2LRN4 security awareness platform
← Volver a la base de conocimientos

La diferencia entre la concienciación en seguridad y en privacidad

La ciencia descompone la concienciación en seguridad en conocimiento, actitud y comportamiento, y la concienciación en privacidad en percibir, comprender y aplicar. Precisamente esa diferencia explica por qué la seguridad exige un cambio de comportamiento y la privacidad la aplicación de conocimiento, y por qué un único formato de formación se queda corto para ambos temas.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En resumen

  1. La concienciación en seguridad y la concienciación en privacidad proceden de tradiciones de investigación distintas. Desde hace veinte años, la concienciación en seguridad se mide como un tríptico de conocimiento, actitud y comportamiento (Kruger y Kearney, 2006; Parsons et al., 2014), mientras que la concienciación en privacidad se describe más bien como conciencia situacional: percibir que una situación exige aplicar las reglas y, a continuación, aplicarlas correctamente (Correia y Compeau, 2017).
  2. En la seguridad, la brecha entre saber y hacer está bien documentada: la formación eleva sobre todo el conocimiento y la actitud, mientras que el comportamiento se mueve mucho menos. Esto se debe a que un atacante explota precisamente el procesamiento rápido y automático; en ese momento, el conocimiento solo ayuda si el comportamiento correcto ya se ha convertido en hábito (Vishwanath et al., 2011; Prümmer, van Steen y van den Berg, 2024).
  3. La hipótesis de que la concienciación en privacidad consiste en aplicar conocimiento y la concienciación en seguridad en cambiar el comportamiento queda en gran medida respaldada por la literatura, pero como una diferencia de énfasis y no como una división absoluta. También en la privacidad saber y hacer divergen (la paradoja de la privacidad), y una gran parte de las brechas notificadas son errores de rutina, como una carta o un correo electrónico enviado al destinatario equivocado (DLA Piper, 2026).

En los programas de formación, la concienciación en seguridad y la concienciación en privacidad se mencionan a menudo de forma conjunta. Las organizaciones las contratan juntas, las planifican en la misma ronda anual y las encajan en el mismo formato, por lo general un módulo de e-learning con una prueba de conocimientos. Sin embargo, los dos temas exigen algo esencialmente distinto a una persona trabajadora. La hipótesis de este estudio es que la privacidad consiste sobre todo en aplicar en el momento adecuado el conocimiento de reglas y procedimientos, mientras que la seguridad consiste sobre todo en cambiar el propio comportamiento, hasta en los reflejos.

Este informe contrasta esa hipótesis con la investigación científica. Da continuidad a dos informes anteriores de esta serie: El problema de la atención, sobre lo que las simulaciones de phishing logran y lo que no, y Los primeros meses vulnerables, sobre el momento de la primera formación. Aquellos informes trataban de la seguridad; este coloca la seguridad y la privacidad una al lado de la otra.

Sobre este informe

Tipo
Revisión bibliográfica basada en investigación científica revisada por pares y en publicaciones de organismos de referencia.
Pregunta principal
¿Exigen la concienciación en seguridad y la concienciación en privacidad un enfoque distinto, en el que la concienciación en privacidad se reduzca sobre todo a aplicar conocimiento y la concienciación en seguridad sobre todo a cambiar el comportamiento?
Subpreguntas
  1. ¿Cómo define la literatura ambos conceptos y de qué componentes se componen?
  2. ¿En qué medida se traduce el conocimiento, en el caso de la seguridad, en un comportamiento seguro?
  3. ¿Presenta la privacidad la misma brecha entre saber y hacer, y vale también para quienes tratan datos de otras personas?
  4. ¿Difiere el tipo de situación en la que cada forma de concienciación ha de demostrarse?
  5. ¿Qué implica esto para el diseño de un programa de formación?
Fuentes
Instrumentos de medición de la concienciación en seguridad (el modelo KAB, el HAIS-Q), estudios de revisión y un metaanálisis sobre formación en seguridad, la investigación sobre la paradoja de la privacidad, trabajos conceptuales sobre la concienciación en privacidad, así como cifras de autoridades europeas de protección de datos y de la ENISA.
Fecha de cierre
Junio de 2026.

