2LRN4 security awareness platform
← Volver a la base de conocimientos

Los primeros meses vulnerables

Por qué los primeros meses de un empleo son un período vulnerable, en toda la amplitud de la concienciación sobre seguridad, y qué dice la ciencia sobre el momento y la forma de la primera formación.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En resumen

  1. La concienciación en seguridad abarca mucho más que el correo electrónico y el phishing. Un cuestionario validado científicamente (el HAIS-Q) distingue siete áreas, desde la gestión de contraseñas y el manejo de la información hasta la notificación de incidentes, y precisamente un empleado nuevo debe orientarse en todas esas áreas a la vez (Parsons et al., 2014).
  2. Los primeros meses son demostrablemente un periodo de adaptación. Saber qué se espera de uno, la confianza en el propio desempeño y el conocimiento de la organización se construyen a lo largo de semanas o meses (Bauer y Erdogan, 2011). Ese desconocimiento hace vulnerables a los recién llegados, porque todavía no saben qué es normal, en quién pueden confiar y a quién pueden acudir.
  3. El conocimiento por sí solo cambia poco el comportamiento. Son sobre todo la forma y el momento de la formación los que resultan decisivos (Prümmer, van Steen y van den Berg, 2024; Murre y Dros, 2015). Al mismo tiempo, llama la atención lo escasa que es la evidencia sólida procedente de estudios que hayan seguido a empleados nuevos durante un tiempo prolongado, y circulan cifras categóricas sin una fuente verificable.

El phishing es un riesgo grande y persistente, y es lógico que reciba mucha atención. En un informe anterior de esta serie, El Problema de la Atención, mostramos qué dice la ciencia sobre las simulaciones de phishing y el enfoque que corresponde a ello. Sin embargo, la concienciación en seguridad es más amplia que el correo electrónico, y en ningún lugar se concentra esa amplitud tanto como en el primer periodo tras la incorporación.

Un empleado nuevo configura en poco tiempo cuentas y dispositivos, aprende qué datos son sensibles, utiliza por primera vez los sistemas de la organización y, mientras tanto, debe valorar qué mensajes y solicitudes son normales. Todo ello ocurre cuando esa persona todavía no conoce a las personas, los procesos ni la manera de notificar algo. La distancia entre la fecha de incorporación y el momento en que alguien se siente realmente integrado constituye un período en el que el riesgo es mayor que después. Este informe recopila lo que muestra la investigación científica sobre ese período, y qué lecciones se derivan de ello para el momento y la forma de la primera formación.

Metodología

Tipo
Estudio de literatura basado en investigación científica (revisada por pares) y directrices de referencia.
Fuentes
Un cuestionario validado científicamente sobre concienciación en seguridad, estudios de revisión sobre la incorporación de empleados nuevos y sobre formación, la curva del olvido de Ebbinghaus, y datos de ENISA, Eurostat y CBS.
Fecha de referencia
Junio de 2026.

01 · MARCOLa concienciación es más amplia que el phishing

Quien piensa en concienciación en seguridad piensa enseguida en reconocer un correo sospechoso. Es comprensible, porque el phishing es un riesgo real y frecuente. No obstante, es solo una parte de un conjunto más amplio. Un empleado toma a diario muchas pequeñas decisiones relacionadas con la seguridad, y estas van más allá de la bandeja de entrada.

El instrumento de medición validado científicamente más utilizado en este ámbito, el Human Aspects of Information Security Questionnaire (HAIS-Q), organiza ese conjunto más amplio en siete áreas: la gestión de contraseñas, el uso del correo electrónico, el uso de internet, el uso de las redes sociales, el trabajo móvil, el manejo de la información y la notificación de incidentes (Parsons et al., 2014). El phishing se enmarca dentro del área del uso del correo electrónico y es, por tanto, una de las siete, no la suma de todas. El valor de este marco es que hace medible la concienciación en toda su amplitud, y resulta que funciona: quien obtiene una puntuación más alta en el HAIS-Q se desempeña mejor en una prueba experimental de phishing (Parsons et al., 2017).

Las siete áreas de atención de la concienciación en seguridad

Concienciación en toda su amplitud

Contraseñas
Contraseñas robustas, no reutilizarlas, compartirlas de forma segura.
Uso del correo electrónico
Manejo de enlaces y adjuntos, valoración de los remitentes.
Uso de internet
Descargas seguras y sitios web fiables.
Redes sociales
Qué compartes y qué revela eso sobre el trabajo.
Trabajo móvil
Dispositivos, redes públicas, trabajar en desplazamiento.
Manejo de la información
Clasificar, almacenar y compartir datos.
Notificación de incidentes
Comunicar a tiempo algo sospechoso o un error.

Figura 1 Las siete áreas de atención de la concienciación en seguridad según el HAIS-Q. Según Parsons et al. (2014).

