Blog
Capacitación en concienciación de seguridad
Eficacia de la formación: cómo maximizar el aprendizaje a partir de simulaciones de phishing
Identity Threat Defense

Eficacia de la formación: cómo maximizar el aprendizaje a partir de simulaciones de phishing

Share with your network!
Dr. Bob Hausmann y Alexandra Panaretos, CSAP, SSAP, SACP

Como administrador de ciberseguridad responsable de la formación de todos los empleados de su organización, se enfrenta a un reto importante. Su trabajo consiste en concienciar a los empleados de los peligros del phishing y de las tácticas cada vez más sofisticadas que utilizan los ciberdelincuentes. Pero ¿por dónde empezar?

Durante las dos últimas décadas, a recomendación estándar ha sido una estrategia de formación en dos partes: impartir formación para explicar los conceptos clave de la ciberseguridad, a continuación, evaluar la eficacia de esta formación mediante simulaciones extremadamente realistas.

Pero después de 20 años confiando en este enfoque, es natural preguntarse: ¿cuál es su grado de eficacia?, ¿qué funciona?, ¿en qué condiciones estas intervenciones producen los mejores resultados?

Los datos preliminares de estudios realizados en laboratorios y entornos reales sugerían que la formación en ciberseguridad y las simulaciones de phishing eran eficaces para educar a los no especialistas (Kumaraguru et al. 2007). Sin embargo, recientes evaluaciones reales a gran escala han demostrado lo contrario. Estas evaluaciones, en las que se emplearon muestras de gran tamaño, asignaciones aleatorias y grupos de control, demostraron que la eficacia de los programas anuales de formación y antiphishing era casi nula (Lain et al., 2022; Ho et al., 2025). ¿Cómo podemos explicar esto?

Esta discrepancia puede explicarse por el hecho de que los resultados de laboratorio rara vez pueden aplicarse a entornos reales. Al fin y al cabo, los experimentos de laboratorio son controlados y artificiales, y evitan las complejidades de los lugares de trabajo reales. Aunque esta explicación es plausible, apenas araña la superficie. La realidad tiene muchos más matices y es mucho más intrigante.

Este artículo de blog examina los resultados de un estudio reciente que evalúa la eficacia de los programas anuales de formación en ciberseguridad y antiphishing. Examinando estos resultados desde la perspectiva de la ciencia cognitiva y el aprendizaje, explicaremos por qué estos resultados no son sorprendentes y son, de hecho, predecibles. Por último, le daremos algunos consejos prácticos sobre cómo proceder en el futuro.

Evaluación de los componentes básicos

En su artículo “Understanding the Efficacy of Phishing Training in Practice” (Comprender la eficacia de la formación antiphishing en la práctica), los autores evalúan dos componentes básicos de la concienciación y la formación en ciberseguridad:

  1. Formación anual de concienciación en ciberseguridad. Estos cursos suelen consistir en una serie de vídeos online en los que se explican los distintos conceptos de ciberseguridad. Los vídeos tratan temas como la definición de phishing, las amenazas de las que hay que tener cuidado y el procedimiento de denuncia. También cubren las posibles consecuencias de caer en una estafa. La formación se imparte una vez al año, normalmente en el aniversario de la fecha de contratación del empleado.
  2. Ejercicios de formación antiphishing integrados. Estos ejercicios se proponen después de que un alumno haya hecho clic en un enlace como parte de una campaña de simulación de ataques de phishing.

Veamos con más detalle cada uno de estos componentes.

1. Formación anual de concienciación en ciberseguridad

Basándonos en los marcos teóricos y los resultados empíricos de las ciencias cognitivas, ¿cuán sorprendidos deberíamos estar de que un típico curso de formación anual reduzca el porcentaje de clics en solo un 1,7 % (Ho et al., 2025; p. 9)? En nuestra opinión, no debería sorprendernos, por dos razones.

En primer lugar, todos sabemos que el olvido es inevitable. Es parte integrante de la memoria, hasta el punto de que los científicos cognitivos han creado modelos matemáticos que calculan la probabilidad de recordar una información tras un período de tiempo determinado después del aprendizaje inicial. Es lo que se conoce como curva del olvido. Puede aplicarse a muchas materias y dominios diferentes (Anderson & Schooler, 1991), incluida la formación en ciberseguridad (Reinheimer, et al., 2020). Según esta curva, un individuo olvida el 78,7 % de la información al cabo de 30 días.

En segundo lugar, también sabemos que aprender viendo un vídeo dará lugar a un aprendizaje superficial si no se le asocian otras actividades de aprendizaje, como la resolución de problemas o la puesta en práctica de los conocimientos. En muchos experimentos de laboratorio y aula, el grupo de control de referencia ve un vídeo o lee un pasaje de un libro de texto. Este grupo suele rendir mucho menos que los alumnos que se benefician de otros tipos de aprendizaje.

Veamos el siguiente experimento de laboratorio (Chi, Roy y Hausmann, 2008). Se pidió a los alumnos que aprendieran a resolver problemas físicos básicos en una de cinco condiciones:

  1. Tutor humano individual
  2. Visionado en grupo de un vídeo de la interacción tutorial
  3. Resolución de problemas en grupo (sin vídeo; sólo texto)
  4. Visionado del tutorial de vídeo en solitario
  5. Estudiar solo (sin vídeo; solo texto)

Al analizar los aspectos más complejos de los problemas de física, no se observaron diferencias significativas entre los alumnos que estudiaron solos y los que vieron vídeos de formación solos. Ambos grupos obtuvieron resultados de aprendizaje significativamente inferiores a los de los otros tres grupos, que incluían la colaboración con un compañero o un tutor humano (véase la Figura 1).

Estos resultados concuerdan con las investigaciones sobre formación en ciberseguridad, que sugieren que las sesiones anuales basadas en vídeos, sin actividades de resolución de problemas ni componentes interactivos, no suelen producir resultados de aprendizaje significativos.

Los datos subrayan un punto importante: las relaciones, la tutoría y la oportunidad de hacer preguntas son esenciales para un aprendizaje eficaz. Estos elementos promueven una comprensión más profunda y el desarrollo de competencias, por lo que son esenciales tanto para muchas funciones empresariales como para la enseñanza de competencias básicas.

La tutoría humana, el visionado en grupo y la colaboración producen ganancias de aprendizaje estadísticamente mayores que el visionado o el estudio en solitario.

Figura 1. La tutoría humana, el visionado en grupo y la colaboración producen ganancias de aprendizaje estadísticamente mayores que el visionado o el estudio en solitario.

2. Ejercicios de formación antiphishing integrados

Si un alumno hace clic en un enlace de una campaña de simulación de phishing y falla la simulación de ataque de phishing, su navegador le redirige a una página que muestra un momento de aprendizaje. En su estudio, los autores manipularon experimentalmente el diseño de este mensaje educativo. Además de un grupo de control, utilizaron cuatro diseños diferentes, todos de la plataforma de simulación Proofpoint ZenGuide™.

Esto es lo que podría ocurrir si el alumno fallara un simulacro de ataque de phishing:

  1. Mensaje de control. El usuario fue redirigido a una página de error 404; no se proporcionó formación.
  2. Mensaje estático genérico. El usuario recibía un mensaje “genérico”, que sólo contenía consejos generales sobre las cinco características a las que hay que prestar atención cuando se recibe un mensaje desconocido. “Estático” significa que solo se pedía al usuario que lo leyera.
  3. Mensaje estático contextual. Aunque el mensaje era estático, el correo electrónico original de la campaña se integró en el momento de aprendizaje. También se etiquetó con indicadores (el NIST los denomina “indicios”) para mostrar al usuario a qué debía prestar atención. Proofpoint denomina estos indicios Phish Hooks.
  4. Ejercicio interactivo genérico. Además de leer el mensaje educativo, el alumno debía responder a una serie de preguntas. También se le presentaba un ejemplo de correo electrónico genérico, que no estaba marcado de forma significativa.
  5. Ejercicio interactivo contextual. Al igual que en el momento didáctico anterior, el usuario debía responder a una serie de preguntas, pero esta vez el correo electrónico de ejemplo fue sustituido por el correo electrónico real que había recibido en su bandeja de entrada. Además, se marcó con Phish Hooks, que destacaban los indicadores a los que había que prestar atención.

Los autores tuvieron cuidado de señalar que solo los alumnos que fracasaron en un ataque de phishing simulado se beneficiaron de la intervención anterior, y no los que tuvieron éxito.

¿Qué descubrieron? En general, el porcentaje de fallos en los ataques de phishing simulados fue un 9,5 % inferior al del grupo de control (p. 9). Sin embargo, esta tasa aumentó considerablemente, hasta el 19 %, cuando se utilizó el momento el aprendizaje más eficaz: ejercicios interactivos contextuales (Phish Hooks). Este descenso considerable solo se registró si los alumnos habían completado su formación en ciberseguridad (p. 12). Trataremos este punto en la siguiente sección, ya que pone de relieve la importancia de la formación y los simulacros anuales.

La formación interactiva contextual es más eficaz

Desde el punto de vista de la ciencia cognitiva, ¿son sorprendentes estos resultados? También en este caso, la respuesta es no. Instintivamente, todos entendemos que la formación práctica es importante. No es lo mismo aprender a montar en bicicleta viendo un vídeo de YouTube que buscar un aparcamiento vacío, subirse a una bicicleta e intentarlo (¡y caerse!) hasta que lo consiga.

Los datos corroboran esta intuición. Según un estudio realizado en el marco de un curso online de la Universidad Carnegie-Mellon, los alumnos que participaban activamente en experiencias de aprendizaje interactivo, como la resolución de problemas con tutores, obtenían mejores resultados que los que se limitaban a ver vídeos o leer el material del curso. Además, dedicaron entre un 10 % y un 20 % menos de tiempo al curso (Carvalho, McLaughlin, Koedinger, 2017; Koedinger et al., 2015). Estas observaciones son coherentes con lo que vemos en la formación real en ciberseguridad. Al hacer que las experiencias de aprendizaje sean más interactivas, se pueden esperar mejores resultados (Chi & Wylie, 2014).

De cara al futuro: ¿cuándo debe utilizarse la formación interactiva contextual?

La oportunidad de los mensajes educativos interactivos contextuales es esencial. Aunque pueda parecer lógico desplegarlos inmediatamente después de una evaluación, este planteamiento plantea dos problemas importantes:

  1. Integridad de los indicadores. Es probable que una respuesta inmediata comunique a los empleados que se está realizando una prueba. Esta noticia puede extenderse como la pólvora por toda la empresa. Los resultados se verán entonces distorsionados, ya que los empleados se alertarán unos a otros de la simulación en curso. Estas interferencias debilitan la validez de la evaluación, al impedir la identificación precisa de quienes habrían quedado atrapados en un escenario real.
  2. Interferencia emocional. Una respuesta inmediata suele desencadenar lo que se conoce como secuestro de la amígdala, una respuesta de estrés que impide el aprendizaje. Cuando los empleados se centran en su vergüenza o en el miedo a ser “pillados”, su capacidad para absorber y retener lo que se les enseña disminuye considerablemente. La reacción emocional al fracaso eclipsa el mensaje educativo.

Por lo tanto, recomendamos desplegar el mensaje educativo interactivo en un plazo de 24 horas tras suspender una evaluación. Esto tiene varias ventajas:

  • Los empleados tienen tiempo de digerir el acontecimiento sin que aumente el estrés emocional.
  • El momento de aprendizaje se mantiene como una verdadera oportunidad de aprendizaje y no se ve ensombrecido por una respuesta emocional inmediata.
  • La integridad de los indicadores de evaluación permanece intacta, lo que permite a la empresa evaluar sus vulnerabilidades con mayor precisión.

Este enfoque logra un equilibrio entre la formación oportuna y la evaluación eficaz.

Referencias

Anderson, J. R., & Schooler, L. J. (1991). Reflections of the environment in memory. Psychological science, 2(6), 396-408.

Carvalho, P. F., McLaughlin, E. A., & Koedinger, K. (2017). Is there an explicit learning bias? Students beliefs, behaviors and learning outcomes. In CogSci.

Chi, Michelene TH, Marguerite Roy y Robert GM Hausmann. “Observing tutorial dialogues collaboratively: Insights about human tutoring effectiveness from vicarious learning.” Cognitive science 32.2 (2008): 301-341.

Chi, M. T., & Wylie, R. (2014). The ICAP framework: Linking cognitive engagement to active learning outcomes. Educational psychologist, 49(4), 219-243.

G. Ho et al., “Understanding the Efficacy of Phishing Training in Practice,” in 2025 Simposio del IEEE sobre seguridad y privacidad, San Francisco, CA, EE. UU. , 2025, pp. 76-76, doi: 10.1109/SP61157.2025.00076.

Koedinger, K. R., Kim, J., Jia, J. Z., McLaughlin, E. A., & Bier, N. L. (marzo de 2015, ). Learning is not a spectator sport: Doing is better than watching for learning from a MOOC. En Proceedings of the second (2015) ACM conference on learning@ scale (pp. 111-120).

Kumaraguru, P., Cranshaw, J., Acquisti, A., Cranor, L., Hong, J., Blair, M. A., & Pham, T. (julio de 2009). School of phish: a real-world evaluation of anti-phishing training. In Proceedings of the 5th Symposium on Usable Privacy and Security (pp. 1-12).

Reinheimer, B., Aldag, L., Mayer, P., Mossano, M., Duezguen, R., Lofthouse, B., ... & Volkamer, M. (2020). An investigation of phishing awareness and education over time: When and how to best remind users. In Sixteenth Symposium on Usable Privacy and Security (SOUPS 2020) (pp. 259-284).

Previous Blog Post
Next Blog Post