01 · MARCODos conceptos de tradiciones distintas

Quien coloca lado a lado la literatura científica sobre ambas formas de concienciación advierte de inmediato una diferencia de origen. La investigación sobre la concienciación en seguridad hunde sus raíces en la pregunta de cómo una organización consigue que su personal cumpla la política de seguridad. El fundamento más utilizado para ello es el modelo KAB, que concibe la concienciación como un tríptico de conocimiento (lo que se sabe), actitud (lo que se piensa) y comportamiento (lo que se hace) (Kruger y Kearney, 2006). El instrumento de medición más sólidamente validado, el Human Aspects of Information Security Questionnaire (HAIS-Q), se construye explícitamente sobre ese modelo y mide las tres capas a lo largo de siete áreas de atención, desde las contraseñas hasta la notificación de incidentes (Parsons et al., 2014). En esta tradición, por tanto, el comportamiento no es un subproducto de la concienciación, sino una parte fija de la definición. También el influyente estudio de cumplimiento de Bulgurcu, Cavusoglu y Benbasat (2010) aborda la concienciación desde la pregunta de si, al final, el personal se comporta conforme a la política.

La investigación sobre la concienciación en privacidad es más joven y de naturaleza distinta. La amplia revisión de Smith, Dinev y Xu (2011) muestra que la investigación sobre privacidad se ha centrado desde siempre en las preocupaciones, las actitudes y los equilibrios en torno a compartir datos, y mucho menos en el comportamiento en un entorno laboral. Allí donde el concepto se desarrolla, lo hace llamativamente a menudo en forma de conocimiento. La Online Privacy Literacy Scale (OPLIS) concibe la alfabetización en privacidad expresamente como conocimiento, tanto conocimiento factual de reglas y prácticas como conocimiento de procedimientos para proteger los datos (Trepte et al., 2015). Correia y Compeau (2017) van un paso más allá y describen la concienciación en privacidad como una forma de conciencia situacional, según el modelo de Endsley: percibir una situación, comprender lo que significa y prever lo que puede ocurrir. En esa lectura, la concienciación en privacidad es la capacidad de ver que hay datos personales en juego y de comprender qué norma se aplica, tras lo cual el conocimiento puede ponerse en práctica.

Dos tradiciones, cada una con su centro de gravedad

Cómo construye la literatura cada forma de concienciación

CONCIENCIACIÓN EN SEGURIDAD tres niveles, según Kruger y Kearney (2006) Conocimiento lo que se sabe Actitud lo que se piensa Comportamiento lo que se hace CONCIENCIACIÓN EN PRIVACIDAD conciencia situacional, según Correia y Compeau (2017) Percibir aquí hay datos personales Comprender qué norma se aplica aquí Aplicar convertir el saber en acción

Figura 1 Cómo construye la literatura cada concepto. En la concienciación en seguridad, el comportamiento es una parte fija de la definición y, en la práctica, el eslabón más débil; en la concienciación en privacidad, el énfasis recae en reconocer la situación y aplicar el conocimiento. Según Kruger y Kearney (2006) y Correia y Compeau (2017).

02 · HALLAZGOEn la seguridad, el cuello de botella no es el conocimiento

Que conocimiento y comportamiento no coinciden en la seguridad ya se puso de manifiesto en la primera aplicación del modelo KAB. En el estudio de caso de Kruger y Kearney (2006) en una empresa minera internacional, el personal obtuvo un 77 por ciento en conocimiento y un 76 por ciento en actitud, pero solo un 54 por ciento en comportamiento. Lo que el personal sabía y pensaba era, pues, más que suficiente, pero lo que hacía en la práctica quedaba muy por detrás. Estudios de validación posteriores confirman esa imagen. En quinientos trabajadores australianos, el conocimiento de las reglas y los procedimientos se asociaba con más fuerza a la actitud que al propio comportamiento de seguridad, de lo que los investigadores concluyen que la formación debe explicar no solo lo que se espera, sino también por qué importa (Parsons et al., 2014).

La investigación de síntesis apunta en la misma dirección. Una revisión sistemática de 142 estudios sobre formación en seguridad constata que la mayoría mide su efecto en términos de conocimiento o de intenciones en lugar de comportamiento real, que los efectos suelen medirse tras una única sesión de formación, sin medición de seguimiento, y que un cambio de comportamiento duradero no puede, por tanto, establecerse con certeza, pese a que ese cambio exige repetición, ya que los hábitos solo se forman mediante la repetición (Prümmer, van Steen y van den Berg, 2024). El metaanálisis correspondiente muestra que la formación mejora con claridad el conocimiento y la concienciación de los usuarios finales, pero que el efecto sobre el comportamiento a largo plazo es más modesto (Prümmer, van Steen y van den Berg, 2024). Ya en 2015, Bada, Sasse y Nurse concluían que la información por sí sola no cambia el comportamiento: las personas también deben poder aplicar el consejo y estar motivadas para hacerlo. La ENISA extrae la misma lección y aboga por un desplazamiento de la información hacia el cambio de comportamiento y la cultura (ENISA, 2019).

