2LRN4 security awareness platform
Informe de investigación · Revisión bibliográfica

El Problema de la Atención

Por qué las simulaciones de phishing por sí solas no hacen que los empleados sean mejores en la detección de phishing, y qué enfoque es realmente respaldado por la investigación.

Publicado 6 de junio de 2026 Versión 1.0 Tiempo de lectura 16 min Licencia CC BY 4.0

En resumen

  1. Un porcentaje de clics descendente no significa que los empleados hayan aprendido a reconocer mejor el phishing. El comportamiento de clic está determinado en mayor medida por la dificultad del correo de phishing que por la formación seguida, y enviar simulaciones cada vez más difíciles mide sobre todo lo convincente que era el propio correo de phishing.
  2. La formación aumenta principalmente el conocimiento y la actitud de los empleados. Que eso se traduzca también en conducta depende del diseño: la divulgación pasiva cambia poco, mientras que la formación activa, repetida y adaptada a la persona sí influye en la conducta. En el phishing influye además que se trata más de un problema de atención que de un problema de conocimiento.
  3. La ciencia apunta a un enfoque por capas: haz que el ataque sea técnicamente imposible con autenticación resistente al phishing, utiliza a los empleados como sensor colectivo de notificación, diseña la posible formación para la conducta y limita el daño por si aun así algo sale mal.

El phishing es un problema persistente, y la reacción más habitual ante él es la simulación de phishing: un mensaje falso que comprueba si los empleados caen en la trampa. En la práctica surge así un patrón en el que las organizaciones que solo simulan quieren enviar mensajes cada vez más difíciles. El éxito de un programa así se mide entonces sobre todo por la pregunta de lo convincente que era el propio correo de phishing.

La pregunta de si los empleados aprenden de verdad a reconocer mejor el phishing por ello queda sin respuesta. Este informe recopila lo que muestra la investigación científica al respecto y qué enfoque se deriva de ello.

Metodología

Tipo
Estudio de la literatura basado en investigación revisada por pares y estándares de autoridad.
Fuentes
Cuatro estudios de campo a gran escala, un metaanálisis de 69 investigaciones y directrices de NIST y CISA.
Fecha de referencia
Junio de 2026.

01 · HallazgoEl porcentaje de clics no mide lo que parece medir

Un porcentaje de clics descendente se interpreta enseguida como prueba de que los empleados han mejorado. Sin embargo, un amplio estudio de reproducción demuestra que es sobre todo el grado de dificultad del correo de phishing lo que determina el comportamiento de clic (Rozema y Davis, 2025). Medido con la Phish Scale de NIST, el porcentaje de clics aumentó de alrededor del 7 por ciento en los mensajes fáciles a alrededor del 15 por ciento en los difíciles. Una simulación más difícil que atrapa a más personas muestra por tanto, en primer lugar, que el mensaje era más difícil, y no que los empleados hayan empeorado.

A esto se añade que, en el mayor estudio realizado hasta ahora, la proporción de empleados que caía en los mensajes aumentó con el tiempo en lugar de disminuir. Se trató de una investigación en la que los participantes se asignaron al azar, un denominado estudio controlado aleatorizado, entre más de 19.500 empleados de UC San Diego Health (Ho et al., 2025). Las simulaciones repetidas pueden enseñar a los empleados a reconocer los correos de prueba, sin que por ello reconozcan también mejor el phishing real y nuevo. Justamente ahí reside el núcleo del problema: reconocer un correo de prueba es algo distinto de reconocer phishing real.

La dificultad del correo de phishing determina el comportamiento de clic

Porcentaje de clics según el grado de dificultad

Figura 1 El porcentaje de clics se duplica con creces cuando el correo de phishing es más difícil, independientemente de la formación seguida. Fuente: Rozema y Davis (2025), medido con la NIST Phish Scale.

02 · HallazgoDel conocimiento a la conducta: el diseño es decisivo

La formación aumenta de forma demostrable el conocimiento y la actitud de los empleados. Eso se desprende con claridad del metaanálisis de 69 investigaciones realizado por la Universidad de Leiden (Prümmer, van Steen y van den Berg, 2024): el efecto sobre el conocimiento y la actitud es grande. Sobre la conducta real, en cambio, el efecto medio es pequeño. Esa diferencia no es casualidad, sino un hecho conocido de la ciencia del comportamiento: el conocimiento es una condición para la conducta segura, pero por sí solo no basta. El Behaviour Change Wheel muestra que, además del conocimiento, también se necesitan la motivación y la oportunidad de hacer lo correcto (Michie, van Stralen y West, 2011).

La media oculta además grandes diferencias, y estas residen sobre todo en el diseño de la formación. La divulgación en la que solo se difunde información cambia poco (Bada, Sasse y Nurse, 2015). La formación que es activa, repetida y adaptada a la persona sí hace algo con la conducta, en cambio. En un experimento controlado, una forma de juego mejoró no solo la actitud y la intención, sino también la conducta declarada, en comparación con un juego sin contenido de seguridad (van Steen y Deeleman, 2021). La conclusión no es, por tanto, que la formación no funcione, sino que la forma determina si el conocimiento se traduce también en conducta.

