2LRN4 security awareness platform
← Volver a la base de conocimientos

La trampa de la visibilidad

Por qué la visibilidad, es decir, carteles, mailings y campañas en la intranet, no es lo mismo que un programa de concienciación, y por qué más de lo mismo acaba minando la atención.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En resumen

  1. La visibilidad no es un programa. Carteles, correos y campañas en la intranet son actividades de concienciación, es decir, una sola capa de un programa. Un programa es un ciclo continuo y gestionado que dirige el comportamiento y la cultura, y no un conjunto de mensajes sueltos (NIST SP 800-50r1).
  2. Comunicar a menudo no cambia el comportamiento. Difundir información aumenta sobre todo el conocimiento. Que eso se traduzca o no en comportamiento depende de la motivación y de la oportunidad de hacer lo correcto. Las campañas que solo informan cambian poco (Bada, Sasse y Nurse, 2015; Michie, van Stralen y West, 2011).
  3. Demasiado de lo mismo resulta contraproducente. Por la habituación la atención cae ya tras la segunda exposición, y por la fatiga de mensajes las personas empiezan a ignorar el mensaje o incluso a oponerse a él. La atención y la colaboración son un recurso finito que conviene gastar con prudencia (Anderson et al., 2015; So, Kim y Cohen, 2017; Beautement, Sasse y Wonham, 2008).

Muchas organizaciones tienen la sensación de que su awareness está en orden. Hay carteles junto a la máquina de café, cada mes sale un correo, y en la intranet hay una campaña con consejos prácticos. El razonamiento que subyace es evidente. Al fin y al cabo, se comunica mucho sobre el comportamiento seguro, y de ahí se deriva enseguida la idea de que existe un programa de awareness. Esa equiparación de la visibilidad con un programa es comprensible, pero no es correcta.

Este informe examina dos preguntas que están en el fondo. La primera es si una campaña de comunicación es algo esencialmente distinto de un programa de comportamiento. La segunda es cuándo comunicar pierde su efecto, es decir, en qué punto más mensajes dejan de ayudar e incluso resultan contraproducentes. Recoge lo que muestra la investigación científica al respecto y qué enfoque se deriva de ello.

En ambas preguntas conviene precisar primero qué entendemos en este informe por un programa. Un programa no es una serie de mensajes sueltos, sino un conjunto continuo y gestionado orientado al comportamiento. Define de antemano qué comportamiento quiere lograr, elige los medios adecuados para ello, entre los que se cuentan la formación, la práctica y la comunicación, mide después si ese comportamiento cambia realmente, y ajusta sobre la base de esa medición. Es, en otras palabras, un ciclo que se sostiene a sí mismo y se orienta a un objetivo. Una campaña, en cambio, es un mensaje único o recurrente por sí mismo, y puede ser una parte valiosa de un programa sin coincidir jamás con él.

Justificación

Tipo
Estudio de la literatura basado en investigación revisada por pares y en estándares de autoridad.
Fuentes
Estudios neurocientíficos y de campo, ciencias de la comunicación, ciencias del comportamiento y la directriz del NIST para programas de aprendizaje.
Fecha de referencia
Junio de 2026.

01 · HallazgoLa visibilidad es una capa, no un programa

La diferencia entre comunicar y un programa no es un juego de palabras, sino que figura en la directriz que el sector emplea para esto. La organización estadounidense de estándares NIST distingue en su directriz revisada tres niveles de aprendizaje: concienciación, formación y educación (NIST SP 800-50r1, 2024). La concienciación dirige la atención de las personas hacia un tema, la formación les enseña una habilidad con la que pueden ejecutar una tarea, y la educación es la forma profunda, a menudo orientada a la trayectoria profesional. Carteles, correos y campañas en la intranet caen casi todos bajo el primer nivel. Reclaman atención, pero no enseñan ninguna habilidad y por sí mismos no dirigen el comportamiento.

Más importante aún es lo que la directriz entiende por un programa. La revisión de 2024 describe un programa de aprendizaje no como una serie de mensajes, sino como un ciclo gestionado con un ciclo de vida: se fijan objetivos, se ajusta el contenido a roles y públicos, se mide el efecto y se hacen ajustes. Las campañas de concienciación son dentro de ese ciclo uno de los componentes, junto a la formación orientada a roles, los ejercicios y las intervenciones específicas. Equiparar una campaña a un programa es por ello un error de categoría, porque se confunde una capa con el conjunto.