Para la parte de la hipótesis que atañe a la seguridad, la evidencia es, así, sólida: el cuello de botella no está en lo que el personal sabe, sino en lo que hace bajo la presión del momento. En El problema de la atención ya describíamos que el phishing es más un problema de atención que de conocimiento, y que una tasa de clic a la baja dice poco sobre lo que el personal ha aprendido realmente.

Saber, pensar y hacer divergen

Puntuaciones por dimensión en el estudio de caso de Kruger y Kearney (2006)

Conocimiento 77% Actitud 76% Comportamiento 54% 0% 50% 100%

Figura 2 Puntuaciones en las tres dimensiones de la concienciación en seguridad en el estudio de caso de Kruger y Kearney (2006): conocimiento 77 por ciento, actitud 76 por ciento y comportamiento 54 por ciento. La brecha entre saber y hacer se ha reencontrado desde entonces en numerosos trabajos.

03 · HALLAZGOTambién en la privacidad saber y hacer divergen

Quien toma la hipótesis al pie de la letra esperaría que saber y hacer coincidieran en la privacidad. La investigación muestra otra cosa, y el fenómeno tiene incluso un nombre propio: la paradoja de la privacidad. En el experimento que le dio nombre, los participantes revelaron bastante más información personal de la que habían anunciado de antemano (Norberg, Horne y Horne, 2007). Pötzsch (2009) describe la misma brecha: también quien es consciente de la privacidad a menudo no se comporta en consecuencia. Estudios de revisión confirman que las actitudes y las preocupaciones sobre la privacidad solo predicen débilmente lo que las personas hacen en realidad al compartir datos, y lo explican, entre otras cosas, por equilibrios de comodidad y beneficio, por incertidumbre y por la fuerte influencia del contexto en las preferencias de privacidad (Kokolakis, 2017; Gerber, Gerber y Volkamer, 2018; Acquisti, Brandimarte y Loewenstein, 2015).

Existe, no obstante, una diferencia importante con el entorno laboral. Casi toda esta investigación versa sobre personas que deciden acerca de sus propios datos, como consumidores que comparten algo a cambio de comodidad, un descuento o contacto. Solove (2021) señala además que de ese comportamiento poco puede deducirse sobre las actitudes, porque las personas sopesan algo distinto en una situación concreta que ante una pregunta general. Una persona empleada que trata datos personales de clientes, pacientes o colegas desempeña un papel esencialmente distinto: no se trata de sus propios datos, la ventaja personal del intercambio desaparece en gran medida y la cuestión no es cuánto quiere compartir, sino si el tratamiento se ajusta a las reglas de la organización y a la ley. Ese papel exige sobre todo reconocer y aplicar: ver que algo es un dato personal, saber si existe una base jurídica, reconocer una solicitud de una persona interesada y notificar una brecha a tiempo. Sobre este papel del personal se ha investigado llamativamente poco y, además, la delimitación del concepto de concienciación en privacidad varía de un estudio a otro (Smith, Dinev y Xu, 2011; Correia y Compeau, 2017).

Conviene subrayar aquí un matiz. Las cifras de la práctica muestran que los incidentes de privacidad no son ni mucho menos siempre incidentes de conocimiento. A escala europea, las autoridades de control reciben ya una media de 443 brechas de datos notificadas al día, un aumento del 22 por ciento en un solo año (DLA Piper, 2026). Una parte sustancial de ellas no son ciberataques sofisticados, sino errores humanos de rutina: una carta o un correo electrónico enviado al destinatario equivocado figura de forma constante entre los tipos de brecha más notificados, y el error humano es una de las principales causas de brechas en Europa (ENISA, 2019). Una carta en el sobre equivocado no es una falta de conocimiento del RGPD, sino un desliz de rutina y, por tanto, un problema de comportamiento por excelencia. En la práctica de la privacidad, la aplicación del conocimiento y el afianzamiento de rutinas cuidadosas conviven, pues, a la par.

En la seguridad, un comportamiento afianzado ha de plantar cara a un adversario que apunta al piloto automático; en la privacidad, hay que reconocer la situación y aplicarle el conocimiento adecuado.