El conocimiento es una condición, no una garantía

El modelo COM-B del Behaviour Change Wheel

Figura 2 La conducta segura surge solo cuando confluyen el conocimiento y la habilidad (capacidad), la motivación (querer) y la oportunidad de hacer lo correcto. El conocimiento por sí solo no basta. Según Michie, van Stralen y West (2011).

Efecto fuerte sobre el conocimiento, efecto medio pequeño sobre la conducta

Tamaño del efecto (d de Cohen) con intervalo de confianza

Conocimiento y actitud Total y conducta

Figura 3 El efecto sobre el conocimiento y la actitud es grande (d = 1,02). Sobre la conducta real, el efecto medio es pequeño (d = 0,36), pero esa media está fuertemente determinada por el diseño de la formación. Fuente: Prümmer, van Steen y van den Berg (2024).

03 · ExplicaciónEl phishing es un problema de atención, no de conocimiento

La explicación de por qué más conocimiento no siempre ayuda procede de dos estudios de un grupo de investigación de la ETH Zürich. En su mayor experimento, que duró quince meses y abarcó casi 15.000 empleados, se comprobó que la formación integrada no hacía a los empleados más resistentes y en algunos casos incluso tenía un efecto contraproducente. Con esa formación integrada nos referimos a la breve explicación que alguien ve después de haber hecho clic en un correo de prueba (Lain, Kostiainen y Čapkun, 2022). En la investigación de seguimiento, premiada en la conferencia ACM sobre seguridad informática y de las comunicaciones, los autores investigaron de dónde procedía entonces ese pequeño efecto (Lain et al., 2024). La conclusión fue aleccionadora: el efecto provenía del recordatorio periódico de la amenaza, y no del contenido de esa breve explicación, que la mayoría de los empleados apenas leía.

El phishing es más un problema de atención que un problema de conocimiento, también en los empleados más sensibilizados.

Hallazgo de Lain y colegas (2024), ETH Zürich

Esta idea cambia todo el enfoque. Si el problema no es que los empleados sepan demasiado poco, sino que en el momento equivocado no prestan atención por un instante, entonces tiene poco sentido aportarles aún más conocimiento. Quien en un momento así está distraído tampoco reconoce un buen correo de phishing, por muchos módulos que haya completado. Por eso la solución reside menos en la atención del empleado individual y más en el entorno técnico y la forma de trabajar que lo rodea. Con ello nos referimos a sistemas que detienen un error antes de que cause daño, y a procesos que hacen que un mensaje sospechoso se notifique rápidamente y se neutralice.

04 · EnfoqueOtro enfoque: por capas y basado en evidencia

Cuando la vigilancia y el conocimiento del empleado no son los factores decisivos, la investigación apunta a un enfoque por capas. La idea que hay detrás es hacer que el ataque fracase antes de que un descuido pueda causar daño, y considerar la atención humana como la capa más fina y última en lugar de como la primera defensa.

Un enfoque por capas y fundamentado

De las medidas técnicas a la vigilancia individual

Figura 4 Una representación conceptual. Las medidas con mayor efecto son de naturaleza técnica. La vigilancia individual es la capa más fina, la que deberías cargar en último lugar y lo menos posible.

  1. Haz que el ataque sea técnicamente imposible.La autenticación resistente al phishing, como FIDO2 o WebAuthn y las claves basadas en PKI, vincula el inicio de sesión al dominio real. Por ello, un sitio falso no obtiene una respuesta válida, sin importar quién haga clic en él. NIST sitúa esta forma en el nivel de confianza más alto y CISA la considera la norma (NIST SP 800-63B; CISA, 2022).
  2. Haz que lleguen menos correos de phishing y advierte sobre el resto.Las medidas contra la falsificación de remitentes (DMARC, DKIM y SPF), el filtrado y las advertencias sobre correos sospechosos descargan la atención del empleado. El estudio de la ETH mostró que tales advertencias funcionan bien (Lain et al., 2022).
  3. Utiliza a los empleados como sensor colectivo.Un botón de notificación convierte a los empleados, en conjunto, en una capa de detección que hace visibles rápidamente las nuevas campañas (Lain et al., 2022). Las simulaciones de phishing son idóneas para entrenar ese reflejo de notificación, siempre que orientes por el porcentaje de notificación y por el tiempo entre ver y notificar, y no por el porcentaje de clics.
  4. Diseña la formación para la conducta en lugar de para el conocimiento.Los recordatorios breves, repetidos y adaptados al contexto funcionan mejor que los cursos largos, y las formas interactivas y lúdicas tienen un mayor efecto sobre la conducta (Prümmer, van Steen y van den Berg, 2024). La formación eficaz es además continua y adaptada al empleado, en lugar de puntual y general (Jampen et al., 2020).
  5. Limita el daño si aun así algo sale mal.Parte de que algunos clics tendrán éxito, y procura, con privilegios mínimos, segmentación, supervisión y una respuesta rápida, que un solo descuido no se convierta en una intrusión completa.

Por último, un apunte sobre la medición. Los investigadores que están detrás del mayor experimento abogan por medir, igual que en la investigación médica, con asignación aleatoria, qué medida elimina más riesgo, en lugar de orientar por las cifras de clics o por la dificultad del propio correo de phishing (Ho et al., 2025). La pregunta no es, por tanto, lo convincente que puedes hacer un mensaje falso, sino cuánta resistencia real aporta una medida por cada euro invertido.

¿Y la propia simulación de phishing?

Las simulaciones de phishing no son inútiles. La crítica de este informe se refiere a una forma de uso: la prueba recurrente que solo pretende pillar a los empleados, que se evalúa por el porcentaje de clics y que se hace cada vez más difícil. Empleadas de otra manera sí son valiosas. Son idóneas para entrenar el reflejo de notificación, es decir, la conducta por la que alguien notifica de inmediato un mensaje sospechoso y contribuye así al sensor colectivo. Además funcionan como un recordatorio periódico que vuelve a poner la amenaza en primer plano por un momento, y como una medición de referencia sobria para ver dónde se encuentra la organización. Las condiciones son claras al respecto: orienta por el porcentaje de notificación y por el tiempo entre ver y notificar en lugar de por el porcentaje de clics, no castigues a nadie, no aumentes el grado de dificultad como una carrera armamentística, y mantén los mensajes realistas y honestos.

05 · ConclusiónNo más y más difíciles, sino diferentes

Las simulaciones de phishing no hacen, por sí solas, a los empleados demostrablemente mejores en el reconocimiento del phishing, y aumentar el grado de dificultad desplaza la atención hacia la medida equivocada. La investigación científica no apunta a más simulaciones ni a simulaciones más difíciles, sino a un enfoque por capas. Ese enfoque hace que el ataque fracase técnicamente, lo detecta rápidamente mediante la notificación y apoya la conducta con una formación bien diseñada, repetida y activa en lugar de con una transferencia pasiva de conocimiento. La formación y las simulaciones mantienen dentro de ello un papel claro, mientras estén orientadas a la conducta y no degeneren en una carrera armamentística con los propios empleados.

Limitaciones

  • Este informe es un estudio de la literatura que resume investigación científica existente, y no contiene investigación propia nueva.
  • Los estudios citados se realizaron en organizaciones y contextos específicos, por lo que los efectos pueden variar según el entorno.
  • La conducta es difícil de medir, y no todos los estudios emplean la misma medida de resultado, lo que dificulta una comparación directa.

Fuentes

  1. Bada, M., Sasse, A. M., y Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Cybersecurity and Infrastructure Security Agency (CISA) (2022, revisado 2024). Implementing Phishing-Resistant MFA. cisa.gov/MFA
  3. Ho, G., Mirian, A., Dameff, C., et al. (2025). Understanding the Efficacy of Phishing Training in Practice. IEEE Symposium on Security and Privacy 2025. people.cs.uchicago.edu
  4. Jampen, D., Gür, G., Sutter, T., y Tellenbach, B. (2020). Don't click: towards an effective anti-phishing training. A comparative literature review. Human-centric Computing and Information Sciences, 10:33. doi.org/10.1186/s13673-020-00237-7
  5. Lain, D., Kostiainen, K., y Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842 a 859. arxiv.org/abs/2112.07498
  6. Lain, D., Jost, T., Matetic, S., Kostiainen, K., y Čapkun, S. (2024). Content, Nudges, and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. ACM CCS 2024. doi.org/10.1145/3658644.3690348
  7. Michie, S., van Stralen, M. M., y West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. National Institute of Standards and Technology (NIST). Digital Identity Guidelines, SP 800-63B y SP 800-63-4. csrc.nist.gov/projects/digital-identity-guidelines
  9. Prümmer, J., van Steen, T., y van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  10. Prümmer, J., van Steen, T., y van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  11. Rozema, A. T., y Davis, J. C. (2025). Anti-Phishing Training (Still) Does Not Work: A Large-Scale Reproduction of Phishing Training Inefficacy Grounded in the NIST Phish Scale. arxiv.org/abs/2506.19899
  12. van Steen, T., y Deeleman, J. R. A. (2021). Successful gamification of cybersecurity training. Cyberpsychology, Behavior, and Social Networking, 24(9). doi.org/10.1089/cyber.2020.0526

Cita

2LRN4 (2026). El Problema de la Atención. Serie de investigación 2LRN4. Disponible bajo CC BY 4.0.
CC BY 4.0 Libre de compartir y adaptar, con atribución