>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-26-La importancia crítica del factor humano en cibers 44c3b23650a6839b87b901356c0dbaa4.md
Última modificación: 26-10-2025
Etiquetas: #CCN-CERT25

La importancia crítica del factor humano en ciberseguridad: ¿Por qué el 82 % de los incidentes empiezan con un error?

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/isabel-sanchez

Contexto general

La charla analiza cómo el factor humano sigue siendo el eslabón más débil en ciberseguridad, especialmente con la llegada de la IA generativa que está industrializando los ataques de ingeniería social. Básicamente, por mucha tecnología que tengamos, si la gente no está bien formada, seguimos jodidos. La ponente usa datos de informes recientes (Cloud Strike, FBI, ENISA) para demostrar que el 82% de los incidentes tienen origen humano y cómo la IA está acelerando esto de forma brutal.

Conceptos clave

Técnicas de ingeniería social más usadas (2025):

  • Phishing → sigue mandando con un 40% de los casos
  • Vishing → llamadas de voz falsas, 30% de incidencia
  • Falsos CAPTCHA → verificaciones fake incrustadas en sitios legítimos
  • BEC (Business Email Compromise) → compromiso de cuentas de correo corporativo o de proveedores
    • El FBI lo considera el mayor peligro económico: pérdidas de 16.6 mil millones de dólares solo en 2024

Tres tipos de errores humanos:

  1. Técnicos: contraseñas débiles o reutilizadas, MFA mal configurado o ausente, Shadow IT (apps no autorizadas), configuraciones inseguras por defecto
  2. De procedimiento: falta de verificación en procesos críticos, saltarse políticas de seguridad, compartir info sensible de forma inadecuada, retrasar actualizaciones
  3. De concienciación pura: baja percepción del riesgo, exceso de confianza, desconocimiento de amenazas actuales, fatiga ante alertas constantes

Casos reales mencionados:

  • Museo del Louvre → contraseña de videovigilancia era literalmente "louvre"
  • Real Sociedad → +40.000 afectados, incluidos datos bancarios
  • Air Europa → brecha con datos de tarjetas completos (CVV incluido)
  • Universidad de Baleares → credenciales institucionales comprometidas
  • Arup Hong Kong → 25 millones de dólares robados usando deepfakes del CFO y otros ejecutivos en videollamada

Desarrollo técnico

La evolución del phishing es brutal. Hemos pasado de emails cutres con faltas de ortografía en los 2000 a phishing hiperpersonalizado gracias a OSINT (investigación de fuentes abiertas) y IA generativa. Ahora tenemos:

  • Phishing as a Service → modelo industrializado, cualquiera puede lanzar campañas
  • QR phishing → códigos QR maliciosos en auge
  • ClickFix → pop-ups que te piden ejecutar comandos directamente
  • MFA bombing → spam de solicitudes MFA hasta que el usuario cede por cansancio
  • Deepfakes operativos → clonación de voz y vídeo para procesos críticos (transacciones económicas)

Dato clave de Microsoft: 84% de ataques con IA ya no van contra sistemas, van contra personas. Y además se centran en grupos específicos con accesos privilegiados: equipos de finanzas (principal objetivo), directivos, seguridad, RRHH y marketing.

ENISA 2025 dice que el 60% de incidentes empiezan con phishing y más del 80% de campañas ya usan IA generativa. La IA es el acelerador definitivo del fraude porque democratiza el acceso: herramientas gratuitas y sin barreras técnicas.

El problema de la formación tradicional

El "gap de comportamiento": existe un desfase entre la formación teórica (típicamente anual y genérica) y lo que realmente hacen los usuarios cuando tienen que actuar bajo presión. Tres fallos habituales:

  1. Formación anual sin refuerzo continuo
  2. Sin métricas conductuales basadas en el comportamiento real
  3. No se mide el KPI más importante: tasa de reporte (cuántos usuarios notifican incidentes sospechosos)

La evidencia: usuarios caen de nuevo en situaciones de riesgo tras 60-90 días sin práctica.

Concienciación gamificada: la propuesta

Beneficios demostrados:

  • Aumenta x7 la probabilidad de que usuarios reporten incidentes
  • Reduce 86% la susceptibilidad a ataques
  • Reduce 50% el error humano
  • 87% de empleados identifican mejor ciberataques tras formación interactiva
  • Permite atacar al segmento "8-80": el 8% de empleados que provoca el 80% de incidentes

KPIs fundamentales a medir:

  • Tasa de reporte → aumentarla gradualmente
  • Tiempo medio de reporte → reducir el tiempo desde acceso a notificación hasta reporte
  • Usuarios reincidentes → identificar y dar formación especializada
  • Tasa de clic → reducir clics en enlaces maliciosos
  • Retención → mantener conocimiento en el tiempo
  • Ratio de rebote → ligado a tasa de clic

Debe haber un dashboard en vivo que muestre métricas actualizadas para reportar a dirección.

Enfoque psicológico (innovador)

Propuesta interesante: gamificación basada en perfilado psicológico de usuarios (respetando GDPR y ética, claro). Diferentes personas reaccionan mejor a diferentes estímulos:

  • Sistema de inhibición → reaccionan al miedo/consecuencias negativas → phishing de credenciales urgente, fraude del CEO
  • Sistema de activación → responden a recompensas/premios → scam financiero, ofertas
  • Necesidad de cognición → curiosidad intelectual → acceso a informes "confidenciales", manuales privilegiados

La idea es personalizar los ejercicios según el perfil para mejorar retención y transferencia del conocimiento al puesto de trabajo.

Plan de implementación propuesto (90 días)

Fase 1 (15 días) → Diagnóstico: evaluar vulnerabilidades, establecer baseline de métricas Fase 2 → Sprint de experiencias: micro-retos periódicos (ej: 1/semana), segmentados por grupos Fase 3 → Indicadores vivos: construcción del dashboard con situación actualizada Fase 4 (hasta día 90) → Elaboración de playbooks y protocolos de verificación reforzados para operaciones críticas

Siempre distinguiendo por grupos según perfilado y geografía.

Herramientas mencionadas

  • Ángeles (CCN) → itinerarios formativos especializados, ejercicios, certificaciones
  • Plataformas empresariales RRHH → apartados específicos de concienciación
  • Microsoft → módulo específico para campañas de concienciación
  • Atenea (CCN) → laboratorios de CTF, parte más técnica

Conclusión

El mensaje clave: "La tecnología cambia el ataque, pero las personas podemos cambiar el resultado". Para reducir ese 82% de incidentes por error humano no basta con formación anual tipo checklist. Hay que:

  • Medir con indicadores vivos y dashboard actualizado
  • Gamificar con propósito claro basado en evidencia científica
  • Centrarse en la tasa de reporte como KPI fundamental
  • Refuerzo continuo (cada 60-90 días como mínimo)
  • Protocolos de verificación adicionales en operaciones críticas

La demostración práctica con el deepfake de la propia ponente fue brutal, tío. Cualquiera puede generar esto ya. Si con una foto de perfil de red social puedes clonar voz e imagen en varios idiomas, imagina lo que puede hacer alguien con recursos. Los deepfakes operativos ya no son ciencia ficción, son una amenaza real y presente que requiere verificaciones adicionales obligatorias en cualquier proceso crítico.

Más

  • Profundizar en herramientas específicas de gamificación y cómo implementarlas
  • Revisar frameworks de perfilado psicológico aplicados a ciberseguridad (si existen papers al respecto)
  • Casos prácticos de implementación de protocolos anti-deepfake en empresas
  • Métricas específicas para medir ROI de programas de concienciación gamificados

<< cd ..

>_