Concienciación en ciberseguridad: cómo formar a empleados no técnicos sin aburrirlos

 

El problema de la formación en ciberseguridad casi nunca es el contenido. Es el formato: dos horas de diapositivas con jerga técnica que nadie entiende y que todo el mundo olvida antes de cerrar el portátil.

En 2025, el INCIBE gestionó 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior.¹ El phishing lideró los fraudes online con más de 25.000 casos. Y sin embargo, el 64% de los directivos españoles sigue creyendo que sus empleados carecen de conocimientos básicos para reconocer una amenaza.²

La mayoría de las empresas tiene un programa de formación en ciberseguridad. El problema es que ese programa suele ser un vídeo de cuarenta minutos, una presentación corporativa o un test anual que nadie recuerda haber hecho. No es que los empleados no quieran aprender. Es que el formato no funciona.

En este artículo explicamos por qué falla la formación en ciberseguridad para perfiles no técnicos y qué cambiar para que realmente funcione.  

El formato es el problema, no el contenido

Cuando la formación en ciberseguridad falla, la causa más frecuente no es que el tema sea difícil. Es que la formación no está diseñada para el perfil que la recibe.

El 30% de los empleados cita el aburrimiento como la principal barrera para completar la formación de seguridad.³ Otro 22% dice que el contenido es demasiado técnico y que pierden el hilo rápidamente. Y eso tiene consecuencias directas: un empleado que no entiende la formación no cambia su comportamiento, aunque haya completado el módulo y firmado el acuse de recibo.

El error más común es diseñar la formación para el equipo de IT, no para el empleado que la recibe. Un responsable de producción, un comercial o una persona de atención al cliente no necesita saber qué es un ataque de fuerza bruta. Necesita saber reconocer un correo de phishing que simula venir de su banco, de RRHH o del proveedor de software que usa a diario.

La buena noticia: cuando la formación está bien diseñada, la reducción de riesgo es significativa. La formación continua en ciberseguridad puede reducir los incidentes causados por empleados en hasta un 72%.³  

Qué debe saber un empleado no técnico (y cómo explicárselo)

No se trata de convertir a todos en expertos en seguridad. Se trata de que cada persona reconozca las amenazas que puede encontrar en su día a día. Estas son las cuatro más frecuentes en entornos corporativos:  

Phishing y correos maliciosos

El phishing sigue siendo el vector de entrada más usado. Los empleados necesitan saber reconocer señales concretas: un remitente que no coincide exactamente con el dominio real, una urgencia artificial ("tu cuenta será bloqueada en 24 horas"), un enlace que lleva a una URL diferente a la que aparece en el texto.

La clave no es explicar el concepto en abstracto. Es mostrar ejemplos reales con el tipo de correos que circulan en ese sector específico.  

Ingeniería social: llamadas, mensajes y suplantación

Un atacante que llama haciéndose pasar por soporte técnico, un mensaje de WhatsApp de "el CEO" pidiendo una transferencia urgente, un SMS con un enlace de seguimiento de paquete. Estos ataques no requieren ningún conocimiento técnico para ser víctima de ellos, y tampoco para aprender a identificarlos.  

Contraseñas y gestión de accesos

Reutilizar contraseñas entre el correo personal y el corporativo. Usar contraseñas cortas y fáciles de adivinar. Compartir credenciales con compañeros "para facilitar el trabajo". Son comportamientos muy frecuentes y muy fáciles de corregir si la formación los muestra como situaciones reales, no como reglas abstractas.  

Dispositivos personales y redes no seguras

Conectarse a la red wifi del hotel para revisar el correo corporativo. Usar el portátil personal para acceder a herramientas de trabajo. Dejar la sesión abierta en un ordenador compartido. Cada uno de estos comportamientos abre una puerta que la mejor política de seguridad no puede cerrar si el empleado no lo sabe.  

Cómo estructurar la formación para que funcione

Saber qué hay que enseñar es la mitad del trabajo. La otra mitad es cómo hacerlo. Estos son los principios que marcan la diferencia entre una formación que se completa y se olvida, y una que cambia comportamientos:

Módulos cortos en lugar de sesiones maratón. Una persona puede mantener la atención en un módulo de cinco a ocho minutos. No en uno de cuarenta. Dividir la formación en unidades pequeñas, cada una centrada en un único tipo de amenaza, mejora la retención y facilita la repetición periódica.

