Solo cuatro de cada diez empresas creen que sus empleados están preparados para identificar amenazas de IA

Publicado el por
Executives view screen: EMPRESAS Y AMENAZAS DE IA: PREPARACIÓN LIMITADA, RIESGOS EMERGENTES, PLAN DE CONTINGENCIA.

La formación sobre seguridad se está consolidando como una herramienta clave para reducir el riesgo cibernético en las organizaciones. Sin embargo, pese a los avances, muchas organizaciones siguen teniendo dificultades para preparar adecuadamente a sus empleados frente a nuevas amenazas, especialmente las impulsadas por inteligencia artificial.

Así lo revela el Informe sobre Concienciación y Formación en Ciberseguridad 2025 de Fortinet, elaborado a partir de las respuestas de 1.850 directivos de TI y seguridad de todo el mundo, que analiza cómo las organizaciones están abordando la formación en seguridad y qué brechas siguen existiendo.

La IA aumenta la concienciación, pero no la preparación

El uso de la inteligencia artificial por parte de los ciberdelincuentes está elevando la preocupación dentro de las empresas. Casi nueve de cada diez organizaciones aseguran que las amenazas basadas en IA han incrementado la conciencia de los empleados sobre la importancia de formarse en seguridad.

Sin embargo, esa mayor sensibilización no siempre se traduce en capacidad real de respuesta. Solo alrededor del 40 % de los responsables de seguridad considera que sus empleados están realmente preparados para identificar, evitar y reportar ciberataques impulsados por IA.

Ante esta situación, las organizaciones están reforzando la formación en el uso seguro de herramientas de IA generativa (GenAI), controlando el intercambio de datos sensibles y desarrollando políticas específicas para el uso de IA y modelos de lenguaje (LLM). De hecho, la práctica totalidad de las empresas ya cuenta con políticas de seguridad relacionadas con IA o se encuentra en proceso de implementarlas. El reto, según el informe de Fortinet, radica en cómo aplicarlas de forma coherente y efectiva.

Crece la preocupación por el riesgo interno

Las amenazas externas siguen siendo el principal detonante para invertir en formación en ciberseguridad. Más del 40 % de las organizaciones afirma que los incidentes previos, las brechas de seguridad o los ataques sufridos por otras empresas del sector son los principales motivos para reforzar la formación.

No obstante, el informe detecta un cambio significativo: el riesgo interno está ganando protagonismo. Actualmente, más de una cuarta parte de las organizaciones identifica las amenazas internas como un factor clave para adoptar programas de formación, una cifra que ha aumentado de forma notable respecto al año anterior.

Este cambio también se refleja en los contenidos formativos. Aunque la seguridad y la privacidad de los datos siguen siendo los temas prioritarios, las amenazas relacionadas con IA y el uso de herramientas basadas en esta tecnología están ganando peso rápidamente.

La formación demuestra resultados medibles

Uno de los hallazgos más contundentes del estudio es que la formación funciona. El 67 % de las organizaciones afirma haber reducido de forma moderada o significativa los incidentes de seguridad, intrusiones o brechas tras implementar programas de concienciación y formación.

Además, las organizaciones están comenzando a medir con mayor precisión el impacto de estas iniciativas. Entre los indicadores más utilizados se encuentran:

  • reducción de incidentes de seguridad
  • feedback de los empleados
  • resultados de auditorías de seguridad

Cada vez más organizaciones combinan formación presencial y online con simulaciones, evaluaciones y refuerzos continuos, lo que refleja una transición desde programas puntuales hacia estrategias diseñadas para modificar comportamientos y reducir riesgos de forma sostenida.

Pese a los avances, el informe identifica un obstáculo recurrente: la baja participación en los programas formativos. Solo una pequeña proporción de organizaciones afirma que todos sus empleados completan las formaciones.

Como consecuencia, casi siete de cada diez responsables de seguridad consideran que el nivel de concienciación de los empleados sigue siendo insuficiente.

Para mejorar la eficacia de estos programas, el informe recomienda adoptar módulos de formación más breves y frecuentes, reforzar la responsabilidad en la finalización de los cursos y actualizar los contenidos para reflejar la evolución de las amenazas. En este contexto, la microformación periódica está cobrando relevancia como herramienta para mantener a los equipos al día, especialmente en un entorno marcado por la rápida evolución de la IA.

La seguridad pasa de ser una función técnica a una responsabilidad organizativa

Otro de los cambios más destacados es la evolución cultural en torno a la ciberseguridad es que la mayoría de los directivos considera ya que la concienciación sobre seguridad debe ser una responsabilidad compartida por toda la organización, y no únicamente por los departamentos de TI o seguridad.

Además, existe un amplio consenso en torno al uso de políticas corporativas para gestionar comportamientos de riesgo, especialmente cuando estas se combinan con programas de formación que expliquen su finalidad y relevancia.

Los resultados del informe apuntan a una conclusión clara: la formación en seguridad reduce los incidentes y fortalece la resiliencia organizativa. Sin embargo, el rápido avance de la inteligencia artificial está transformando el panorama de amenazas, al tiempo que amplía las superficies de riesgo dentro de las empresas.

En este contexto, las organizaciones que quieran mejorar su postura de seguridad deberán apostar por programas de formación continuos, relevantes y alineados con las amenazas actuales, integrándolos como parte fundamental de su estrategia de gestión del riesgo.

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.