La ciencia del comportamiento establece la misma separación por otra vía. El muy utilizado Behaviour Change Wheel, que también empleamos en La paradoja de la participación, distingue nueve tipos de intervención con los que se puede influir en el comportamiento, y la información es tan solo uno de ellos (Michie, van Stralen y West, 2011). Comunicar afecta sobre todo al conocimiento de las personas. Deja en gran medida intactas las demás palancas de las que depende el comportamiento, como la motivación y la oportunidad práctica. Quien solo comunica acciona, por tanto, una sola palanca y deja sin usar las otras ocho.

La comunicación es el nivel de concienciación

Los tres niveles de aprendizaje según NIST SP 800-50r1

Concienciación carteles · correos · campañas en la intranet Formación orientada a roles · habilidades Educación mayor profundidad mayor alcance

Figura 1 La comunicación pertenece al amplio nivel inferior, que dirige la atención hacia un tema. Un programa abarca los tres niveles dentro de un ciclo gestionado. Según NIST SP 800-50r1 (2024).

02 · HallazgoComunicar a menudo no cambia el comportamiento

Que las campañas no siempre cambian el comportamiento no es una idea nueva. En un estudio muy citado, Bada, Sasse y Nurse analizaron por qué las campañas de concienciación tan a menudo no consiguen cambiar el comportamiento (Bada, Sasse y Nurse, 2015). Su conclusión fue clara. El conocimiento y la conciencia son una condición necesaria, pero por sí mismos no bastan. Para cambiar el comportamiento las personas deben poder entender y aplicar el consejo, y además deben estar dispuestas a hacerlo. Esa disposición requiere un cambio de actitud e intención, que no surge por sí solo difundiendo más información.

Esta es la conocida brecha entre saber y hacer. Las personas saben que deben usar una contraseña fuerte, que no deben hacer clic en cualquier enlace, y que deben guardar los datos con cuidado, pero el comportamiento no sigue al saber de forma automática. El Behaviour Change Wheel explica por qué es así. El comportamiento seguro surge únicamente cuando confluyen el conocimiento y la habilidad, la motivación y la oportunidad de hacer lo correcto (Michie, van Stralen y West, 2011). Una campaña que solo da información rellena a lo sumo la primera casilla. La motivación y la oportunidad quedan entonces sin tocar, y es justo ahí donde el comportamiento suele fallar.

Cambiar el comportamiento exige más que dar información sobre los riesgos y el comportamiento deseado. Las personas deben poder aplicar ese consejo, y deben estar también dispuestas a hacerlo.

Según Bada, Sasse y Nurse (2015)

03 · ExplicaciónCuándo comunicar resulta contraproducente

La segunda pregunta es cuándo comunicar no solo aporta poco, sino que resulta abiertamente contraproducente. La investigación señala dos mecanismos que en conjunto explican por qué más de lo mismo socava la atención: la habituación y la fatiga de mensajes.

El primer mecanismo es la habituación, y va más hondo que una cuestión de motivación. En una serie de estudios cerebrales, Anderson y colegas reflejaron mediante resonancia magnética funcional cómo reacciona el cerebro ante advertencias de seguridad repetidas (Anderson et al., 2015). La actividad en las áreas de procesamiento visual cayó con fuerza ya tras la segunda exposición, y siguió descendiendo con cada nueva repetición. Un estudio posterior en la práctica confirmó esa imagen. En un experimento de campo de tres semanas, la medida en que las personas atendían las advertencias disminuyó con claridad a medida que aparecían con más frecuencia (Vance et al., 2018). El mensaje que mantiene siempre la misma forma se registra cada vez menos, incluso en el cerebro. Lo llamativo es que las advertencias que cambiaban de forma cada vez resistían mucho mejor este efecto. La variación mantiene la atención, mientras que repetir exactamente lo mismo hace que la atención se relaje.

La atención se relaja al repetir lo mismo

Respuesta a una advertencia según el número de exposiciones

alta baja atención / respuesta 1.ª 2.ª 3.ª 4.ª 5.ª exposición forma cambiante forma igual

Figura 2 Una representación conceptual. Al repetir exactamente el mismo mensaje, la respuesta cae con fuerza ya tras la segunda exposición. Un mensaje que cambia de forma cada vez mantiene mejor la atención. Según Anderson et al. (2015) y Vance et al. (2018).