02 · HALLAZGOLos primeros meses son un periodo de adaptación

Que el inicio de una relación laboral es especial está bien fundamentado en la psicología organizacional. La investigación sobre cómo los empleados nuevos se incorporan y encuentran su sitio muestra que aspectos como saber qué se espera de uno, la confianza en el propio desempeño y ser aceptado por los compañeros no están presentes de inmediato, sino que se construyen a lo largo de los primeros meses de la relación laboral (Bauer y Erdogan, 2011). Un amplio estudio de revisión que resume numerosas investigaciones confirma esa imagen y subraya que precisamente las experiencias tempranas son determinantes para lo bien que alguien acaba adaptándose (Bauer et al., 2025).

Para la seguridad, lo relevante es sobre todo ese periodo inicial de desconocimiento. Un empleado que todavía no sabe qué es habitual en la organización carece del punto de referencia para advertir que algo se desvía de lo que debería ser normal. Ese mismo mecanismo interviene en el cumplimiento de las políticas de seguridad: los empleados mejor incorporados y que se sienten más vinculados a la organización cumplen demostrablemente mejor las normas (Ifinedo, 2014). En otras palabras, los primeros meses no son solo un periodo de aprendizaje para el propio puesto, sino también para actuar con seguridad dentro de él.

El período vulnerable disminuye a medida que la persona se incorpora

Adaptación frente a riesgo a lo largo de los primeros doce meses

riesgo de seguridad adaptación mes 0 primeros meses mes 12

Figura 2 Representación estilizada de un patrón recurrente en la literatura: la incorporación de los empleados nuevos, como saber qué se espera de uno y la confianza en uno mismo, aumenta a lo largo de los primeros meses, mientras que el riesgo de seguridad es precisamente más alto en ese periodo inicial y disminuye después. Según Bauer et al. (2007) y Bauer y Erdogan (2011).

03 · EXPLICACIÓNPor qué el desconocimiento es un riesgo

El desconocimiento de los primeros meses es precisamente lo que un atacante puede explotar. Quien todavía no conoce la forma de trabajar habitual puede valorar con mayor dificultad si una solicitud es legítima. Un empleado nuevo a menudo aún no sabe quién está autorizado a aprobar un pago, cómo deben compartirse las credenciales de acceso, o qué aspecto tiene normalmente un mensaje de la dirección. Súmese a ello que un recién llegado desea causar buena impresión y por eso responde con rapidez y disposición, y queda claro por qué el engaño tiene más posibilidades en este periodo.

Y no se trata solo del correo electrónico. El engaño puede producirse igualmente por teléfono, a través de un mensaje o en persona, y afecta a varias de las siete áreas de atención a la vez. Compartir de forma insegura una contraseña en el primer inicio de sesión afecta a la gestión del acceso, valorar mal una solicitud de datos afecta al manejo de la información, y no saber dónde notificar algo sospechoso afecta a la notificación de incidentes. La investigación sobre la resistencia a la manipulación social muestra que una mayor concienciación en seguridad se asocia con una mayor probabilidad de que alguien resista un intento de ese tipo (Grassegger y Nedbal, 2021). Para quien acaba de llegar, esa concienciación en toda su amplitud todavía está en construcción.

Un empleado nuevo no carece tanto del conocimiento de que algo puede ser peligroso, sino del punto de referencia para ver que una solicitud se desvía de lo que es normal.

Sobre la base de la investigación sobre la incorporación de empleados nuevos y sobre la concienciación en seguridad

04 · EXPLICACIÓNEl conocimiento no basta, y menos al principio

Resulta natural combatir esa vulnerabilidad con el mayor conocimiento posible cuanto antes. La ciencia matiza eso. Un estudio de revisión que resume los resultados de numerosas investigaciones muestra que el efecto de las formaciones sobre el conocimiento y la actitud es grande, pero que el efecto medio sobre el comportamiento real sigue siendo pequeño (Prümmer, van Steen y van den Berg, 2024). Esa diferencia no es casual. Un modelo conocido para el cambio de comportamiento, el Behaviour Change Wheel, describe que el comportamiento solo cambia cuando confluyen el conocimiento y la habilidad, la motivación y la oportunidad de hacer lo correcto (Michie, van Stralen y West, 2011).

Precisamente esa última condición, la oportunidad, falta en un empleado nuevo. Alguien puede saber que una contraseña nunca debe solicitarse por teléfono, pero sin conocimiento de los procesos habituales es difícil valorar si una solicitud concreta es sospechosa. Por tanto, una incorporación que solo transmite conocimiento cubre únicamente una de las tres condiciones. Por eso, la divulgación pasiva en la que solo se difunde información apenas cambia el comportamiento (Bada, Sasse y Nurse, 2015), mientras que las formas activas, repetidas y ajustadas al contexto sí tienen efecto (Prümmer, van Steen y van den Berg, 2024).

