Redacción Digital Inside España
Crear y sostener un programa de concienciación en seguridad continúa figurando entre los mayores desafíos operativos para los equipos de ciberseguridad. Las organizaciones deben formar a una fuerza laboral global y heterogénea (con diferentes niveles de habilidades, agendas y acceso a recursos), y hacerlo sin que el esfuerzo de gestión termine consumiendo el tiempo que debería dedicarse a reducir el riesgo. Desde Proofpoint señalan que un programa eficaz necesita adaptarse al comportamiento de los usuarios y a amenazas reales, además de aportar visibilidad sobre el progreso conseguido.
Los expertos de Proofpoint explican: “El verdadero poder del aprendizaje adaptativo reside en su impacto y en su eficiencia, al dirigir las experiencias a perfiles de riesgo de usuario comunes mediante grupos y rutas adaptativas. La experiencia de aprendizaje se vuelve más relevante, atractiva y efectiva, aumentando las probabilidades de que los usuarios retengan lo aprendido porque se conecta directamente con su rol y sus desafíos. Impulsar un cambio de comportamiento constante y medible no es un ejercicio anual, sino un proceso continuo y adaptado que refuerza la resiliencia en toda la fuerza laboral”.
El punto de partida, sigue siendo incómodo para muchas direcciones de seguridad: el factor humano permanece como la principal exposición. En España, el 49% de los CISOs (responsables de seguridad de la información) identifica a las personas como el mayor riesgo en ciberseguridad dentro de la organización, incluso aunque el 55% considere que los empleados conocen las buenas prácticas. Esa aparente contradicción refleja una brecha habitual: saber qué se debe hacer no equivale a hacerlo de forma consistente. En ese mismo estudio de 2025, el 46% de las organizaciones afirma no disponer de herramientas para gestionar adecuadamente el riesgo interno, lo que dificulta cerrar la distancia entre el conocimiento y el comportamiento.
En este contexto, los especialistas subrayan que la formación genérica, aplicada por igual a toda la plantilla, aporta un valor limitado, algo que encaja con el diseño de muchos programas actuales. Cuando las organizaciones intentan segmentar (es decir, diferenciar la formación según perfiles), con frecuencia lo hacen mediante procesos manuales que consumen tiempo y energía de equipos que ya operan bajo presión. Sin automatización, además; se vuelve difícil ofrecer una experiencia útil precisamente a quienes más expuestos están.
Aquí entra en juego el aprendizaje adaptativo como alternativa a una formación tradicional que resulta insuficiente. El aprendizaje adaptativo plantea una educación específica y basada en el riesgo, ajustada al comportamiento, al rol y al perfil de cada empleado. En la propuesta de Proofpoint, esa aproximación se apoya en una segmentación inteligente y automatizada, junto con itinerarios de aprendizaje sistematizados y personalizados, para que las actividades asignadas (capacitaciones, simulaciones de phishing (ejercicios que reproducen correos fraudulentos para entrenar la detección) y notificaciones) tengan una relación directa con el riesgo que se pretende corregir.
Una de las críticas a los programas habituales es la simplicidad de los criterios de agrupación. Clasificar usuarios por su tasa de clics en simulaciones, por errores puntuales o por haber completado un curso puede servir como indicador, pero no necesariamente describe el riesgo real. Ese enfoque obliga a los administradores a recopilar y cruzar más información manualmente para que el programa sea realmente útil. Frente a ello, los grupos adaptativos incorporan señales de riesgo en tiempo real y se actualizan de forma dinámica conforme cambian los comportamientos. Por ejemplo, si un usuario gestiona de manera incorrecta datos sensibles, pasa automáticamente a un grupo que recibe formación diseñada para corregir ese patrón, reduciendo el esfuerzo operativo y orientando la intervención hacia lo que ocurre en la práctica.
El mismo principio se extiende a la automatización de las rutas de aprendizaje. Los programas tradicionales tienden a estancarse cuando dependen de decisiones continuas (a quién formar, qué asignar y cuándo) que recaen en procesos manuales. En el planteamiento descrito por Proofpoint, las rutas adaptativas automatizan la creación y la entrega de experiencias basadas en amenazas del mundo real. Si aparece un grupo de usuarios que ha activado alertas de prevención de pérdida de datos (mecanismos que detectan posibles fugas o uso inadecuado de información), el sistema los inscribe automáticamente en actividades orientadas a mitigar los riesgos asociados a esos comportamientos. La formación se ajusta según las acciones del usuario, su interacción con amenazas o los requisitos de cumplimiento, y el programa puede medir impacto y refinarse a medida que evoluciona el riesgo.
Desde la perspectiva del destinatario (los equipos de TI y seguridad, pero también quienes toman decisiones de compra), el objetivo operativo que se desprende de este enfoque es doble. Por un lado, evitar que la plantilla invierta tiempo en prepararse para amenazas improbables o ya controladas. Por otro, concentrar el esfuerzo allí donde es más necesario en el momento en que lo es. A ello se suma el refuerzo posterior mediante repetición y ejemplos contextuales, orientado a que los hábitos seguros perduren en el trabajo cotidiano.
En la visión trasladada por los expertos de Proofpoint, el valor del aprendizaje adaptativo se entiende por su impacto y por su eficiencia: al dirigir experiencias a perfiles de riesgo comunes mediante grupos y rutas adaptativas, la formación se vuelve más relevante, más atractiva y con mayor probabilidad de retención, precisamente porque se conecta con el rol y con los retos reales del usuario. La conclusión operativa es que el cambio de comportamiento medible no se resuelve con una acción anual, sino con un proceso continuo y adaptado que refuerza la resiliencia de toda la plantilla.
