Tiempo lectura: 11 minutos
Concienciación en ciberseguridad: cómo formar a empleados no técnicos sin aburrirlos
El problema de la formación en ciberseguridad casi nunca es el contenido. Es el formato: dos horas de diapositivas con jerga técnica que nadie entiende y que todo el mundo olvida antes de cerrar el portátil.
En 2025, el INCIBE gestionó 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior.¹ El phishing lideró los fraudes online con más de 25.000 casos. Y sin embargo, el 64% de los directivos españoles sigue creyendo que sus empleados carecen de conocimientos básicos para reconocer una amenaza.²
La mayoría de las empresas tiene un programa de formación en ciberseguridad. El problema es que ese programa suele ser un vídeo de cuarenta minutos, una presentación corporativa o un test anual que nadie recuerda haber hecho. No es que los empleados no quieran aprender. Es que el formato no funciona.
En este artículo explicamos por qué falla la formación en ciberseguridad para perfiles no técnicos y qué cambiar para que realmente funcione.
Cuando la formación en ciberseguridad falla, la causa más frecuente no es que el tema sea difícil. Es que la formación no está diseñada para el perfil que la recibe.
El 30% de los empleados cita el aburrimiento como la principal barrera para completar la formación de seguridad.³ Otro 22% dice que el contenido es demasiado técnico y que pierden el hilo rápidamente. Y eso tiene consecuencias directas: un empleado que no entiende la formación no cambia su comportamiento, aunque haya completado el módulo y firmado el acuse de recibo.
El error más común es diseñar la formación para el equipo de IT, no para el empleado que la recibe. Un responsable de producción, un comercial o una persona de atención al cliente no necesita saber qué es un ataque de fuerza bruta. Necesita saber reconocer un correo de phishing que simula venir de su banco, de RRHH o del proveedor de software que usa a diario.
La buena noticia: cuando la formación está bien diseñada, la reducción de riesgo es significativa. La formación continua en ciberseguridad puede reducir los incidentes causados por empleados en hasta un 72%.³
No se trata de convertir a todos en expertos en seguridad. Se trata de que cada persona reconozca las amenazas que puede encontrar en su día a día. Estas son las cuatro más frecuentes en entornos corporativos:
El phishing sigue siendo el vector de entrada más usado. Los empleados necesitan saber reconocer señales concretas: un remitente que no coincide exactamente con el dominio real, una urgencia artificial ("tu cuenta será bloqueada en 24 horas"), un enlace que lleva a una URL diferente a la que aparece en el texto.
La clave no es explicar el concepto en abstracto. Es mostrar ejemplos reales con el tipo de correos que circulan en ese sector específico.
Un atacante que llama haciéndose pasar por soporte técnico, un mensaje de WhatsApp de "el CEO" pidiendo una transferencia urgente, un SMS con un enlace de seguimiento de paquete. Estos ataques no requieren ningún conocimiento técnico para ser víctima de ellos, y tampoco para aprender a identificarlos.
Reutilizar contraseñas entre el correo personal y el corporativo. Usar contraseñas cortas y fáciles de adivinar. Compartir credenciales con compañeros "para facilitar el trabajo". Son comportamientos muy frecuentes y muy fáciles de corregir si la formación los muestra como situaciones reales, no como reglas abstractas.
Conectarse a la red wifi del hotel para revisar el correo corporativo. Usar el portátil personal para acceder a herramientas de trabajo. Dejar la sesión abierta en un ordenador compartido. Cada uno de estos comportamientos abre una puerta que la mejor política de seguridad no puede cerrar si el empleado no lo sabe.
Saber qué hay que enseñar es la mitad del trabajo. La otra mitad es cómo hacerlo. Estos son los principios que marcan la diferencia entre una formación que se completa y se olvida, y una que cambia comportamientos:
Módulos cortos en lugar de sesiones maratón. Una persona puede mantener la atención en un módulo de cinco a ocho minutos. No en uno de cuarenta. Dividir la formación en unidades pequeñas, cada una centrada en un único tipo de amenaza, mejora la retención y facilita la repetición periódica.
Escenarios del puesto de trabajo, no ejemplos genéricos. Un ataque de phishing que simula un correo de RRHH con un enlace para actualizar los datos bancarios conecta mucho más con la realidad de un empleado que un ejemplo genérico de "correo malicioso". Cuanto más reconocible sea el escenario, más probable es que el aprendizaje transfiera al comportamiento real.
Simulaciones con feedback inmediato. Las campañas de phishing simulado son eficaces precisamente porque el empleado recibe feedback en el momento exacto en que comete el error. No hay nada más didáctico que hacer clic en un enlace falso y recibir inmediatamente una explicación de por qué era una trampa y cómo reconocerla la próxima vez.
Formato vídeo para el contenido de referencia. La explicación de cada tipo de amenaza funciona mejor en vídeo que en texto. No porque el vídeo sea mejor per se, sino porque un módulo breve con un presentador que muestra ejemplos reales en pantalla es más fácil de consumir, más memorable y más fácil de distribuir a equipos distribuidos o con turnos rotativos. Las plataformas de formación con IA permiten actualizar ese contenido cuando cambian las amenazas sin volver a producir el vídeo completo, lo que resuelve uno de los principales problemas de la formación en ciberseguridad: que el contenido envejece rápido.
