El phishing no falla. Sigue siendo el vector de ataque número uno contra las empresas en Colombia y el mundo, y la razón no tiene que ver con tecnología sofisticada: tiene que ver con nosotros mismos.
Un análisis de KnowBe4 —plataforma global especializada en gestión del riesgo humano— lo confirma con datos duros: analizaron 67,7 millones de simulaciones de phishing realizadas con 14,5 millones de usuarios en más de 62.000 organizaciones a nivel mundial.
El resultado es inquietante. Antes de recibir cualquier capacitación, el 33,1% de los empleados hace clic en un enlace de phishing simulado. Es decir, uno de cada tres trabajadores en tu empresa podría abrir la puerta a un ciberataque hoy mismo.
El problema no es la tecnología, eres tú (y tu empresa)
Aquí está la parte que muchos gerentes y equipos de TI no quieren escuchar: los filtros de correo, los antivirus y los firewalls no son suficientes.
Colombia concentra alrededor del 25% de los ataques cibernéticos registrados en la región ITSitio, según datos recientes del sector. Y el phishing moderno ya no llega con errores de ortografía ni dominios obvios. Los atacantes han perfeccionado el arte de hackear la psicología humana, no solo los sistemas EHCGroup Blog.
Entonces, ¿qué está fallando exactamente dentro de las organizaciones?
KnowBe4 identificó cinco puntos ciegos que explican por qué el phishing sigue funcionando.
Los 5 puntos ciegos del phishing en las empresas
1. La capacitación se trata como un evento de una sola vez
La mayoría de las empresas hace un taller al año. Un correo de concientización en octubre. Y listo.
Eso no funciona. Según el análisis de KnowBe4, los programas de capacitación continua generan una diferencia concreta: en 90 días, la susceptibilidad al phishing puede bajar hasta un 40%.
El problema es que cuando el entrenamiento ocurre de forma aislada, el impacto dura poco. Los atacantes no descansan; la capacitación tampoco puede hacerlo.
2. La cultura de seguridad es frágil (o inexistente)
¿Sabes qué tipo de correos generan más clics en las simulaciones? Los que imitan comunicaciones internas: un aviso de Recursos Humanos, un mensaje de TI, una notificación de nómina.
Eso revela algo importante: los empleados confían ciegamente en los canales corporativos. Y los atacantes lo saben perfectamente. Cuando la seguridad no hace parte del día a día de la empresa, esa confianza se convierte en una vulnerabilidad enorme.
3. Nadie mide el riesgo humano
Las empresas miden malware. Monitoreamos vulnerabilidades técnicas. Tenemos dashboards para casi todo. Pero el comportamiento de los usuarios rara vez se mide con la misma rigurosidad.
KnowBe4 propone una métrica clave: el Phish-prone Percentage (PPP), que mide la probabilidad de que un empleado caiga en un ataque de phishing. Sin métricas así, el riesgo humano queda invisible dentro de la estrategia de seguridad.
4. El exceso de confianza es el enemigo silencioso
Pregúntale a cualquier empleado si creería que puede identificar un phishing. La mayoría dirá que sí.
Los datos dicen lo contrario: antes de entrenarse, cerca de uno de cada tres interactúa con mensajes maliciosos simulados. El exceso de confianza es, paradójicamente, uno de los factores que más expone a las organizaciones.
5. Demasiada dependencia de la tecnología
Los filtros de correo son esenciales. Pero no son infalibles. El phishing moderno utiliza con frecuencia enlaces legítimos a servicios en la nube —como carpetas de OneDrive o formularios de Google— que contienen el verdadero ataque, logrando pasar desapercibidos ante los sistemas de seguridad automáticos EHCGroup Blog.
Cuando un correo malicioso llega a la bandeja de entrada, la decisión del usuario es la última línea de defensa. Y si el usuario no está entrenado, esa línea cae.
¿Cuánto puede mejorar una empresa que se toma esto en serio?
La respuesta de KnowBe4 es contundente: los programas de capacitación y concientización continua pueden reducir el riesgo de phishing hasta en un 86% después de un año.
No es un número menor. Es la diferencia entre una empresa que gestiona su riesgo y una que espera que le pase algo para reaccionar.
“Muchas organizaciones todavía tratan el phishing únicamente como un problema tecnológico, cuando en realidad está directamente vinculado al comportamiento humano. Sin capacitación continua y una cultura de seguridad sólida, incluso las mejores herramientas pueden ser insuficientes”, asegura Rafael Peruch, Asesor Técnico de CISO en KnowBe4.
¿Qué pueden hacer las empresas en Colombia ahora mismo?
El contexto local importa. En Colombia, las regulaciones de protección de datos no buscan frenar a las empresas: son guías de cómo manejar los datos correctamente ITSitio. Ignorarlas tiene un costo reputacional y legal que ninguna organización debería subestimar.
Estas son las acciones más concretas que puede tomar una empresa hoy:
Implementar simulaciones de phishing regulares con herramientas como KnowBe4 para medir el PPP del equipo antes y después del entrenamiento.
Crear una cultura de reporte sin miedo. Si un empleado hace clic por error, debe poder reportarlo sin consecuencias. La transparencia interna salva brechas.
Complementar la tecnología con entrenamiento. Los filtros de spam no reemplazan al criterio humano; lo apoyan.
Medir, no asumir. Sin datos sobre el comportamiento de los usuarios, cualquier estrategia de seguridad está construida sobre intuición, no sobre realidad.
Conclusión: el eslabón más débil también puede ser el más fuerte
El phishing sigue funcionando porque las empresas siguen cometiendo los mismos errores: entrenan poco, confían demasiado en la tecnología y no miden lo que realmente importa.
Pero la misma investigación que revela el problema también muestra la solución: cuando las organizaciones se toman en serio la capacitación continua, el riesgo cae de forma drástica.
En 2026, en Colombia y en toda la región, la ciberseguridad ya no puede ser solo un problema del área de TI. Es un asunto de toda la empresa.
