Por qué el futuro de la ciberseguridad depende de las personas – no solo de la tecnología

Durante años, la historia de la ciberseguridad se ha contado en el lenguaje de las máquinas. Firewalls, software antivirus, sistemas de detección de intrusiones y ahora computación cuántica e inteligencia artificial: cada nueva herramienta promete superar a la próxima oleada de ciberataques.

Pero, a pesar de toda esta innovación, las violaciones de seguridad siguen ocurriendo a diario y la mayoría de ellas no son causadas por exploits de última generación, sino por personas. En 2024, por ejemplo, el 95% de las violaciones de datos estuvieron relacionadas con errores humanos.

Las defensas más sofisticadas a menudo fallan porque los empleados no tienen la formación en ciberseguridad necesaria para utilizarlas correctamente. Por lo tanto, si el objetivo es la resiliencia digital, la inversión en personal debe estar a la altura de la inversión en tecnología.

El modo en que formamos a las personas para trabajar en el mundo cibernético no ha cambiado desde hace años, a pesar de que los cambios tecnológicos han dejado obsoletos los currículos tradicionales. Pese a que los diplomas seguirán siendo importantes, no pueden ser la única forma de impartir formación en ciberseguridad.

La formación debe ser más rápida y adaptable. La opción de cursos cortos, desarrollados en colaboración con empresas, gobiernos y universidades, puede proporcionar a los estudiantes y a los trabajadores activos habilidades actualizadas. Las herramientas generativas creadas con inteligencia artificial (IA) pueden facilitar la actualización de los cursos, pero siempre deben emplearse en colaboración con educadores humanos y profesionales de ciberseguridad. Sin esa colaboración, la formación siempre irá por detrás de la amenaza.

Igualmente importante es que la formación no se limite al departamento de TI. Todos los empleados, desde el personal de la planta de producción hasta el CEO, necesitan tener conocimientos suficientes sobre ciberseguridad para detectar actividades sospechosas y reaccionar de forma responsable. El objetivo no es convertir a todos en expertos en ciberseguridad, sino reducir la brecha entre los especialistas y el resto de la organización.

La escasez mundial de talentos en ciberseguridad está bien documentada. El Foro Económico Mundial ha demostrado que la demanda de profesionales con estas habilidades sigue superando a la oferta. Pero formar a más expertos no resolverá el problema.

La solución está en incorporar la seguridad a la cultura organizativa cotidiana. Cuando los empleados son capaces de identificar un intento de phishing o un vídeo falso, el sistema en su conjunto se vuelve más fuerte. Conceptos como el razonamiento adversarial y la cultura de la IA ya no deberían estar reservados a los especialistas. La seguridad tiene que extenderse a toda la fuerza laboral, no quedarse limitada a un nicho.

Lo que hace que este momento sea diferente es el papel cada vez más importante de la IA. Estos sistemas no son solo herramientas, sino que están determinando los comportamientos. Una fuerza laboral instruida únicamente en procedimientos técnicos quedará indefensa si no es capaz de cuestionar las implicaciones éticas de la tecnología que ve y utiliza.

Por ello, integrar la ética y el razonamiento crítico en la capacitación en ciberseguridad ya no es opcional. Investigaciones como este artículo, titulado Bad machines corrupt good morals ("Las máquinas malas corrompen la buena moral"), demuestran cómo la IA puede influir en las decisiones de maneras que llevan a personas, que de otro modo serían responsables, a actuar de forma perjudicial. Por lo tanto, la formación debe preparar a los individuos para cuestionar las salidas (outputs), reconocer la manipulación y resistir formas sutiles de coerción.

Los hackers siempre se han aprovechado de los errores humanos: los mensajes de phishing son un ejemplo clásico. Lo que es nuevo es la sofisticación del engaño. Ahora, las voces deepfake pueden imitar a los ejecutivos. La IA permite generar mensajes falsos capaces de eludir las sospechas. Cada día es más difícil distinguir la verdad de la mentira.

Al mismo tiempo, la IA reduce las barreras para los delincuentes. Las habilidades que antes requerían dominio técnico ahora están al alcance de cualquiera que tenga un teclado. Con unas pocas instrucciones se puede generar código malicioso o una estafa cibernética persuasiva. Gente que nunca imaginó cometer un delito cibernético puede encontrarlo de repente a su alcance.

La erosión de la responsabilidad es otro riesgo que se pasa por alto. En el hacking tradicional, la intención era explícita porque se emitía una orden o se cometía un delito. Con los sistemas de IA, la intención es difusa. Una orden vaga puede interpretarse y ejecutarse de forma autónoma, lo que permite a los usuarios eximirse de responsabilidad.

Esta brecha de responsabilidad tiene graves consecuencias. Tribunales y reguladores tendrán dificultades para demostrar la intención, mientras que los individuos se esconderán detrás de las máquinas. Para contrarrestar esto, los trabajadores deben recibir formación para comprender que delegar no elimina la responsabilidad. Se necesitarán nuevos marcos de gobernanza, pero las organizaciones deben seguir inculcando la conciencia de que no se puede transferir la responsabilidad ética. Como destaca una investigación reciente, esta zona gris de "intención implícita" es una de las fronteras más urgentes para la ley y la práctica.

La ciberseguridad no puede seguir siendo una competencia privada entre empresas o gobiernos. Es un bien público, fundamental para la confianza económica y la estabilidad social. Como todo bien público, requiere cooperación.

Esto implica invertir en educación y reciclaje profesional constante. Implica establecer alianzas que compartan conocimientos en lugar de ocultarlos. Y significa priorizar la diversidad para que las soluciones reflejen la realidad de una amenaza global. Las perspectivas limitadas producen defensas frágiles.

La creciente complejidad de la ciberseguridad global demuestra que ningún Estado ni actor puede resolverla por sí solo. La única respuesta viable es la acción colectiva. Y la tecnología por sí sola tampoco puede salvarnos. Los firewalls y el cifrado son importantes, pero las personas son mucho más. Solo podremos garantizar la ciberseguridad si esta se convierte en parte de nuestra vida cotidiana.

Esto no puede recaer sobre los hombros de un reducido grupo de expertos, sino que debe tratarse como un deber cívico, debatirse en las aulas, las salas de juntas y las comunidades. Debe ser una responsabilidad colectiva integrada en los hábitos de la vida cotidiana. Los Global Future Councils del Foro Económico Mundial ya están reflexionando sobre cómo crear un entorno digital seguro, inclusivo y libre. Ese futuro es alcanzable, pero requiere actuar hoy. Los retrasos aumentan los riesgos, mientras que la colaboración abre nuevas oportunidades.

Todos debemos jugar un papel en el esfuerzo por la ciberseguridad, pero ¿seremos un punto débil o un potente firewall humano?