El Factor Humano: La Clave en el 74% de las Brechas de Seguridad
Es una máxima común en ciberseguridad que los humanos son el eslabón más débil. Aunque a veces se utiliza como una excusa tácita para justificar fallos en herramientas o procesos de ciberseguridad, hay un elemento de verdad en esta afirmación.
Una de las conclusiones clave del Informe de Investigaciones de Violación de Datos 2024 de Verizon es que las personas son el problema. No intencionalmente, por supuesto, pero ya sea por error, manipulación o intención maliciosa, las acciones u omisiones humanas jugaron un papel en el 74% de las brechas de seguridad el año pasado. Esta estadística debería servir como una llamada de atención para cualquier organización que todavía esté enfocada en fortalecer sus redes mientras descuida a las personas que interactúan con ellas.
El informe subraya lo que muchos líderes de seguridad han sospechado durante mucho tiempo. Los atacantes ya no están derribando firewalls ni explotando vulnerabilidades técnicas complejas a gran escala, sino que están explotando a las personas.
Y están teniendo éxito.
Por Qué la Capa Humana Importa Más Que Nunca
Los datos pintan un panorama claro: errores, uso indebido de privilegios, ingeniería social y credenciales robadas siguen siendo las principales causas de las brechas de seguridad.
No es sorprendente si se considera el entorno laboral actual. El trabajo híbrido y remoto ha expandido las superficies de ataque digital, obligando a los empleados a hacer malabares con múltiples herramientas de comunicación y colaboración. Si a esto se le suma una avalancha de correos electrónicos de phishing sofisticados, páginas de inicio de sesión falsas y ataques de pretexto ingeniosamente elaborados, se obtiene una receta para el desastre.
“La tecnología existe para servir a las personas”, afirma Scott Crawford, jefe de investigación de seguridad de la información en 451 Research, parte de S&P Global Market Intelligence. “Pero cada vez que tienen la oportunidad de interactuar con ella, existe la posibilidad de que la actividad humana pueda ser manipulada con fines maliciosos”.
Y esa manipulación está ocurriendo a gran escala. Las campañas de ingeniería social, el compromiso del correo electrónico empresarial y el robo de credenciales están aumentando. Las configuraciones incorrectas en los servicios en la nube, a menudo debido a errores humanos o descuido, están creando brechas involuntarias en la seguridad. Incluso los empleados bien intencionados pueden convertirse en el eslabón más débil de una organización.
“Hay una predicción de Gartner de hace 20 años que decía que el error humano representaría el 75% de las brechas”, señala Richard Stiennon, analista jefe de investigación de IT-Harvest y autor de “Security Yearbook 2025”. “No es una sorpresa. Así que sí, lo simple es lo que más se explota”.
Reforzando la Seguridad en la Capa Humana
La creciente evidencia apunta a una conclusión: las organizaciones necesitan reforzar la seguridad donde los atacantes se están enfocando: en las personas.
Esto significa ir más allá de las defensas perimetrales tradicionales y la seguridad de los endpoints. Requiere una estrategia integrada que proteja las comunicaciones por correo electrónico, asegure las plataformas de colaboración y aplique políticas sólidas de prevención de pérdida de datos. En resumen, las organizaciones necesitan asegurar la «capa humana», la interfaz donde las personas, la tecnología y los datos se cruzan.
Scott Crawford enfatiza: “El desafío de limitar el riesgo es hacerlo sin inhibir los beneficios de la tecnología. Pero hoy en día hay varias oportunidades. La educación y la capacitación en concientización pueden sentar las bases, pero los avances en el análisis del comportamiento, las técnicas de autenticación y multifactor, y las implementaciones de confianza cero pueden ayudar a mitigar la exposición”.
Es por eso que reforzar la capa humana no se detiene solo con la educación. Incluye la incorporación de defensas más inteligentes en las herramientas que los empleados usan todos los días, la detección de patrones de comportamiento riesgosos y la automatización de la respuesta a amenazas antes de que el error humano conduzca a una vulneración.
Proofpoint y Microsoft: Un Modelo de Seguridad Centrada en el Humano
Un ejemplo de cómo las organizaciones están abordando este desafío proviene de Proofpoint y Microsoft. Las dos compañías anunciaron una alianza estratégica global ampliada centrada en el fortalecimiento de la ciberseguridad centrada en el ser humano.
En el corazón de la asociación está la decisión de Proofpoint de trasladar su plataforma a Microsoft Azure. Al aprovechar las sólidas capacidades de IA de Azure y la infraestructura de nube confiable, Proofpoint planea escalar su capacidad para detectar y neutralizar las amenazas dirigidas a los usuarios. La integración se extiende profundamente en Microsoft 365 y Microsoft Sentinel, lo que permite a los equipos de seguridad automatizar la detección y respuesta a amenazas, enriquecer sus análisis y mejorar la protección de datos.
