casos, los archivos cifrados se pierden para siempre. En los últimos años, se han producido muchos ataques de ransomware de gran repercusión, como el de 2023 contra el Servicio Nacional de Salud del Reino Unido.

El ransomware está en alza a escala internacional, y la cuantía de los pagos de rescate va en aumento.

Pagos de rescates por trimestre

Sitios web maliciosos

Los sitios web maliciosos, también conocidos como sitios de ataque, son sitios web que alojan código malicioso con la intención de engañar a los usuarios para que lo descarguen en sus dispositivos. En algunos casos, los sitios de ataque se crean con este fin específico. En otros, los ciberdelincuentes secuestran un sitio legítimo e insertan en él código malicioso. Algunos sitios, denominados sitios de ataque drive-by, ni siquiera requieren que la víctima haga clic en un enlace de descarga o interactúe de alguna manera: basta con visitar el sitio para infectar un sistema que no está protegido correctamente.

Los sitios web maliciosos también pueden imitar a los de confianza para engañar a los usuarios y hacerles introducir sus credenciales de inicio de sesión, lo que permite a los delincuentes acceder a las cuentas de las víctimas.

Ataques USB

Los soportes extraíbles, como las unidades USB, pueden utilizarse fácilmente como vector de código malicioso. En algunos casos, un delincuente puede obtener acceso físico a los dispositivos de una organización; lo más habitual es que los atacantes dejen memorias USB infectadas donde puedan encontrarlas miembros involuntarios del personal.

Es trivial para un atacante adquirir una unidad USB adornada con el logotipo de la organización objetivo, o de otra entidad de confianza como un cliente o proveedor habitual, y dejarla cerca de las instalaciones donde será recogida. Confían en que los miembros curiosos o serviciales del personal conecten la unidad USB a uno de los ordenadores de la red de la organización para comprobar su contenido. Una vez conectada, la unidad infectada puede depositar su carga de malware.

Hay que tener en cuenta que cualquier dispositivo capaz de almacenar datos puede utilizarse para este tipo de ataques, incluidos los reproductores MP3, las cámaras digitales y los smartphones. Un ejemplo reciente es Sogu, una campaña de ciberespionaje asistida por USB que se dirige a múltiples industrias.

Todos estos ataques pueden ser devastadores para una organización. Se pueden minimizar las probabilidades de sufrir un ataque de este tipo con una formación adecuada en security awareness para empleados y propietarios de empresas. Cuando el personal de una organización es consciente de los riesgos y de cómo evitarlos, pasa de ser un punto de fallo a un cortafuegos humano.

Y la lista continúa

Las ciberamenazas mencionadas anteriormente son algunas de las más frecuentes, pero los ciberdelincuentes disponen de muchos métodos para robar datos valiosos. A medida que pasa el tiempo, sus métodos mejoran y son más difíciles de detectar para el ojo inexperto. Especialmente con el aumento de la IA, los diferentes tipos de ciberamenazas parecen ilimitados.

Los diferentes tipos de formación security awareness

Existen múltiples formas de formar a sus empleados. A continuación, repasaremos algunas de las más utilizadas.

Cursos anuales

Muchas organizaciones siguen confiando en los cursos de formación anuales para preparar a su personal a hacer frente a las ciberamenazas. La formación anual de los empleados en security awareness presenta dos problemas principales. En primer lugar, el panorama de las amenazas digitales cambia constantemente. Todo el tiempo surgen nuevas amenazas, no sólo una vez al año, por lo que la formación anual queda rápidamente desfasada.

Visualización de la curva de olvido

En segundo lugar, la gente no retiene la información durante un año entero. Incluso el alumno más atento no recordará todo lo que ha aprendido durante más de unos meses. Este deterioro del conocimiento significa que los conocimientos del personal serán inevitablemente menos completos con el tiempo, lo que les hará menos eficaces a la hora de evitar riesgos.

Formación presencial

La formación presencial tiene algunas ventajas sobre otros métodos de enseñanza. Crea un entorno libre de distracciones en el que los alumnos pueden centrarse en los temas específicos que necesitan comprender e interiorizar. Sin embargo, la formación en el aula tiene importantes desventajas. Hay que apartar a los alumnos de otras actividades, lo que les obliga a retrasarse en sus tareas o a renunciar a su tiempo libre.

