La ciberseguridad se ha convertido en una prioridad indiscutible para las empresas. Sin embargo, aún existe una brecha preocupante entre la inversión en tecnología y la preparación real de las personas que la utilizan: la formación se convierte en la gran debilidad de la ciberseguridad empresarial. En un entorno donde los ciberataques evolucionan constantemente y aprovechan, en muchos casos, el factor humano como principal puerta de entrada, la formación deja de ser un complemento para convertirse en una necesidad estratégica.
Sin embargo, muchas organizaciones siguen reaccionando tarde, activando medidas solo después de sufrir un incidente. ¿Qué está fallando realmente en la formación en ciberseguridad? ¿Están las empresas enfocando bien sus esfuerzos? ¿Y qué papel juegan los empleados en la protección de la información?
Para profundizar en estas cuestiones, hablamos con Mario José Martín, CEO de Grupo Unitel, que trabaja directamente con empresas y conoce de primera mano sus inquietudes, errores más comunes y el verdadero impacto de una formación bien planteada.
MUCHA TECNOLOGÍA, POCA CONCIENCIACIÓN
Para empezar, ¿qué está fallando actualmente en la formación en ciberseguridad en muchas empresas?
«En primer lugar, se asocia la formación en ciberseguridad con puestos relacionados con IT. La realidad es que cualquier trabajador de una compañía, independientemente de su departamento o funciones, puede ser un riesgo si no está concienciado con los peligros que existen.
Además, por desgracia, lo habitual es no darle la importancia necesaria a la cultura de ciberseguridad hasta que la compañía ya ha experimentado lo que significa tener una brecha de seguridad. La realidad es que un equipo concienciado minimiza los riesgos y en muchos casos evita que se llegue a sufrir un incidente.»
Habláis mucho de “formación a medida”. ¿Qué significa realmente eso en la práctica?
«Nuestro objetivo en Unitel Formación es adaptarnos a las necesidades y las condiciones de cada empresa. Cada sector y cada organización requiere de unas características, y es importante que la formación no suponga un problema o resulte invasiva, tanto para el desempeño diario de la compañía como para el empleado. Por este motivo, apostamos por una formación a medida tanto en contenidos como en modalidad.
No le puedes dar el mismo curso al contable que maneja transferencias que al operario de planta, sus riesgos son distintos y su tiempo también.»
¿Qué mensaje le darías a una empresa que cree que “esto no le va a pasar”?
«Las estadística no mienten y la realidad es que se realizan más de 45.000 intentos de ataque diarios. En el caso de las pymes, durante el pasado año 2025, se estima que el 60% sufrió algún tipo de ataque. El dato más preocupante es que apenas un 1% consiguió salir del incidente sin sufrir consecuencias negativas.
Añadir que la mayoría de esas empresas que no están preparadas, suelen cerrar a los meses del incidente. La cuestión ya no es “esto no me va a pasar”, sino ¿estoy preparado para cuando pase?»
¿Cuál es la falsa sensación de seguridad más habitual que detectáis en vuestros clientes?
Lo que nos encontramos más habitualmente es que se invierten miles de euros en protecciones perimetrales o mediante software pero se descuida totalmente el “firewall humano”. Siempre suelo poner el mismo ejemplo cuando hablo con mis clientes: ¿de qué sirve que inviertas en una puerta blindada, cámaras de seguridad y la mejor cerradura del mercado si la persona responsable de cerrar esa puerta antes de irse, y la persona encargada de conectar el sistema de cámaras no lo hacen?
Lo mismo ocurre con la ciberseguridad, de nada sirve contratar un software de protección de correo electrónico que te alerte en letras enormes y rojas de la dudosa proveniencia de un correo electrónico, si el usuario hace caso omiso y clica en el documento que tiene adjunto produciendo el fatal desenlace.
LA IMPORTANCIA DE FORMAR A LOS EQUIPOS
En un presente en constante cambio, donde las amenazas digitales no dejan de crecer, la ciberseguridad ya no se entiende únicamente como una cuestión tecnológica. Las herramientas son imprescindibles, pero no suficientes. El verdadero punto de inflexión está en las personas: la capacidad de cada usuario para identificar riesgos, actuar con criterio y formar parte activa de la protección de la empresa.
Nuestros comerciales nos dejan claro que esperar a que ocurra un incidente, confiar exclusivamente en soluciones técnicas o asumir que “esto no nos va a pasar” son errores que pueden salir muy caros para cualquier empresa.
Al final, la pregunta no es si una empresa puede permitirse invertir en formación en ciberseguridad, sino si puede permitirse no hacerlo.