“Construido sobre Microsoft Azure, estamos ofreciendo protección preventiva avanzada para la capa más importante en el ecosistema de ciberseguridad: la capa humana”, explicó Darren Lee, vicepresidente ejecutivo y gerente general del Grupo de Protección contra Amenazas de Proofpoint, en un comunicado de prensa.
Con las tecnologías de inteligencia Nexus, Proofpoint combina modelos de IA, análisis de comportamiento e inteligencia de amenazas para detectar y neutralizar proactivamente los riesgos. Uno de los componentes críticos de la alianza es la Protección contra Ataques Dirigidos de Proofpoint, que se integra con Sentinel para proporcionar datos enriquecidos para flujos de trabajo de detección y respuesta extendidos.
La asociación también aborda los riesgos emergentes de las herramientas de IA generativa. Estas herramientas, aunque son potentes potenciadores de la productividad, introducen nuevas preocupaciones sobre la fuga de datos que los controles de seguridad tradicionales luchan por gestionar. La plataforma de Proofpoint incluye funciones DLP diseñadas para monitorear y controlar el flujo de datos confidenciales en contextos de IA generativa.
Los Ataques Dirigidos Siguen Siendo una Amenaza
A pesar de estos avances, Richard Stiennon ofrece una verificación de la realidad: «Nunca pierda de vista el hecho de que un ataque dirigido puede sortear cualquiera de las medidas implementadas en la capa humana».
Esta cruda verdad destaca que, si bien asegurar la capa humana es fundamental, no es una panacea. Las amenazas persistentes avanzadas, las campañas de spear-phishing altamente dirigidas y las amenazas internas siempre requerirán defensas en capas, detección sofisticada y capacidades de respuesta rápida. Es por eso que las estrategias de seguridad integrales deben equilibrar la prevención con la detección y la resiliencia.
La Seguridad Centrada en el Humano Ya No Es Opcional
La realidad es cruda: casi tres cuartas partes de las brechas involucran fallas humanas de alguna forma. Si las estrategias de ciberseguridad no priorizan la protección de la capa humana, están dejando el vector más explotado completamente abierto.
Como señala Scott Crawford, «A medida que los adversarios buscan lanzar una red más amplia sobre posibles objetivos humanos, la forma en que las personas interactúan en procesos como el soporte de servicios de TI también presenta oportunidades para que las organizaciones aprendan de los incidentes y aprovechen las nuevas y emergentes formas de aumentar la conciencia sobre las amenazas potenciales».
La alianza Proofpoint-Microsoft es un ejemplo del cambio hacia la seguridad centrada en las personas, un cambio que muchas organizaciones deberán seguir. Al combinar IA, automatización e integraciones estrechas con las herramientas en las que confían los empleados, están proporcionando una hoja de ruta para reducir el riesgo humano y mejorar la postura de seguridad general.
A medida que los atacantes continúan evolucionando sus tácticas, las organizaciones deben hacer lo mismo. Reforzar la seguridad en la capa humana no es solo una buena idea; es un imperativo empresarial.
Insights de Evox News: Cómo la Seguridad Centrada en el Humano Puede Impactar tu Negocio
Esta noticia resalta un cambio fundamental en el panorama de la ciberseguridad, con implicaciones significativas para las empresas:
Reevaluación de la Estrategia de Seguridad: Las empresas deben reconocer que la inversión en tecnología de seguridad por sí sola no es suficiente. Es crucial implementar una estrategia que aborde el «factor humano», incluyendo capacitación, concientización y herramientas que mitiguen el riesgo de errores humanos.
Ventaja Competitiva a través de la Resiliencia: Las organizaciones que adopten un enfoque de seguridad centrado en el humano estarán mejor preparadas para resistir ataques cibernéticos. Esto se traduce en una mayor resiliencia operativa y una menor probabilidad de interrupciones costosas, lo que puede ser una ventaja competitiva clave.
Innovación en la Protección de Datos: La noticia destaca el uso de IA y análisis de comportamiento para detectar y prevenir amenazas. Las empresas que adopten estas tecnologías innovadoras pueden mejorar significativamente su capacidad para proteger datos confidenciales, cumpliendo con las regulaciones y manteniendo la confianza del cliente.
Optimización de la Inversión en Ciberseguridad: Al enfocarse en la capa humana, las empresas pueden optimizar su gasto en ciberseguridad. En lugar de invertir únicamente en soluciones perimetrales, pueden asignar recursos a herramientas y programas que aborden directamente el riesgo más prevalente.
Adaptación al Entorno Laboral Moderno: El auge del trabajo remoto e híbrido exige una nueva perspectiva sobre la seguridad. Las empresas deben adoptar soluciones que protejan a los empleados independientemente de su ubicación o dispositivo, y que se integren con las herramientas de colaboración que utilizan a diario.
Riesgo de no adaptación: No actualizar la estrategia de ciberseguridad, enfocándose en el factor humano, aumenta el riesgo de sufrir brechas de seguridad, con las consiguientes pérdidas económicas, de reputación y legales