A partir de la literatura examinada

04 · EXPLICACIÓNEl adversario y el momento decisivo difieren

El patrón de los dos capítulos anteriores se explica bien por el tipo de situación en la que cada forma de concienciación ha de demostrarse. La seguridad tiene por objeto proteger la información y los sistemas frente a una vulneración deliberada (von Solms y van Niekerk, 2013). Hay, pues, un adversario pensante frente a la persona empleada, y ese adversario decide el momento, la forma y la presión. La investigación sobre phishing muestra que la mayoría de los mensajes de phishing se procesan por la vía rápida y superficial: las personas deciden a partir de señales sencillas presentes en el mensaje, sin una ponderación a fondo, sobre todo cuando el remitente juega con la urgencia y la autoridad (Vishwanath et al., 2011). En un momento así no hay ocasión de aplicar el conocimiento con calma. Lo que cuenta entonces es el comportamiento que la persona ha hecho suyo: detenerse un instante, verificar la petición por otro canal y notificar lo que se sale de lo habitual. Por eso la concienciación en seguridad es, en su núcleo, una cuestión de comportamiento, y por eso una formación breve, repetida y que haga practicar al personal en el contexto de su trabajo funciona mejor que una transmisión de conocimiento puntual (Prümmer, van Steen y van den Berg, 2024).

En la privacidad, el momento decisivo se presenta de otro modo. La norma no procede de un atacante, sino de la ley y de la política de la organización, y las preguntas surgen casi siempre en el trabajo ordinario: ¿puedo compartir este archivo con este colega?, ¿cuánto tiempo conservamos estos datos?, ¿es esta una solicitud de acceso?, ¿y es este suceso una brecha que deba notificarse? Ante tales preguntas casi siempre existe la ocasión de reflexionar, consultar algo o recurrir al delegado de protección de datos. El cuello de botella no es aquí la presión temporal de un adversario, sino el reconocimiento de la situación: quien no ve que algo es un dato personal o una brecha nunca llega a aplicar el conocimiento. Esto encaja exactamente con la descripción de la concienciación en privacidad como conciencia situacional (Correia y Compeau, 2017).

Los dos ámbitos, no obstante, se solapan. El phishing pesca a menudo precisamente datos personales, de modo que un ataque logrado es a la vez una brecha, y los errores de envío que figuran en las cifras de notificación de las autoridades de control son un comportamiento de rutina que reclama el mismo enfoque centrado en el comportamiento que los hábitos de seguridad. A la inversa, el conocimiento sí importa en la seguridad: quien obtiene una puntuación más alta en el HAIS-Q, incluido el componente de conocimiento, rinde de forma demostrable mejor en una prueba de phishing experimental (Parsons et al., 2017). La diferencia entre ambos ámbitos no es, pues, una línea divisoria nítida entre conocimiento y comportamiento; la diferencia está en cuál de los dos resulta decisivo en la situación crítica.

05 · CONCLUSIÓNUna diferencia de énfasis

La respuesta a la pregunta principal es la siguiente: la hipótesis queda en gran medida respaldada, siempre que se entienda como una diferencia de énfasis. La concienciación en seguridad es, en su núcleo, una cuestión de comportamiento: el conocimiento es necesario, pero la investigación muestra una y otra vez que conocimiento y actitud van muy por delante del comportamiento, y que los momentos decisivos son tan breves y tan deliberadamente explotados por el atacante que solo los hábitos afianzados ofrecen un asidero. La concienciación en privacidad en el entorno laboral es, en cambio, sobre todo una cuestión de reconocer y aplicar: ver que una situación cae bajo las reglas, saber qué norma se aplica y actuar en consecuencia, con el tiempo y los recursos que suelen estar disponibles en esas situaciones.

Para el diseño de un programa de formación, esto significa que un único formato se queda corto para ambos temas. La formación en seguridad reclama una práctica breve, repetida y centrada en el comportamiento, en el contexto del trabajo, para que los hábitos puedan formarse. La formación en privacidad reclama casos reconocibles, criterios de decisión claros y material de consulta y vías de notificación fáciles de encontrar, para que el conocimiento esté disponible en el momento en que la situación se presenta. Para ambas vale lo que la investigación dice desde hace tiempo: limitarse a difundir información cambia poco, porque el personal también debe poder y querer aplicar el consejo (Bada, Sasse y Nurse, 2015; ENISA, 2019).