El segundo mecanismo es la fatiga de mensajes, un concepto de las ciencias de la comunicación. So, Kim y Cohen describieron cómo reaccionan las personas cuando se las expone durante mucho tiempo a mensajes sobre el mismo tema (So, Kim y Cohen, 2017). Se trata entonces de un estado de agotamiento que surge por exceso, repetición y monotonía, y que lleva a que las personas empiecen a ignorar el mensaje. En investigaciones posteriores se comprobó que la fatiga de mensajes socava la fuerza de persuasión por dos vías: por resistencia activa, en la que las personas se oponen al mensaje, y por desconexión pasiva, en la que sencillamente dejan de prestar atención (Kim y So, 2018). Lo inquietante es que el exceso no solo elimina el efecto, sino que puede hacer la acción deseada incluso menos probable que si no se hubiera comunicado nada. Se han descrito efectos similares en la divulgación sobre clima y salud, donde demasiado del mismo mensaje reducía precisamente la disposición a participar.

En el contexto de la seguridad esto ha recibido un nombre propio. Investigadores del NIST se toparon en entrevistas con lo que llaman fatiga de seguridad, un cansancio y una falta de voluntad para seguir ocupándose de la seguridad (Stanton et al., 2016). Las personas se sentían bombardeadas con advertencias del tipo «cuidado con esto» y «cuidado con aquello», y reaccionaban a ello con resignación, una sensación de pérdida de control, la minimización de los riesgos y la evitación de decisiones. Por eso los investigadores recomiendan mantener lo más reducido posible el número de decisiones de seguridad que se pide a las personas.

Estos mecanismos confluyen en una idea económica sobria, el presupuesto de cumplimiento. Beautement, Sasse y Wonham mostraron que las personas siguen las reglas de seguridad solo hasta cierto punto, tras el cual la disposición disminuye (Beautement, Sasse y Wonham, 2008). Hay, en otras palabras, una cantidad finita de atención y colaboración disponible, y por encima de ese límite cada exigencia adicional resulta más perjudicial que útil. Cada cartel y cada correo cuesta algo de ese presupuesto. Quien sigue emitiendo sin contar esos costes agota su reserva y no le queda nada para el momento en que de verdad importa.

Comunicar más ayuda, hasta que resulta contraproducente

Efecto sobre el comportamiento según la cantidad de comunicación

efecto sobre el comportamiento cantidad de comunicación óptimo la visibilidad compensa habituación · fatiga · resistencia

Figura 3 Una representación conceptual. Hasta un cierto punto, comunicar aumenta el efecto sobre el comportamiento. Más allá de ese punto, la habituación, la fatiga de mensajes y la resistencia se imponen, y el efecto vuelve a caer. Según So, Kim y Cohen (2017), Stanton et al. (2016) y Beautement, Sasse y Wonham (2008).

04 · EnfoqueDe la campaña al programa

Si comunicar es una sola palanca y no un programa, y si más de lo mismo en un momento dado resulta contraproducente, de ello se deriva otra manera de trabajar. La clave está en tratar la comunicación como una parte de un programa que dirige el comportamiento, y no como el programa en sí.

  1. Trata la comunicación como una sola palanca dentro de un ciclo gestionado.Da al programa un ciclo de vida en lugar de una agenda de mensajes sueltos: fija objetivos, ajusta el contenido a roles y públicos, mide el efecto y haz ajustes (NIST SP 800-50r1, 2024). Una campaña es entonces un instrumento dentro de ese ciclo, y no su broche final.
  2. Diseña para el comportamiento en lugar de para la visibilidad.Pregúntate en cada intervención qué parte del comportamiento influyes. Un solo mensaje afecta a lo sumo al conocimiento, mientras que el comportamiento exige también motivación y oportunidad (Michie, van Stralen y West, 2011). Procura, por tanto, que el comportamiento seguro no solo sea conocido, sino también atractivo y fácil de realizar.
  3. Varía la forma para contrarrestar la habituación.No repitas sin fin el mismo cartel o correo, porque es justamente eso lo que hace que la atención se relaje. Varía la forma, el canal y el enfoque, de modo que el mensaje se advierta de nuevo cada vez (Anderson et al., 2015; Vance et al., 2018).
  4. Respeta el presupuesto de atención y de cumplimiento.Opta por mensajes menos numerosos pero más específicos y bien sincronizados, y limita el número de decisiones que pides a las personas (Stanton et al., 2016; Beautement, Sasse y Wonham, 2008). Cada mensaje innecesario cuesta una parte de una reserva que conviene guardar para el momento en que importa.
  5. Mide el comportamiento y el efecto en lugar del número de mensajes.No cuentes cuántos carteles había o cuántos correos salieron, sino fíjate en lo que las personas hacen realmente, como notificar mensajes sospechosos. Que una habilidad así, el reconocimiento del phishing, no mejore por sí sola con la mera exposición lo desarrollamos en El Problema de la Atención. Conforme a la directiva NIS2, velar por un comportamiento resiliente es además una responsabilidad del órgano de dirección, y lograr que esa dirección se implique es una tarea en sí misma, como mostramos en El problema de respaldo. Esa responsabilidad se sustenta mejor con cifras de comportamiento que con un recuento de comunicaciones.