Formación presencial

La formación en el aula también impone a los alumnos un modelo único, que hace que algunos se sientan aburridos o poco motivados y que otros se sientan confusos ante los nuevos temas.

e-learning tradicional

El e-learning tradicional intenta reproducir el aprendizaje presencial en un entorno remoto. Las clases se imparten a través de una plataforma como Canvas o Moodle, utilizando diapositivas y otros medios. Suele haber conferencias, pregrabadas o impartidas en directo por un instructor. Aunque el e-learning tradicional es más flexible y escalable que el aprendizaje presencial, tiene algunos de los mismos inconvenientes. El aprendizaje tiende a ser pasivo, con una interactividad limitada y una participación o retención por debajo de la media.

Formación gamificada

La formación gamificada de security awareness que ofrecen proveedores como Guardey es una solución moderna. Es similar al enfoque adoptado por aplicaciones de aprendizaje de idiomas como Duolingo. En lugar de recibir una gran cantidad de información una vez al año, o clases discretas con una interacción limitada, los alumnos reciben un flujo constante de formaciones breves y fáciles de digerir.

Ejemplo de reto de concienciación de Guardey phishing

Con Guardey, los usuarios reciben un reto semanal que tardan unos 3 minutos en completar. Durante un reto, aprenden sobre ciberamenazas como phishing, malware, contraseñas débiles e IA. Si lo hacen bien, pueden sumar puntos para la clasificación de la organización. La competición amistosa entre colegas ha demostrado mantener el interés de los usuarios.

Al gamificar la experiencia de aprendizaje, los usuarios se sienten intrínsecamente motivados para seguir jugando. Ya sea para llegar al primer puesto de la clasificación, continuar con su buena racha de semanas consecutivas jugando o simplemente para mejorar su propia puntuación.

Cómo conseguir que su organización se comprometa con la formación security awareness

Ha decidido que el aprendizaje gamificado es la solución ideal para las necesidades de formación en seguridad de su organización. Ha encontrado algunos productos excelentes que cumplen todos sus requisitos. Ahora viene la parte difícil: convencer a su organización para que adopte una nueva solución de formación.

La gente puede ser reacia a dar el paso hacia la formación en seguridad gamificada por varias razones. Tendrán que responder a muchas preguntas. ¿Qué es security awareness? ¿En qué beneficia a la organización? Las personas que ya han soportado una clase anual de ciberseguridad pueden pensar que no tienen nada que ganar con la formación continua. Los directivos y ejecutivos pueden creer que su personal es demasiado listo para dejarse engañar por un correo electrónico de phishing o un misterioso pendrive en el aparcamiento. He aquí algunas ideas que pueden ayudar a persuadir a la gente y conseguir que se suban a bordo.

Organice una semana security awareness : un evento divertido y atractivo en security awareness puede ayudar a que la gente se entusiasme con la ciberseguridad y tenga ganas de saber más.

Realice una simulación de spear phishing: una simulación realista de spear phishing dirigida a personas clave puede ayudar a demostrar que cualquier miembro de su organización podría ser vulnerable.

Contrate a un orador invitado: Un orador experto puede ayudar a que la gente se acerque a tu punto de vista de forma más eficaz que la información abstracta. Puede ser una víctima de la ciberdelincuencia, un experto en seguridad o incluso un hacker ético de "sombrero blanco".

Cómo forman las organizaciones neerlandesas security awareness

He aquí algunos ejemplos de organizaciones neerlandesas que han implantado con éxito la formación security awareness para sus empleados.

EyeOn

El equipo de Eyeon

EyeOn es un especialista en previsión y planificación que ayuda a las empresas internacionales a gestionar los retos de la cadena de suministro. EyeOn es responsable de gran parte de los datos de sus empresas clientes, que deben tratarse de forma segura. Adoptaron una solución de formación en ciberseguridad gamificada para asegurarse de que su personal estaba a la altura del reto y para alinear su seguridad con los requisitos de la certificación ISO27001.

Introdujeron el nuevo programa de formación entre los empleados con lo que llamaron una semana security awareness . "Empezábamos cada día con una entrevista de 15 minutos y la llamábamos la puesta al día de la seguridad. Cada día tenía un tema específico. El primero se llamaba 'del escritorio al destino'. Se trataba de las medidas de seguridad durante los viajes, como el uso de una pantalla de seguridad, el almacenamiento seguro del portátil, etc. Otro tema se refería a los datos confidenciales. Otro tema trataba de los datos confidenciales, que es lo que llamamos "cómo no meterse en problemas con la SEC".