Al mismo tiempo, conviene la modestia. La paradoja de la privacidad muestra que, también en la privacidad, saber y hacer no van de la mano por sí solos, y las cifras de notificación muestran que una parte considerable de los incidentes de privacidad consiste en errores de rutina que, a su vez, reclaman un cambio de comportamiento. Quien se sirva de la distinción de este informe hará bien, por tanto, en entenderla como una diferencia de énfasis y no como una clasificación estricta: un programa maduro forma sobre todo el comportamiento para la seguridad y mantiene además el conocimiento, y forma sobre todo en reconocer y aplicar las reglas para la privacidad, sin perder de vista las rutinas cuidadosas.

Limitaciones

  • Este informe es una revisión bibliográfica que resume investigación existente y no contiene investigación propia nueva.
  • La investigación sobre la paradoja de la privacidad versa casi exclusivamente sobre consumidores que deciden acerca de sus propios datos; la traslación al personal que trata datos de otras personas está en parte razonada y no medida de forma directa.
  • Buena parte de la investigación sobre concienciación en seguridad mide comportamiento autodeclarado o efectos a corto plazo, lo que limita la visión sobre un cambio de comportamiento duradero.
  • Los conceptos de concienciación en seguridad y concienciación en privacidad no se definen de manera uniforme en la literatura; la comparación de este informe depende de las definiciones elegidas.
  • Las cifras de notificación contabilizan brechas notificadas; no todo incidente se reconoce ni se notifica, y el deber de notificación pesa de forma distinta según el tipo de incidente.

Fuentes

  1. Acquisti, A., Brandimarte, L. y Loewenstein, G. (2015). Privacy and human behavior in the age of information. Science, 347(6221), 509-514. doi.org/10.1126/science.aaa1465
  2. Bada, M., Sasse, A. M. y Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Bulgurcu, B., Cavusoglu, H. y Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), 523-548. aisel.aisnet.org/misq/vol34/iss3/9
  4. Correia, J. y Compeau, D. (2017). Information Privacy Awareness (IPA): A Review of the Use, Definition and Measurement of IPA. Hawaii International Conference on System Sciences (HICSS-50). aisel.aisnet.org/hicss-50
  5. DLA Piper (2026). GDPR Fines and Data Breach Survey: January 2026. dlapiper.com
  6. Gerber, N., Gerber, P. y Volkamer, M. (2018). Explaining the privacy paradox: A systematic review of literature investigating privacy attitude and behavior. Computers & Security, 77, 226-261. doi.org/10.1016/j.cose.2018.04.002
  7. Kokolakis, S. (2017). Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon. Computers & Security, 64, 122-134. doi.org/10.1016/j.cose.2015.07.002
  8. Kruger, H. A. y Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289-296. doi.org/10.1016/j.cose.2006.02.008
  9. Norberg, P. A., Horne, D. R. y Horne, D. A. (2007). The Privacy Paradox: Personal Information Disclosure Intentions versus Behaviors. Journal of Consumer Affairs, 41(1), 100-126. doi.org/10.1111/j.1745-6606.2006.00070.x
  10. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M. y Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S016740481300179X
  11. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A. y Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  12. Pötzsch, S. (2009). Privacy Awareness: A Means to Solve the Privacy Paradox? In The Future of Identity in the Information Society, IFIP AICT 298. doi.org/10.1007/978-3-642-03315-5_17
  13. Prümmer, J., van Steen, T. y van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  14. Prümmer, J., van Steen, T. y van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  15. Smith, H. J., Dinev, T. y Xu, H. (2011). Information Privacy Research: An Interdisciplinary Review. MIS Quarterly, 35(4), 989-1015. aisel.aisnet.org/misq/vol35/iss4/11
  16. Solove, D. J. (2021). The Myth of the Privacy Paradox. George Washington Law Review, 89, 1-51. gwlr.org
  17. Trepte, S., Teutsch, D., Masur, P. K. et al. (2015). Do People Know About Privacy and Data Protection Strategies? Towards the “Online Privacy Literacy Scale” (OPLIS). In Reforming European Data Protection Law. doi.org/10.1007/978-94-017-9385-8_14
  18. Vishwanath, A., Herath, T., Chen, R., Wang, J. y Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576-586. doi.org/10.1016/j.dss.2011.03.002
  19. von Solms, R. y van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. doi.org/10.1016/j.cose.2013.04.004
  20. ENISA (2019). Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. European Union Agency for Cybersecurity. enisa.europa.eu
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos