Si las empresas invierten cada año más presupuesto en cumplimiento normativo y concienciación, ¿por qué entre el 80% y el 95% de los incidentes en ciberseguridad siguen siendo atribuibles al comportamiento humano? Esta es la pregunta que ha vertebrado el ‘Next-Gen Cyber Security Culture Summit 2026’, celebrado los pasados 20 y 21 de febrero en Granada.
Organizado por ISMS Forum y la compañía española TIER8, el encuentro ha puesto sobre la mesa una realidad incómoda para el sector: la tecnología avanza a un ritmo vertiginoso, pero el «sistema operativo» de las personas —su cerebro y su forma de tomar decisiones— no se actualiza a la misma velocidad.
Natalia Jiménez, cofundadora de TIER8, fue contundente durante la inauguración: «Informar y formar no es suficiente, hemos tocado techo». Para los expertos congregados, la persistencia de incidentes derivados de la ingeniería social demuestra que el modelo tradicional de compliance está agotado frente a unas amenazas cada vez más sofisticadas que buscan hackear a la persona, no a la máquina.
La era de la Guerra Cognitiva
Uno de los puntos álgidos del foro fue el análisis de las guerras cognitivas, un fenómeno que va más allá de las fake news. Daniel Iriarte, periodista experto en seguridad global, definió este concepto como un «bombardeo constante» cuyo fin último es «reprogramar a las audiencias» para que actúen según los deseos del agresor.
En el entorno corporativo, esto se traduce en ataques que explotan los sesgos cognitivos de los empleados. «Con una fracción del dinero y tiempo que antes eran necesarios, se puede influir en muchísima más gente», advirtió Iriarte, señalando que la rentabilidad de estas campañas ha profesionalizado el sector del cibercrimen. Lo más alarmante de esta dinámica es su viralidad: las víctimas terminan actuando como vectores de ataque, reproduciendo los mensajes maliciosos en un fenómeno «similar a una epidemia».
Lecciones de la aviación: el modelo del ‘Queso Suizo’
Para buscar soluciones, el evento miró hacia otros sectores críticos donde el error humano puede ser fatal. Carmen Arango, comandante de Vueling Airlines, estableció un paralelismo entre la cabina de un avión y el puesto de trabajo digital. En ambos casos, la seguridad no depende solo de la tecnología, sino de procedimientos robustos.
Arango defendió la aplicación del modelo del «queso suizo» en ciberseguridad: un incidente nunca es culpa de una sola persona que hace clic en un enlace, sino el resultado de múltiples fallos en las barreras de protección. «La clave está en reforzar los procesos para que el error, junto a los errores que le siguen, no lleguen a convertirse en un incidente», explicó, instando a las empresas a dejar de señalar al empleado como único culpable.
Neurociencia aplicada: cuando el cerebro nos sabotea
Si la formación técnica no funciona, la respuesta podría estar en la biología. Marta Romo, CEO de BeUp, introdujo la perspectiva de la neurociencia para explicar por qué tomamos malas decisiones digitales. Variables como la presión, las prisas o la sobreestimulación informativa («infoxicación») desactivan el pensamiento profundo y activan respuestas automáticas.
«Muchas decisiones no dependen tanto de la inteligencia o la competencia, sino de los mecanismos cerebrales que se activan en determinados contextos», señaló Romo. Esto explica por qué profesionales altamente cualificados siguen cayendo en trampas de phishing: la hiperconexión provoca una desconexión con uno mismo, generando incoherencias entre lo que sabemos que debemos hacer y lo que finalmente hacemos.
Un nuevo marco de trabajo: TIER8 Framework
El evento concluyó con la presentación de una solución pionera: el TIER8 Framework. Presentado por Sergio Jiménez, CEO de la organización, este marco de trabajo busca descomponer los incidentes humanos analizando el contexto, las motivaciones y los sesgos.
La conclusión del encuentro en Granada es clara: las organizaciones deben revisar si su cultura corporativa realmente apoya la seguridad o si, por el contrario, la está saboteando al exigir ritmos de trabajo que favorecen el error. En 2026, la ciberseguridad ya no es solo cuestión de código informático, sino de entender el código de la conducta humana.
