El uso de contraseñas fáciles de adivinar va en aumento (piensa en el clásico “password123”). Eso no es lo que queremos. A los actores maliciosos les encanta cuando se lo ponemos fácil. El uso de MFA, otro acrónimo críptico y difícil de entender para la autenticación multifactor, está cayendo, como una roca desprendida de una montaña. Ahora vemos la misma espiral descendente en respaldar datos, instalar actualizaciones de software y acceder a capacitación en seguridad: hacia abajo, hacia abajo y hacia abajo. 

“No es un panorama alentador”, dijo Lisa Plaggemier, directora ejecutiva de la National Cybersecurity Alliance, durante la conferencia Convene de NCA en Clearwater, Florida, el 3 de marzo de 2026. “Necesitamos adoptar un enfoque distinto en cómo motivamos e inspiramos a las personas. Nuestra capacitación no es ni divertida ni cercana. La tendencia general muestra un aumento significativo de actitudes fatalistas hacia la pérdida financiera y de datos”. 

El NCA trabajó junto con el equipo de concientización en ciberseguridad de TIAA para analizar el problema y las posibles soluciones en este artículo.  

En sus comentarios de apertura del evento, Plaggemier desmenuzó toda esta noticia desalentadora que emanó de la encuesta anual de NCA a más de 25,000 adultos. Los hallazgos se han resumido y analizado en un nuevo informe, el Informe Oh Behave sobre actitudes y comportamientos de ciberseguridad 2021-2025. 

La concientización en ciberseguridad, en general, ha aumentado. Pero el uso de la seguridad en línea y la confianza de que vale la pena aplicar los aspectos básicos de seguridad han disminuido en múltiples dimensiones. Hay una pregunta seria que se cierne: “¿Vale la pena dedicarle tiempo a la ciberseguridad?  

El mensaje de fondo que están comunicando los consumidores es este: “Solo porque estoy al tanto no significa que me importe”. 

Por más preocupante que sea, es lo que debemos enfrentar, aceptar y destacar. 

Estadísticas desalentadoras: la ciberseguridad confunde y abruma 

No tienes que buscar mucho en este informe para encontrar estadísticas preocupantes que te hacen preguntarte: “¿Debería replantearse por completo la concientización sobre ciberseguridad porque no está funcionando?”  

Enfoquémonos en algunas de las más dramáticas del nuevo informe Oh Behave:

• Un aumento “preocupante” del “fatalismo en seguridad”, la creencia de que los esfuerzos son inútiles porque los datos ya están en línea y, por lo tanto, nos hacen sentir menos seguros; este “fatalismo” alcanzó 34% en 2025, frente a 22% en 2023 

• La confusión sobre cómo interpretar y seguir la información de seguridad subió de 39% en 2021 a 45% en 2025 

• Las personas que minimizan las acciones de protección aumentaron de 34% en 2022 a 43% en 2025 porque se sienten abrumadas por toda la capacitación en ciberseguridad y los recordatorios constantes 

• La información de seguridad es tan compleja que está generando niveles generalizados de confusión: alcanzó 45% en 2025, frente a 39% en 2021; de igual manera, quienes se sienten abrumados sumaron 43% en 2025, frente a 34% en 2022 

• El uso regular de MFA se desplomó de 94% en 2022 a solo 53% en 2025; un porcentaje creciente de encuestados cree que sus contraseñas son lo suficientemente seguras, por lo que eligieron no usar MFA 

• El uso de contraseñas que incluyen información personal fácil de adivinar (p. ej., nombres de mascotas, fechas de nacimiento) ha aumentado de forma constante durante los últimos cuatro años; este comportamiento imprudente y de alto riesgo subió de 25% en 2022 a 37% en 2025 

• Las personas que “siempre” revisan los mensajes (como los correos electrónicos para detectar intentos de phishing) bajaron de 51% en 2021 a 36% en 2021. ¿Por qué? Porque un porcentaje creciente no cree que revisar los mensajes ayude a detener a los ciberdelincuentes, pasando de 44% (2022) a 68% (2025) 

“Parece que el principal desafío no son las intenciones de las personas, sino la complejidad, el costo y la fatiga psicológica impuestas por el entorno de seguridad, que están empujando a muchas personas a desconectarse de la seguridad a pesar de su motivación inicial”, señala el informe. “Los hallazgos pintan un panorama desalentador: el problema no es que la gente no entienda la importancia de la ciberseguridad, sino que la complejidad, el costo y las cargas cognitivas del entorno de seguridad actual los están llevando hacia la apatía a pesar de sus buenas intenciones”. 

A lo largo de los cinco años, ha habido un “cambio negativo” en las experiencias psicológicas relacionadas con la seguridad. Casi la mitad de los encuestados se muestra apática e inactiva respecto a la ciberseguridad. 

Cómo revertir estas tendencias 

Durante un seminario web el 11 de marzo, Plaggemier ofreció ideas y alentó a los profesionales de ciberseguridad a unirse a ella para pensar maneras de revertir estas tendencias. Cree que es necesario hacer que la concientización en ciberseguridad sea más entretenida, divertida, sorprendente, atractiva, personalizada y humanizada. Dicho de otra manera, hacerla todo menos aburrida, menos predecible y nada repetitiva. Deslumbra. Entretén. Usa jugadas de distracción para captar la atención. 

Cree que los comportamientos y la concientización en ciberseguridad deben ser “lo más fáciles posible, para resolver la desconexión entre que las personas estén al tanto de la ciberseguridad pero no tomen medidas para fortalecerla. Una solución única para todos probablemente no sea suficiente. Una capacitación personalizada para distintos grupos de edad probablemente sería más efectiva. Tenemos que poner mensajes diferentes en manos de las personas y adoptar un enfoque muy distinto. Crear más narrativas es una forma de lograrlo”. 

Durante el evento Convene, varios oradores compartieron técnicas que les han ayudado a ejecutar programas eficaces de concientización en ciberseguridad, como: 

• No solo decirles a las personas cuáles son las mejores prácticas; más bien, involucrarlas. Piensa en el progreso evolutivo así: “Dímelo, está bien; muéstramelo, eso está bien; involúcrame y me habrás convencido. Ya me convenciste”. 

• Gamifica – por alguna razón, a muchas personas les encanta jugar; así que dales juegos, y también les encantan los premios y las insignias; recompénsalos con eso también 

• Ofrece a los participantes retroalimentación inmediata y más frecuente sobre sus comportamientos de desempeño en ciberseguridad; en el momento, específica y directa: no esperes hasta el Mes de la Concientización sobre la Ciberseguridad para decírselos 

• Establece rutas de aprendizaje independientes y personalizadas para cada persona; la gente no conecta con una capacitación generalizada que no se relaciona directamente con su trabajo y su vida diaria, así que trátalas como personas únicas con necesidades idiosincrásicas 

Recuerda siempre que la ciberseguridad es un deporte de equipo. Y si quieres más consejos y trucos para lograr que la gente se interese, ¡suscríbete al boletín informativo gratuito por correo electrónico de la NCA!