Escenarios del puesto de trabajo, no ejemplos genéricos. Un ataque de phishing que simula un correo de RRHH con un enlace para actualizar los datos bancarios conecta mucho más con la realidad de un empleado que un ejemplo genérico de "correo malicioso". Cuanto más reconocible sea el escenario, más probable es que el aprendizaje transfiera al comportamiento real.

Simulaciones con feedback inmediato. Las campañas de phishing simulado son eficaces precisamente porque el empleado recibe feedback en el momento exacto en que comete el error. No hay nada más didáctico que hacer clic en un enlace falso y recibir inmediatamente una explicación de por qué era una trampa y cómo reconocerla la próxima vez.

Formato vídeo para el contenido de referencia. La explicación de cada tipo de amenaza funciona mejor en vídeo que en texto. No porque el vídeo sea mejor per se, sino porque un módulo breve con un presentador que muestra ejemplos reales en pantalla es más fácil de consumir, más memorable y más fácil de distribuir a equipos distribuidos o con turnos rotativos. Las plataformas de formación con IA permiten actualizar ese contenido cuando cambian las amenazas sin volver a producir el vídeo completo, lo que resuelve uno de los principales problemas de la formación en ciberseguridad: que el contenido envejece rápido.  

Cómo saber si la formación está funcionando

Tres indicadores prácticos para medir el impacto:

• Tasa de clics en simulaciones de phishing antes y después de la formación. Si el porcentaje de empleados que hace clic en un enlace simulado baja entre campañas, la formación está funcionando.
• Incidentes reportados por empleados. Una formación eficaz no solo reduce los errores: también aumenta los reportes. Si los empleados empiezan a notificar correos sospechosos, es señal de que el programa está cambiando el comportamiento.
• Tasa de finalización real, no de "completado en sistema". Un módulo marcado como completado en treinta segundos es una señal de que el formato no está funcionando.  

Conclusión: la ciberseguridad es una habilidad, no una política

Firmar la política de seguridad no convierte a nadie en un empleado preparado para reconocer un ataque. La concienciación en ciberseguridad funciona cuando se trata como formación real: con módulos cortos, ejemplos relevantes, simulaciones periódicas y un formato que la gente pueda consumir.

El reto técnico de diseñar ese contenido ya no es el cuello de botella. Si quieres entender qué herramientas existen para producir y distribuir formación de este tipo a escala, puedes consultar nuestra guía de plataformas de formación corporativa con IA.  

Preguntas frecuentes

 

¿Con qué frecuencia deben recibir formación en ciberseguridad los empleados no técnicos?

La formación anual no es suficiente: las amenazas evolucionan más rápido que los ciclos formativos. El 58% de las empresas en España realiza campañas de concienciación de forma trimestral.² Un modelo razonable para la mayoría de empresas combina un módulo de introducción al incorporarse, refuerzos trimestrales de cinco a diez minutos, y una simulación de phishing cada dos o tres meses.  

¿Qué diferencia hay entre formación en ciberseguridad y concienciación en ciberseguridad?

La formación en ciberseguridad para perfiles técnicos cubre conceptos como arquitectura de red, gestión de vulnerabilidades o análisis forense. La concienciación para empleados no técnicos se centra en el comportamiento: reconocer amenazas, saber cómo reaccionar y entender por qué esas reacciones importan. Son objetivos distintos y requieren contenidos distintos.  

¿Es obligatoria la formación en ciberseguridad en España?

Depende del sector y del tamaño de la empresa. La Directiva NIS2, transpuesta en España, obliga a los operadores esenciales e importantes a adoptar medidas de gestión del riesgo que incluyen la formación del personal. Más allá de las obligaciones legales específicas, la Agencia Española de Protección de Datos (AEPD) recomienda la formación periódica en ciberseguridad como parte de las medidas de cumplimiento del RGPD. Consulta con tu asesor legal para conocer las obligaciones concretas de tu organización.  

¿Qué hacer cuando un empleado cae en una trampa de phishing simulada?

No aplicar consecuencias negativas. La simulación es una herramienta de aprendizaje, no una auditoría. El momento de mayor impacto formativo es justo después del error: el empleado debe recibir inmediatamente una explicación de qué señales debería haber visto y cómo reaccionar si vuelve a ocurrir. Las plataformas que integran este feedback en tiempo real tienen tasas de retención significativamente más altas que los programas que solo miden clics.

---

 

Fuentes

¹ Incibe detectó más de 122.000 incidentes de ciberseguridad en 2025 - INCIBE ² Seguridad: ¿Qué formación tienen los empleados españoles? - Computing.es ³ Security Awareness Training Statistics 2026 - Keepnet Labs