AltoDirectivo

¿Por qué entre el 80% y el 95% de los incidentes en ciberseguridad son atribuibles al comportamiento humano si el cumplimiento normativo nos lleva a invertir en formación y concienciación en nuestras organizaciones? ¿Qué falla cuando la tecnología avanza a un ritmo vertiginoso y las personas no lo hacen al mismo ritmo? En un escenario de amenazas cada vez más sofisticadas, la respuesta apunta a la forma en la que las personas perciben el riesgo, procesan la información y toman decisiones en entornos digitales saturados.

Esta reflexión sobre la importancia del factor humano en la ciberseguridad fue el punto de partida del 'Next-Gen Cyber Security Culture Summit 2026', celebrado los pasados 20 y 21 de febrero en Granada por ISMS Forum y TIER8, una compañía española con la única solución inmersiva de ciberseguridad pionera en el uso de la neurociencia para hacer frente a la ingeniería social y guerra cognitiva. Dicho encuentro reunió a los máximos responsables de culturas de ciberseguridad de gran empresa, para, en un formato práctico e interactivo, debatir colaborativamente y por grupos de trabajo, soluciones que pongan el foco en las personas. Así lo señaló Natalia Jiménez, cofundadora y socia de TIER8, quien advirtió en la inauguración que "informar y formar no es suficiente, hemos tocado techo, y lo vemos diariamente en los incidentes derivados del comportamiento humano que siguen produciéndose mientras las amenazas se hacen más sofisticadas".

Durante la jornada del 20, los asistentes trabajaron en nuevas formas de impactar en la cultura de ciberseguridad en la empresa, en las razones que desencadenan incidentes frente a la ingeniería social, y en descubrir otros controles no tecnológicos que podamos implementar para reducir el riesgo.

Guerra Cognitiva y manipulación de personas

Una de las nuevas amenazas abordadas durante el evento fue la de las guerras cognitivas, un concepto que centró la intervención de Daniel Iriarte, periodista especializado en seguridad global y autor del libro Guerras Cognitivas. En su análisis, Iriarte explicó que "la guerra cognitiva consiste en un bombardeo constante, a través de múltiples vectores y mensajes, cuyo objetivo es reprogramar a las audiencias para que actúen como desea el agresor, en este caso el ciberdelincuente", y alertó sobre su impacto directo en la forma en la que las personas piensan y toman decisiones.

Aunque la desinformación y la manipulación han existido siempre, para Iriarte la gran diferencia de las guerras cognitivas reside en los nuevos ecosistemas digitales. "Con una fracción del dinero y del tiempo que antes eran necesarios, se puede influir en muchísima más gente", advirtió, subrayando el papel central de las redes sociales "cuyos algoritmos priorizan la interacción y el engagement".

En este contexto, Daniel Iriarte citó campañas impulsadas por Estados y grupos ciberterroristas, capaces de amplificar narrativas de forma masiva y persistente. También señaló como uno de los rasgos distintivos de la guerra cognitiva que las propias personas afectadas acaban reproduciendo el mensaje del agresor. "Es un fenómeno similar a una epidemia: los infectados infectan a otros", explicó. Y a diferencia de la persuasión legítima, "en este ámbito todo vale, desde la manipulación hasta la desinformación sistemática".

Además, Iriarte alertó de la creciente profesionalización de estas prácticas, impulsada por su rentabilidad económica. "Por unos pocos miles de euros se pueden contratar perfiles en redes sociales que se dediquen a publicar mensajes contra un rival" y recordó que "estos procesos siempre incorporan un componente cognitivo y de explotación de sesgos que condiciona la toma de decisiones de las personas".

Aviación y ciberseguridad: cuando fallar no es una opción

Tras el análisis de las guerras cognitivas, el foco del encuentro de TIER8 e ISMS Forum se desplazó hacia otro ámbito donde la gestión del riesgo forma parte del ADN: la aviación. En su intervención, Carmen Arango, comandante en Vueling Airlines, explicó que este sector, al igual que la ciberseguridad, ha construido históricamente su cultura en torno a la minimización del riesgo. "Somos responsables de la carga, del pasaje, del avión y de nuestra propia vida, con una responsabilidad personal y penal muy clara", señaló.

Y aunque los avances tecnológicos han transformado profundamente el trabajo de los pilotos -así como la ciberseguridad-, Arango recordó que la mitigación de riesgos en ambos campos no descansa únicamente en los sistemas, sino en una combinación de procedimientos, entrenamiento y responsabilidad humana, pues la tecnología puede fallar. "Y es en ese punto en el que el ser humano actúa como última barrera de seguridad, aunque al mismo tiempo constituye el eslabón más vulnerable de la cadena", añadió.

Por último, la comandante compartió el modelo de "queso suizo" para ilustrar que un accidente nunca responde a una única causa, sino a la acumulación de fallos que atraviesan distintas barreras. "Lo fácil es señalar al piloto por introducir un dato incorrecto en el ordenador de vuelo o, en ciberseguridad, al empleado que hace clic donde no debe, pero la clave está en reforzar los procesos para que el error, junto a los errores que le siguen, no lleguen a convertirse en un incidente", sentenció.

La cultura corporativa como primera línea de defensa

De la mano de Marta Romo, socia fundadora y CEO de BeUp y una de las principales referentes en España sobre neurociencia aplicada al bienestar organizacional, el encuentro también abordó cómo la cultura organizativa y los valores corporativos condicionan los comportamientos relacionados con la ciberseguridad. De esta forma, Romo subrayó la importancia de abordar los valores corporativos desde una perspectiva preventiva y no reactiva. "Habitualmente las organizaciones revisan sus valores tras una crisis, cuando ya es demasiado tarde", explicó.

Esta misma situación se debe aplicar con la ciberseguridad, pues según la CEO de BeUp, "aunque hace quince años no se consideraba un valor crítico para la supervivencia de las organizaciones, hoy es un elemento central". En este contexto, advirtió que cuando la cultura y los valores no evolucionan al mismo ritmo que el entorno digital, emergen comportamientos desalineados con la estrategia y con las exigencias actuales. "Es necesario analizar si los valores de nuestras empresas realmente apoyan lo que queremos conseguir en ciberseguridad o, por el contrario, lo están saboteando", señaló.

Durante la jornada del 21, tuvo lugar la presentación de un nuevo marco de trabajo único a nivel internacional llamado TIER8 Framework, para la descomposición de incidentes atribuibles al comportamiento humano. Sergio Jiménez, cofundador y CEO de la organización, dirigió una nueva sesión de trabajo donde los asistentes trabajaron en entender cómo el contexto, las motivaciones y los sesgos cognitivos, son clave para entender los incidentes atribuibles al comportamiento humano.

Para ello, el taller comenzó con una nueva intervención de Marta Romo, que cerró el debate volviendo al origen del riesgo humano en ciberseguridad: por qué actuamos como actuamos. Según explicó, "muchas decisiones no dependen tanto de la inteligencia, la competencia o la formación, sino de los mecanismos cerebrales que se activan en determinados contextos. Influyen variables como la presión o las prisas, que activan o desactivan el pensamiento profundo y nos llevan a respuestas más automáticas". La CEO de BeUp advirtió, además, de que la hiperconexión constante y la sobreestimulación informativa generan una paradoja especialmente relevante para la ciberseguridad, pues "con tanta información acabamos desconectados de nosotros mismos". Esto provoca incoherencias entre lo que sabemos que debemos hacer, y lo que finalmente hacemos ante un riesgo digital.

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

Alto Directivo