El 43% de los incidentes de ciberseguridad que afectan a las pequeñas y medianas empresas comienza con un ataque de phishing o de ingeniería social. Lo más preocupante es que apenas el 26% de las organizaciones identifica el phishing como una de sus principales amenazas y solo el 12% considera la ingeniería social un riesgo prioritario, según el SMB Cyber Readiness Index 2026 de ESET.
La brecha entre lo que las empresas creen que las pone en riesgo y lo que realmente ocurre demuestra que, pese a las grandes inversiones en tecnología, el principal punto de entrada para los ciberdelincuentes sigue siendo el factor humano.
Aquí la paradoja es que mientras las organizaciones aceleran la adopción de inteligencia artificial, automatización y sofisticadas plataformas de seguridad, los atacantes continúan aprovechando el recurso más difícil de proteger: las personas. Hoy los ciberdelincuentes ya no necesitan romper complejas barreras tecnológicas. Les basta con lograr que un colaborador haga clic en un enlace, descargue un archivo o comparta información que no debería. Y con la ayuda de la inteligencia artificial, engañar a las personas es cada vez más fácil.
Según ESET, las detecciones de Nomani, una modalidad de fraude basada en anuncios falsos y contenidos generados con IA, crecieron 62% entre 2024 y 2025. Además, durante el mismo período la compañía bloqueó más de 64.000 URL maliciosas asociadas a este tipo de campañas, lo que evidencia cómo la IA está siendo utilizada para hacer que los ataques sean más creíbles y difíciles de detectar.
El impacto empresarial también es cada vez mayor. El Cost of a Data Breach Report 2025, elaborado por IBM, señala que el phishing fue el vector inicial del 16% de las brechas de seguridad, con un costo promedio cercano a US$4,8 millones por incidente. Por su parte, el Data Breach Investigations Report (DBIR) 2025 de Verizon concluye que el factor humano estuvo involucrado en cerca del 60% de las brechas de seguridad, ya sea por errores involuntarios, robo de credenciales, ingeniería social o interacción con malware.
Las cifras dejan claro que el problema no radica únicamente en la tecnología disponible, sino en la capacidad de las organizaciones para preparar a quienes la utilizan todos los días.
Afortunadamente, el mercado empieza a reaccionar. El estudio de ESET revela que el 87% de las empresas considera que la capacitación en ciberseguridad es crítica o muy importante para su operación. Además, el 72% ya incorpora simulaciones de phishing dentro de sus programas de formación, mientras que el 67% realiza entrenamientos más de una vez al año. De hecho, el 98% de las organizaciones encuestadas afirmó desarrollar algún tipo de capacitación en ciberseguridad para sus colaboradores, reflejando que la concienciación ya no es una actividad ocasional, sino un componente permanente de la gestión del riesgo.
Esta evolución también responde a factores regulatorios y financieros. Según ESET, el 86% de las empresas ya cuenta con un seguro de ciberseguridad, y muchas aseguradoras exigen programas periódicos de formación como condición para otorgar o mantener la cobertura. La preparación del talento humano comienza a ser tan importante como la inversión e implementación de controles tecnológicos.
Pero el cambio no depende únicamente de incorporar más tecnología. También implica cambiar los proceso, entendido como la forma en que las empresas entregan la ciberseguridad, que hoy, ya no es una responsabilidad exclusiva del área de TI; áreas como Recursos Humanos, Riesgos, Comunicaciones y la alta dirección, también deben contribuir a crear una cultura en la que cada colaborador sepa que sus decisiones pueden proteger o poner en riesgo a toda la organización.
Aunque la IA se ha convertido en una gran aliada para fortalecer la ciberseguridad, también está siendo utilizada por los atacantes para hacer sus fraudes más sofisticados. Por eso, la tecnología por sí sola no alcanza. La última barrera de protección sigue siendo la capacidad de las personas para reconocer una amenaza y actuar correctamente.
La resiliencia digital se construye tanto con tecnología como con procesos y personas preparadas para identificar y responder a las amenazas. Por ello, incorporar la capacitación continua y la cultura de ciberseguridad como parte de la estrategia empresarial permitirá a las organizaciones reducir riesgos, fortalecer su capacidad de respuesta y afrontar con mayor confianza los desafíos que plantea un entorno cada vez más digital.