A ello se añade el factor tiempo. El conocimiento que se ofrece de una sola vez se desvanece con rapidez: la curva del olvido, descrita en 1885 por el psicólogo alemán Hermann Ebbinghaus y confirmada en investigaciones repetidas (Murre y Dros, 2015), muestra que una gran parte de la materia recién aprendida se difumina en cuestión de días o semanas sin repetición. Una única formación el primer día de trabajo no basta, por bien intencionada que sea. Lo que sugiere la literatura es una formación que empiece pronto, sea breve y repetida, y que no solo transmita conocimiento, sino que también ayude a conocer la forma de trabajar de la organización y a saber dónde notificar algo.

05 · CONCLUSIÓNTemprana, amplia y orientada al comportamiento

El período de incorporación se explica bien. Los primeros meses son un periodo de adaptación en el que un empleado todavía no conoce la organización, y ese desconocimiento es, en toda la amplitud de la concienciación en seguridad, una vulnerabilidad que los atacantes pueden explotar. La literatura no apunta solo a una mayor transmisión de conocimiento, sino a una formación que empiece pronto, que abarque toda la amplitud en lugar de solo el phishing, y que esté orientada al comportamiento por ser breve, repetida y enmarcada en el contexto del trabajo. Igual de importante es que una organización dé al recién llegado la oportunidad de actuar con seguridad, dejando clara desde el principio la forma de trabajar, las competencias y la manera de notificar algo.

Al mismo tiempo, conviene ser prudente. La fundamentación de este período procede en gran medida de investigación relacionada, sobre la incorporación de empleados nuevos, sobre el comportamiento y sobre el desvanecimiento del conocimiento, y mucho menos de estudios que hayan medido directamente y durante un tiempo prolongado el ciberriesgo precisamente de las primeras semanas. Las cifras categóricas que circulan al respecto en publicaciones especializadas apenas pueden rastrearse hasta una investigación verificable. Aquí hay una laguna evidente, que podría cubrirse siguiendo a los empleados nuevos desde su primer día de trabajo durante un tiempo prolongado con datos de comportamiento anonimizados.

Limitaciones

  • Este informe es un estudio de literatura que resume investigación existente, y no contiene investigación propia nueva.
  • La fundamentación de este período inicial es en gran medida indirecta: se apoya en investigación sobre la incorporación de empleados nuevos, el comportamiento y el desvanecimiento del conocimiento, y menos en mediciones del ciberriesgo precisamente en las primeras semanas.
  • Un cuestionario como el HAIS-Q mide la concienciación, y eso es algo distinto de un recuento de incidentes reales.
  • Los estudios citados se han llevado a cabo en organizaciones y países diversos, por lo que los efectos pueden variar según el entorno.

Fuentes

  1. Bada, M., Sasse, A. M., y Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Bauer, T. N., y Erdogan, B. (2011). Organizational socialization: The effective onboarding of new employees. In APA Handbook of Industrial and Organizational Psychology. researchgate.net/publication/285000696
  3. Bauer, T. N., Erdogan, B., Ellis, A. M., et al. (2025). New Horizons for Newcomer Organizational Socialization: A Review, Meta-Analysis, and Future Research Directions. Journal of Management. doi 10.1177/01492063241277168
  4. Ebbinghaus, H. (1885). Über das Gedächtnis: Untersuchungen zur experimentellen Psychologie. La investigación original sobre la curva del olvido, replicada más de un siglo después por Murre y Dros (2015).
  5. Grassegger, T., y Nedbal, D. (2021). The Role of Employees' Information Security Awareness on the Intention to Resist Social Engineering. Procedia Computer Science, 181, 59-66. doi.org/10.1016/j.procs.2021.01.103
  6. Ifinedo, P. (2014). Information systems security policy compliance: an empirical study of the effects of socialisation, influence, and cognition. Information & Management, 51(1), 69-79. academia.edu/20387560
  7. Michie, S., van Stralen, M. M., y West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. Murre, J. M. J., y Dros, J. (2015). Replication and Analysis of Ebbinghaus' Forgetting Curve. PLOS ONE, 10(7), e0120644. Universidad de Ámsterdam. doi.org/10.1371/journal.pone.0120644
  9. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., y Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S0167404813001235
  10. Parsons, K., Calic, D., Pattinson, M., et al. (2017). The HAIS-Q: Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  11. Prümmer, J., van Steen, T., y van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  12. ENISA (2024). Reframing Cybersecurity Awareness Raising: exploring the human factor. European Union Agency for Cybersecurity. enisa.europa.eu
  13. Eurostat (2024). ICT security in enterprises (encuesta 2024, incidentes en 2023). ec.europa.eu/eurostat
  14. CBS (2023). Bijna 6 op 10 baanwisselaars korter dan twee jaar in dienst. Centraal Bureau voor de Statistiek. cbs.nl
  15. NCSC-NL. Guías sobre respuesta a incidentes y notificación de incidentes. ncsc.nl
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos