Falta de capacitación digital deja a empresas al filo del ciberataque: 42% de compañías no capacita a su personal

Un estudio reciente identificó una debilidad crítica en la gestión de la ciberseguridad corporativa en Colombia: el 42% de las empresas no capacita a su personal para detectar fraudes en línea. Esta carencia pone en evidencia un riesgo sistémico, ya que los empleados continúan siendo el objetivo principal de los ciberataques.

En un contexto donde uno de cada tres incidentes de seguridad se origina por credenciales sustraídas de trabajadores, la preparación insuficiente convierte a los colaboradores en el punto más frágil de la defensa digital.

El análisis de Kaspersky pone de manifiesto cómo la falta de formación en prevención de ataques de ingeniería social incrementa las probabilidades de que las compañías sufran ciberataques. La estadística revela que casi la mitad de las organizaciones en Colombia no implementan entrenamientos para sus equipos, socavando la capacidad de identificación y respuesta ante amenazas como el phishing.

El phishing mantiene su vigencia como una de las mayores amenazas en la región. Los ciberdelincuentes perfeccionan sus métodos utilizando recursos facilitados por la Inteligencia Artificial, lo que les permite personalizar sus engaños y superar los filtros tradicionales.

Los atacantes envían correos electrónicos que aparentan provenir de altas directivas o contienen supuestas actualizaciones a políticas internas. Estos mensajes suelen incluir archivos infectados, lo que pone en jaque la confidencialidad y la integridad de la información empresarial.

El impacto de estas prácticas trasciende la pérdida de datos. Las consecuencias pueden incluir daños financieros directos, sanciones regulatorias multimillonarias y una serie de afectaciones a la reputación corporativa.

La incapacidad para actuar ante estos riesgos afecta gravemente la confianza de clientes, socios y proveedores, comprometiendo la reputación y la competitividad de una empresa en el mercado.

Los fraudes a través del correo electrónico evolucionan gracias a los avances en tecnologías como la Inteligencia Artificial. Los atacantes ya no se conforman con enviar mensajes genéricos; cada vez son más sofisticados en la personalización de los contactos.

Correos que aparentan venir de ejecutivos con autoridad, combinados con documentos o enlaces diseñados para parecer legítimos a simple vista, buscan manipular la confianza de los empleados y lograr así el robo de datos, acceso no autorizado o incluso transferencias de dinero a cuentas fraudulentas.

Recientemente, se han detectado estafas mediante correos electrónicos personalizados con archivos maliciosos disfrazados de actualizaciones de políticas internas de empresas, o donde los ciberdelincuentes se hacen pasar por altos ejecutivos para engañar a empleados y obtener información confidencial, credenciales de acceso y hasta dinero.

En el contexto del mes de la Ciberseguridad, especialistas de Kaspersky proponen acciones prioritarias para cerrar las brechas existentes en la protección digital de las empresas. La primera medida recomendada es la formación regular y transversal de todo el personal, desde la alta dirección hasta el personal operativo, en temas como protección de cuentas en línea, seguridad del correo electrónico y cumplimiento de las normas de protección de datos.

Plataformas como Kaspersky Automated Security Awareness Platform permiten adaptar los módulos de capacitación según el perfil y necesidades de cada empleado.

La realización de simulacros de phishing y ejercicios interactivos representa otra táctica eficaz para evaluar de manera realista el nivel de preparación de los empleados. Estas prácticas permiten identificar áreas de mejora y refuerzan la capacidad de los colaboradores para reconocer y responder a incidentes potenciales en el día a día.

El liderazgo proactivo en materia de ciberseguridad es otro elemento indispensable. Fomentar el reporte de incidentes con liderazgo activo, donde la dirección predica con el ejemplo, impulsa la adopción de hábitos de autoprotección y trabajo en equipo, haciendo del reporte de actividades sospechosas una rutina natural en el entorno laboral.

Entre las recomendaciones centrales también figura el diseño de políticas de seguridad claras, que incluyan protocolos de acción detallados, controles de acceso por roles y gestión de permisos ajustados al nivel de responsabilidad de cada colaborador.

Por último, la integración de tecnologías de protección proactivas y avanzadas debe consolidar el escudo organizacional. La combinación de herramientas robustas con políticas adecuadas logra reducir la dependencia exclusiva del factor humano, unificando así una defensa integral contra amenazas corporativas cada vez más complejas y persistentes.

Superar la deuda identificada en la investigación presentada exige una transformación en las prácticas y valores de las empresas frente a la ciberseguridad. El cambio de cultura implica ver a cada colaborador como un frente de defensa crítico ante las amenazas digitales.

Como subraya Claudio Martinelli, director general para Américas en Kaspersky: “Invertir en su capacitación no solo protege a las empresas, sino que fortalece la resiliencia de todo el ecosistema corporativo frente a fraudes y riesgos emergentes. Un talento capacitado es indispensable para que las medidas y herramientas de protección que implemente cualquier organización realmente funcionen”.