Priore

El edificio de oficinas de Priore

Priore ofrece servicios de contabilidad y asesoramiento fiscal. Al ser responsables de la información financiera confidencial de sus clientes, la ciberseguridad es vital para ellos. Priore quería mantener un alto nivel de security awareness entre su personal en todo momento. Por eso cambiaron de un curso anual de ciberseguridad a una solución que ofrecía un aprendizaje continuo: Guardey.

"El 80% de la organización empezó inmediatamente a participar activamente tras el primer correo electrónico introductorio. Al cabo de uno o dos meses, todos, salvo una o dos personas, utilizaban Guardey todas las semanas. Todo esto se debió a la motivación intrínseca y a la comprensión de la importancia de security awareness. No hay incentivos como un premio mensual o algo así, así que aún podemos intentarlo si la participación disminuye."

Konot

KONOT

KONOT es una fundación educativa que proporciona educación a través de 22 escuelas primarias holandesas. La organización necesitaba una solución de formación en security awareness que se adaptara al GDPR. Tras haber sido objeto de varios ciberataques fallidos, KONOT necesitaba un producto de formación que mantuviera a su personal informado y alerta en todo momento. Adoptaron Guardey para ofrecer formación continua y evaluación para garantizar la coherencia security awareness.

KONOT acaba de poner en marcha Guardey, y ya están llegando los primeros comentarios de los usuarios. "Los primeros comentarios que hemos recibido son entusiastas. Guardey les ha hecho realmente competitivos, lo cual es una buena señal", dice Martijn. "Es muy accesible, lo cual es de agradecer. Unos pocos estaban menos entusiasmados con el concepto de concienciación sobre la formación antes de que empezáramos, pero pronto haremos una evaluación con ellos." Frieda continúa: "No soy nada jugadora, pero también me di cuenta de que seguía aceptando nuevos retos. Es muy fácil superar las preguntas".

Vinos Delta

Delta Wines es un mayorista de vino. Cuando su proveedor de seguros hizo hincapié en la importancia de la formación en security awareness y en la próxima directiva NIS2, el director general de Delta Wines pasó a la acción. Para que todo el mundo se implicara, se realizó un simulacro en phishing que sirvió de valiosa llamada de atención a muchas personas. Después de que muchos empleados se dejaran engañar por el convincente correo electrónico, se mostraron muy receptivos a recibir formación adicional.

"Estamos recibiendo muchos comentarios positivos. Muchos empleados empiezan a jugar al nuevo reto semanal en cuanto reciben el correo electrónico que les informa de que ya está listo. Algunos se decepcionan mucho cuando se equivocan en alguna pregunta. Ha iniciado múltiples debates internos sobre seguridad, lo cual es estupendo".

Gezamenlijke Brandweer Amsterdam

Gezamenlijke Brandweer Amsterdam (Cuerpo de Bomberos Unidos de Ámsterdam) es un importante cuerpo de bomberos, encargado de la respuesta a incidentes en una zona industrial de Ámsterdam. Si un cuerpo de bomberos es víctima de un ciberataque, los resultados pueden ser catastróficos. El departamento también necesitaba cumplir los requisitos de NIS2. Raymond Pikee, jefe del equipo, quería una solución de formación recurrente que fuera divertida y atractiva.

En la tabla de clasificación, los bomberos pueden ver lo bien que lo están haciendo en comparación con sus colegas, lo que fomenta la competencia interna. "Somos un grupo competitivo, así que es un buen toque. Estos elementos de gamificación hacen que sea divertido jugar a Guardey, lo que también nos ayuda a recordar la información."

Cómo empezar a aplicar la formación security awareness

Ahora que ya conoce los conceptos básicos de la formación en security awareness , puede empezar a buscar el proveedor de formación que mejor se adapte a sus deseos.

En Guardey, ofrecemos formación gamificada en security awareness que se centra en mantener el interés de los usuarios durante largos periodos de tiempo. Mediante el uso de una tabla de clasificación, logros, rachas y otros elementos de gamificación, los usuarios obtienen una sensación de competencia amistosa que aumenta la participación.

Prueba gratuita de 14 días

Pruebe gratis la plataforma de formación gamificada security awareness de Guardey.

Iniciar prueba gratuita
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada