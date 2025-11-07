Israel Fuentes, líder de ciberseguridad en Defontana, explica cómo transformar la concientización digital en ciberhigiene: un hábito tan natural como lavarse las manos.

El 60% de las brechas de seguridad en América Latina tienen un denominador común: el error humano. Mientras las organizaciones invierten millones en tecnología de punta, el verdadero punto vulnerable permanece sin resolver. La paradoja es evidente: puedes blindar tu infraestructura con las mejores soluciones del mercado, pero basta un clic equivocado para comprometer todo el sistema.

“Puedes controlar máquinas, establecer políticas y parametrizar sistemas al cien por ciento, pero jamás controlarás completamente al ser humano”, advierte Israel Fuentes, líder de ciberseguridad y seguridad de la información en Defontana. La razón es simple: ninguna inversión garantiza la lealtad absoluta de un empleado descontento o la atención permanente de usuarios sometidos a presiones diarias.

Del cumplimiento obligatorio a la ciberhigiene

La industria está abandonando el término “concientización” en favor de uno más preciso: ciberhigiene. El concepto no es casual. El objetivo es convertir la seguridad digital en un hábito automático, comparable a lavarse las manos después de ir al baño o revisar ambos lados antes de cruzar la calle.

“Cuando la gente ve la capacitación como un estudio impuesto o un requisito para mantener la certificación ISO, genera resistencia. La gamificación cambia esa percepción completamente”, explica Fuentes. En Defontana implementaron ejercicios de phishing simulado que elevaron la tasa de reporte voluntario del 10% al 70% en un año.

Esta conversación con Israel Fuentes cerró nuestra semana intensiva de Jornadas Digitales sobre Ciberresiliencia: Estrategias de Recuperación y Continuidad. Descubre todas las sesiones y ponentes aquí.

La estrategia incluye tres pilares fundamentales: capacitación obligatoria en ciberseguridad básica para todos los nuevos ingresos, identificación de correos externos como primera barrera de protección, y eliminación del miedo a reportar actividades sospechosas. “Preferimos que un empleado pregunte antes de hacer clic, que descubrir su equipo bloqueado por ransomware”, señala Fuentes.

La clave está en trasladar los conceptos a la vida cotidiana. Las capacitaciones de Defontana se enfocan en situaciones reales: llamadas de spam, mensajes sospechosos en LinkedIn, solicitudes bancarias fraudulentas. Cuando el usuario identifica amenazas en su entorno personal, automáticamente refuerza su defensa en el ámbito corporativo.

Inteligencia artificial: el nuevo aliado de los atacantes

Los ciberdelincuentes están usando IA generativa para crear phishing tan sofisticado que evaden el Microsoft Defender 365. La técnica más reciente involucra diccionarios de caracteres cirílicos: utilizan letras rusas visualmente idénticas a las latinas, con diferencias de apenas un píxel que engañan tanto a sistemas de detección como a usuarios experimentados.

El phishing dirigido representa la amenaza más peligrosa. Los atacantes estudian a sus víctimas durante meses, analizan su ortografía, conocen sus contactos frecuentes y replican patrones de comunicación. Contra esta estrategia de ingeniería social avanzada, la única defensa efectiva es el pensamiento crítico constante y la validación de información por canales alternativos.

Paralelamente, el ransomware como servicio (RaaS) democratizó los ciberataques. Organizaciones criminales ofrecen plataformas completas que explotan vulnerabilidades conocidas en sistemas desactualizados, especialmente en sectores como banca que operan con tecnología heredada.

Tres claves para iniciar en América Latina

Para empresas latinoamericanas con recursos limitados, Fuentes recomienda comenzar con lo gratuito: políticas claras, ejercicios de phishing simulado y capacitación interna. Una certificación ISO 27001 puede costar entre 15,000 y 65,000 dólares, pero la educación básica no requiere inversión significativa.

Las tres claves operativas son: definir el público objetivo (alta dirección versus personal operativo) para ajustar el lenguaje, preparar contenido relevante basado en las necesidades reales del grupo, y mantener comunicación constante en lugar de campañas esporádicas previas a auditorías. “Enviar un boletín cada tres semanas es más efectivo que bombardear a la gente solo cuando toca renovar certificaciones”, asegura.

“La ciberseguridad dejó de ser exclusivamente militar. Es parte de la vida diaria”, concluye Fuentes. En un continente donde el 90% de ataques exitosos comienzan con phishing, transformar usuarios pasivos en aliados activos no es opcional: es supervivencia empresarial.