¿Y la campaña en sí?

La comunicación no es inútil, al contrario. La visibilidad es necesaria para poner un tema sobre la mesa, para marcar el tono y para recordar a las personas que el comportamiento seguro importa. La crítica de este informe se dirige a una sola manera de trabajar, a saber, la campaña que se considera el programa entero, que repite sin fin lo mismo, y que se evalúa por el número de mensajes en lugar de por el comportamiento que de ellos se deriva. Cuando se emplea la comunicación de otro modo, es decir, como una palanca consciente dentro de un programa diseñado para el comportamiento, sigue siendo un instrumento valioso e imprescindible.

05 · ConclusiónLa visibilidad es un comienzo, no un programa

Una campaña de comunicación es algo esencialmente distinto de un programa de comportamiento. La visibilidad dirige la atención, pero no enseña ninguna habilidad y por sí misma no dirige el comportamiento. Un programa combina esa visibilidad con la formación, con atención a la motivación y la oportunidad, con la medición y con el ajuste, y lo hace como un ciclo gestionado en lugar de como una serie de mensajes sueltos. Quien equipara ambas cosas confunde una capa con el conjunto.

Y comunicar pierde su efecto en cuanto la repetición hace que la atención se relaje y la fatiga se impone. Por la habituación la respuesta cae ya tras la segunda exposición, por la fatiga de mensajes la repetición puede incluso resultar contraproducente, y el presupuesto de atención y de cumplimiento es, sencillamente, finito. La pregunta acertada no es, por tanto, si se ha comunicado mucho, sino si el comportamiento y la cultura han cambiado de forma duradera. La visibilidad es en ello un comienzo, y no un programa.

Limitaciones

  • Este informe es un estudio de la literatura que resume investigación científica existente, y no contiene investigación propia nueva.
  • Una parte de las pruebas sobre la habituación se ha medido con advertencias de seguridad en una pantalla. Su traslado a carteles, correos y campañas en la intranet se apoya en el mecanismo subyacente y no en una medición directa en esos canales.
  • La investigación sobre la fatiga de mensajes procede en gran medida de la divulgación sobre salud y clima. Los mecanismos están ampliamente confirmados, pero los valores límite exactos pueden variar según el contexto y el público.

Fuentes

  1. Anderson, B. B., Kirwan, C. B., Jenkins, J. L., Eargle, D., Howard, S., y Vance, A. (2015). How Polymorphic Warnings Reduce Habituation in the Brain: Insights from an fMRI Study. Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2883–2892. doi.org/10.1145/2702123.2702322
  2. Bada, M., Sasse, A. M., y Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Beautement, A., Sasse, M. A., y Wonham, M. (2008). The Compliance Budget: Managing Security Behaviour in Organisations. Proceedings of the 2008 New Security Paradigms Workshop (NSPW '08), 47–58. doi.org/10.1145/1595676.1595684
  4. Kim, S., y So, J. (2018). How Message Fatigue toward Health Messages Leads to Ineffective Persuasive Outcomes: Examining the Mediating Roles of Reactance and Inattention. Journal of Health Communication, 23(1), 109–116. doi.org/10.1080/10810730.2017.1414900
  5. Michie, S., van Stralen, M. M., y West, R. (2011). The behaviour change wheel: A new method for characterising and designing behaviour change interventions. Implementation Science, 6, 42. doi.org/10.1186/1748-5908-6-42
  6. National Institute of Standards and Technology (2024). Building a Cybersecurity and Privacy Learning Program. NIST Special Publication 800-50r1. doi.org/10.6028/NIST.SP.800-50r1
  7. So, J., Kim, S., y Cohen, H. (2017). Message fatigue: Conceptual definition, operationalization, and correlates. Communication Monographs, 84(1), 5–29. doi.org/10.1080/03637751.2016.1250429
  8. Stanton, B., Theofanos, M. F., Prettyman, S. S., y Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26–32. doi.org/10.1109/MITP.2016.84
  9. Vance, A., Jenkins, J. L., Anderson, B. B., Bjornn, D. K., y Kirwan, C. B. (2018). Tuning Out Security Warnings: A Longitudinal Examination of Habituation Through fMRI, Eye Tracking, and Field Experiments. MIS Quarterly, 42(2), 355–380. doi.org/10.25300/MISQ/2018/14124
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos