La formación tradicional contra el phishing no funciona: lo llevamos años diciendo — y ahora la ciencia lo confirma
Nos complace ver que la investigación científica confirma por fin lo que en Phished llevamos años afirmando: la formación contra el phishing, tal y como se aplica actualmente en la mayoría de las organizaciones, no reduce el riesgo de ser hackeado. Por eso creamos Zero Incident Mail™: una protección real de correo electrónico sin incidentes que previene filtraciones causadas por errores humanos y compensa lo que los filtros antispam no logran bloquear.
Un estudio pionero en condiciones reales, realizado por la Universidad de California (San Diego) y la Universidad de Chicago analizó durante ocho meses a más de 19.000 empleados. El estudio, fué presentado en la conferencia de seguridad Black Hat 2025 (slides – lectura de 5 minutos), y los resultados fueron claros y concluyentes, reforzando los hallazgos anteriores de ETH Zurich: las simulaciones de phishing y las formaciones integradas, tal como se aplican hoy en día, no tienen impacto real.
Ya lo explicamos en 2021 en nuestro blog ¿El secreto para no caer en el phishing? Deja de confiar solo en simulaciones, donde advertimos que las simulaciones por sí solas no cambian el comportamiento de los empleados, y que es necesario un enfoque formativo integral para lograr la tasa de cero incidentes en materia de ciberseguridad. Las empresas que siguen ejecutando campañas tradicionales siguen teniendo usuarios de alto riesgo: reincidentes, personas que introducen información sensibles y usuarios primerizos que hacen clic, manteniendo tasas de clics medias del 10 %, independientemente del número de simulaciones.
El fracaso de la formación tradicional frente a un enfoque integral
Lo que se necesita es un enfoque verdaderamente integral, que vaya más allá del “momento didáctico” de las formaciones insertadas en el correo. El estudio demuestra que la mayoría de usuarios cierra las ventanas emergentes de formación en menos de diez segundos. Y es lógico: nadie quiere dedicar tiempo a la formación en ciberseguridad mientras está gestionando su bandeja de entrada. Por eso en Phished no interrumpimos el flujo de trabajo. En su lugar, ofrecemos sesiones estructuradasde aprendizaje basadas en el riesgo real, que captan la atención y permiten que el conocimiento se retenga a largo plazo.
Reforzamos el comportamiento positivo a través de nuestra Puntuación de Riesgo Conductual™ (BRS), que ofrece a los empleados y a sus equipos una manera clara de seguir y celebrar sus avances. Además, fomentamos la resiliencia general mediante prácticas de higiene digital que aseguran tanto las aplicaciones como los dispositivos personales y profesionales —una necesidad crítica, ya que en torno al 50 % siguen sin estar protegidos.
Y dado que las tácticas de los ciberdelincuentes evolucionan constantemente, nuestra Cyber Newsroommantiene a los empleados informados sobre las amenazas más recientes y les ofrece recomendaciones claras y prácticas.
“Llevamos años advirtiendo que las simulaciones de phishing, en su forma actual, no reducen realmente el riesgo — y ahora la ciencia lo demuestra. Por eso hemos creado un modelo que protege a las personas a la vez que las forma: para que los errores humanos no se conviertan en incidentes.” — Jo Vandebergh, CEO de Phished.
Por qué fallan tus filtros de spam — y cómo lo soluciona Zero Incident Mail™
El 95 % de las empresas confía en los filtros antispam de Microsoft 365 o Google Workspace, a menudo reforzados con capas adicionales de seguridad. Pero estos sistemas fueron diseñados originalmente para bloquear spam masivo o mensajes comerciales, no ataques de phishing dirigidos y potenciados por la Inteligencia Artificial. Y por muy buena que sea la formación, no se puede esperar que los empleados compensen lo que la tecnología no logra detectar.
Por eso es imprescindible combinar una formación integral basada en el riesgo con una verdadera protección de correo sin incidentes, para evitar filtraciones provocadas por errores humanos.
Seguridad de correo “zero trust” tradicional vs. Zero Incident Mail™
La seguridad de correo electrónico basada en el modelo zero trust o cero confianzas parte de un principio claro: no confiar en nada por defecto. Cada mensaje, enlace y archivo adjunto debe verificarse antes de ser entregado o abierto. Esto incluye autenticación de dominios (SPF, DKIM, DMARC), cifrado obligatorio, análisis del contenido en tiempo real y verificación de identidad robusta (como MFA).
Sin embargo, estas medidas no bastan. El modelo zero trust tradicional nunca ha funcionado del todo frente al phishing real. Por eso se añade formación en concienciación —pero las cifras lo dejan claro: la formación por sí sola no evita incidentes.
Aquí es donde entra Zero Incident Mail™ (ZIM): una nueva capa zero trust que neutraliza al instante los clics peligrosos. Así, aunque un empleado se equivoque, ninguna amenaza llegará a tu infraestructura. Esta solución responde perfectamente a una de las principales recomendaciones del estudio: formación y protección deben ir de la mano.
En resumen: llevamos tiempo haciendo lo que ahora valida la ciencia: no culpemos a las personas, protejámoslas y acompañémoslas. Convirtamos los errores humanos en oportunidades de aprendizaje seguras y positivas —no en motivos de vergüenza.
Jo Vandebergh
CEO de Phished
