Crear y mantener un programa de concienciación en seguridad es uno de los mayores desafíos para los equipos de seguridad de las organizaciones. Deben llegar a una fuerza laboral global y diversa, con tiempos, habilidades y recursos limitados. Desde Proofpoint, empresa de ciberseguridad y cumplimiento normativo, recuerdan que un programa realmente eficaz para reducir riesgos necesita adaptarse al comportamiento de los usuarios y a las amenazas reales, además de dar visibilidad sobre los progresos logrados.

El error humano sigue siendo la mayor vulnerabilidad en ciberseguridad dentro de una organización: en España, el 49% de los CISOs señala a las personas como su principal riesgo, pese a que el 55% considera que los empleados saben cuáles son las buenas prácticas de seguridad, aunque esto no basta para cambiar su comportamiento. Asimismo, según este mismo estudio de 2025, el 46% de las organizaciones carece de herramientas para gestionar de manera adecuada el riesgo interno, lo que impide cerrar la brecha entre saber qué hacer y hacerlo realmente.

Para los expertos en ciberseguridad, una formación genérica que trate a todos los empleados por igual aporta poco, como ocurre en la mayoría de los programas actuales. Cuando existe segmentación, suele ser un proceso manual que consume tiempo y energía a unos equipos ya sobrecargados; y, sin automatización, es casi imposible ofrecer una experiencia eficaz a quienes están más expuestos al riesgo.

Aquí es donde el aprendizaje adaptativo cobra protagonismo frente a una formación tradicional insuficiente. Este enfoque proporciona una educación específica y basada en el riesgo, ajustada al comportamiento, el rol y el perfil de cada empleado. En Proofpoint apuestan por una segmentación inteligente y automatizada, junto con itinerarios de aprendizaje sistematizados y personalizados, lo que garantiza que las actividades asignadas (capacitaciones, simulaciones de phishing y notificaciones) sean relevantes, impactantes y efectivas para impulsar un cambio de comportamiento real.

Agrupar a los usuarios por su tasa de clics en simulaciones, por sus errores o simplemente por haber finalizado un curso, como hacen muchas plataformas de concienciación, no basta para comprender el riesgo real. Esto obliga a los administradores a recopilar más información manualmente para que los programas resulten útiles. A diferencia de esa segmentación básica, los grupos adaptativos incorporan señales de riesgo en tiempo real. Si un usuario gestiona incorrectamente datos sensibles, por ejemplo, pasa automáticamente a un grupo que recibe una formación diseñada para corregir ese comportamiento. De esta forma, los equipos de seguridad invierten menos tiempo en tareas operativas y más en apoyar a los usuarios, mientras los grupos se actualizan dinámicamente a medida que cambian los riesgos.

Los programas tradicionales de concienciación suelen estancarse por depender en exceso de procesos manuales. Los equipos deben decidir constantemente a quién dirigir, qué formación asignar y cuándo hacerlo. Las rutas adaptativas propuestas por Proofpoint automatizan la creación y entrega de experiencias de aprendizaje basadas en amenazas del mundo real. Si surge un grupo de usuarios que han activado alertas de prevención de pérdida de datos, se les inscribirá automáticamente en actividades diseñadas para abordar los riesgos asociados a sus comportamientos. La formación se ajusta en función de las acciones del usuario, su interacción con amenazas o los requisitos de cumplimiento. A medida que los riesgos cambian, los grupos se actualizan automáticamente, facilitando medir el impacto y refinar los programas.

Gracias a ello, los empleados no pierden tiempo preparándose para amenazas improbables o ya controladas. El enfoque se centra en quienes necesitan mayor apoyo y lo reciben exactamente cuando lo requieren. Más adelante, el refuerzo mediante repetición y ejemplos contextuales ayuda a que las prácticas seguras perduren.

“El verdadero poder del aprendizaje adaptativo reside en su impacto y en su eficiencia, al dirigir las experiencias a perfiles de riesgo de usuario comunes mediante grupos y rutas adaptativas. La experiencia de aprendizaje se vuelve más relevante, atractiva y efectiva, aumentando las probabilidades de que los usuarios retengan lo aprendido porque se conecta directamente con su rol y sus desafíos”, explican los expertos de Proofpoint. “Impulsar un cambio de comportamiento constante y medible no es un ejercicio anual, sino un proceso continuo y adaptado que refuerza la resiliencia en toda la fuerza laboral”.