Por qué el phishing sigue funcionando: cinco puntos ciegos en las empresas, según datos de KnowBe4

 

● El entrenamiento esporádico, el exceso de confianza y la baja madurez en
seguridad ayudan a explicar por qué el phishing continúa avanzando en

las empresas

Bogotá. Abril, 2026. A pesar del avance de las herramientas de ciberseguridad, el
phishing sigue siendo uno de los principales puntos de entrada para los ataques
contra las empresas. La razón va más allá de la tecnología: en muchos casos, las
brechas persisten en el comportamiento humano y en la forma en que las
organizaciones abordan la seguridad en sus operaciones cotidianas.
Un estudio de KnowBe4, la plataforma de renombre mundial que aborda
integralmente la gestión de riesgos relacionados con la IA humana y la IA
autónoma, refuerza este escenario. La empresa analizó 67.7 millones de
simulaciones de phishing realizadas con 14.5 millones de usuarios en más de
62,000 organizaciones a nivel mundial.
Antes de recibir cualquier capacitación en seguridad, el 33.1% de los usuarios hace
clic en enlaces o interactúa con mensajes de phishing simulados. Según la
empresa, los datos muestran que el problema no es solo la sofisticación de los
ataques, sino también fallas recurrentes dentro de las propias organizaciones. A
partir de este conjunto de datos, KnowBe4 identificó cinco puntos ciegos que
ayudan a explicar por qué el phishing sigue funcionando.

Cinco puntos ciegos en las organizaciones
● El entrenamiento sigue siendo tratado como una acción puntual: Cuando
la concientización ocurre de forma aislada, el impacto tiende a ser limitado.
Según el análisis, los programas de capacitación continua marcan una
diferencia más concreta. En 90 días, las tasas de susceptibilidad al phishing
pueden reducirse alrededor de un 40%.
● La cultura de seguridad sigue siendo frágil: Los mensajes que imitan
comunicaciones internas, como avisos de Recursos Humanos o de TI, siguen
siendo los que generan más clics en las simulaciones. Esto muestra cómo la
confianza en las rutinas corporativas puede ser fácilmente explotada cuando
la seguridad no forma parte de la cultura empresarial cotidiana.
● Falta de visibilidad sobre el riesgo humano: Muchas empresas monitorean
amenazas técnicas, malware y vulnerabilidades, pero aún rastrean el
comportamiento de los usuarios con menos atención. Métricas como el
Phish-prone Percentage (PPP), que mide la probabilidad de que los
empleados caigan en ataques de phishing, ayudan a incorporar este riesgo a
una gestión más concreta.

● El exceso de confianza sigue siendo un problema: Muchos profesionales
creen que serían capaces de identificar un intento de phishing. Sin embargo,
los datos muestran una realidad diferente: antes del entrenamiento,
aproximadamente un tercio de los usuarios aún interactúa con mensajes
simulados.
● Dependencia excesiva de la tecnología: Los filtros de correo electrónico y
otras capas de protección siguen siendo esenciales, pero no detienen todos
los ataques. Cuando un mensaje malicioso llega a la bandeja de entrada, la
decisión del usuario se vuelve crítica.
Según KnowBe4, los programas de capacitación y concientización continua
pueden reducir el riesgo de phishing hasta en un 86% después de un año. Para la
empresa, esto refuerza que el comportamiento humano debe ser tratado como
una parte central de la estrategia de ciberseguridad.
“Muchas organizaciones todavía tratan el phishing únicamente como un
problema tecnológico, cuando en realidad está directamente vinculado al
comportamiento humano. Sin capacitación continua y una cultura de
seguridad sólida, incluso las mejores herramientas pueden ser insuficientes”,
dice Rafael Peruch, Asesor Técnico de CISO en KnowBe4.

Acerca de KnowBe4
KnowBe4 ayuda a los equipos de trabajo a tomar decisiones más inteligentes en materia de
seguridad todos los días. Con la confianza de más de 70,000 organizaciones en todo el mundo,
KnowBe4 fortalece la cultura de seguridad y gestiona el riesgo humano a través de una plataforma
integral impulsada por inteligencia artificial. Su suite HRM+ incluye módulos de capacitación en
concienciación y cumplimiento, seguridad de correo electrónico en la nube, entrenamiento en
tiempo real, anti-phishing colaborativo, agentes de defensa con IA, entre otros. Más información en
knowbe4.com.
Sigan a KnowBe4 en LinkedIn y X.