Tres indicadores prácticos para medir el impacto:
La Directiva NIS2 es la nueva normativa europea de ciberseguridad. España debía haberla transpuesto antes del 17 de octubre de 2024, incumplió el plazo, y el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025. La entrada en vigor definitiva se espera a lo largo de 2026, con inspecciones y procedimientos sancionadores activos desde ese mismo año.¹
No es futura ni lejana. Si tu empresa entra en su ámbito de aplicación, el reloj ya está corriendo.
| Categoría | Criterio de tamaño | Sectores incluidos |
|---|---|---|
| Entidades esenciales | Sin límite de tamaño | Energía, agua, transporte, salud, administración pública, defensa |
| Entidades importantes | +50 empleados o +10M€ facturación | Manufactura, servicios digitales, telecomunicaciones, proveedores TIC, gestión de residuos |
Si tu empresa es proveedora de una entidad esencial o importante, la obligación puede trasladarse a través de la cadena de suministro. El alcance real es más amplio que el texto literal de la directiva.
NIS2 no dice cuántas horas de formación hay que dar. Dice que las empresas deben implantar programas de concienciación y formación en ciberseguridad continuos y medibles para toda la plantilla. No esporádicos: continuos. No sin evidencia: con métricas de seguimiento.
Adicionalmente, NIS2 impone una obligación específica para el órgano de dirección: los consejeros, administradores y directores generales deben recibir formación en ciberseguridad y adquirir conocimientos suficientes para comprender los riesgos, evaluar las medidas de protección y tomar decisiones informadas. Esta obligación no es delegable al equipo de IT o al responsable de seguridad.
NIS2 introduce un marco sancionador específico para directivos. En caso de incidente grave o incumplimiento reiterado, las autoridades pueden:
El directivo que no haya garantizado la formación de su plantilla ni haya recibido él mismo la formación obligatoria ve agravada su responsabilidad personal en caso de incidente. NIS2 convierte la concienciación en ciberseguridad, que hasta ahora era una decisión de RRHH o IT, en una responsabilidad de consejo de administración.⁴
Firmar la política de seguridad no convierte a nadie en un empleado preparado para reconocer un ataque. La concienciación en ciberseguridad funciona cuando se trata como formación real: con módulos cortos, ejemplos relevantes, simulaciones periódicas y un formato que la gente pueda consumir.
El reto técnico de diseñar ese contenido ya no es el cuello de botella. Si quieres entender qué herramientas existen para producir y distribuir formación de este tipo a escala, puedes consultar nuestra guía de plataformas de formación corporativa con IA.
La formación anual no es suficiente: las amenazas evolucionan más rápido que los ciclos formativos. El 58% de las empresas en España realiza campañas de concienciación de forma trimestral.² Un modelo razonable para la mayoría de empresas combina un módulo de introducción al incorporarse, refuerzos trimestrales de cinco a diez minutos, y una simulación de phishing cada dos o tres meses.
La formación en ciberseguridad para perfiles técnicos cubre conceptos como arquitectura de red, gestión de vulnerabilidades o análisis forense. La concienciación para empleados no técnicos se centra en el comportamiento: reconocer amenazas, saber cómo reaccionar y entender por qué esas reacciones importan. Son objetivos distintos y requieren contenidos distintos.
Sí, para un número creciente de empresas. La Directiva NIS2, en proceso de transposición definitiva en España, obliga a las entidades esenciales e importantes (empresas de más de 50 empleados o 10 millones de euros de facturación en sectores como manufactura, logística, energía, salud o servicios digitales) a implantar programas de formación y concienciación en ciberseguridad continuos y con métricas de seguimiento. Las sanciones por incumplimiento llegan hasta 10 millones de euros para entidades esenciales. Más allá de NIS2, la AEPD recomienda formación periódica como parte del cumplimiento RGPD. Consulta con tu asesor legal para determinar en qué categoría entra tu organización.
Con NIS2, la responsabilidad de los directivos es personal y no delegable. El órgano de dirección (consejeros, administradores, directores generales) está obligado a recibir formación en ciberseguridad y a aprobar y supervisar las medidas de protección. Si se produce un incidente grave y se constata que la empresa no tenía un programa de formación activo o que los directivos no habían cumplido con sus obligaciones formativas, NIS2 permite a las autoridades competentes aplicar sanciones personales e incluso la inhabilitación temporal del cargo. No es una cuestión de IT: es una cuestión de gobierno corporativo.
No aplicar consecuencias negativas. La simulación es una herramienta de aprendizaje, no una auditoría. El momento de mayor impacto formativo es justo después del error: el empleado debe recibir inmediatamente una explicación de qué señales debería haber visto y cómo reaccionar si vuelve a ocurrir. Las plataformas que integran este feedback en tiempo real tienen tasas de retención significativamente más altas que los programas que solo miden clics.
¹ Incibe detectó más de 122.000 incidentes de ciberseguridad en 2025 - INCIBE ² Seguridad: ¿Qué formación tienen los empleados españoles? - Computing.es ³ Security Awareness Training Statistics 2026 - Keepnet Labs
⁴ NIS2: los CEOs españoles podrían enfrentarse a multas de hasta 10 millones de euros - Silicon.es
