test
Language

Por qué tu inversión en control de accesos no sirve de nada si tus empleados hacen clic en enlaces de phishing

phishing awareness scaled

Este artículo es para responsables de seguridad, facility managers y responsables de IT/OT en empresas europeas que invierten en seguridad física y quieren entender por qué esa inversión depende de la protección del factor humano.

Conclusiones clave

  • El phishing representó el 60 % de los vectores de intrusión en Europa en 2025 (ENISA)
  • Los ataques basados en identidad aumentaron un 32 % en la primera mitad de 2025 (Microsoft)
  • Añadir concienciación sobre phishing a la seguridad física existente suele costar €4,8–€9,8 por empleado al año
  • La seguridad convergente significa tratar los riesgos físicos, digitales y humanos como una única superficie de ataque conectada

Todas las puertas están protegidas, pero aun así se deja entrar a los atacantes

En nuestro artículo sobre los requisitos de auditoría de NIS2 explicamos por qué la formación anual en concienciación de seguridad ya no es suficiente. Este artículo lleva ese argumento un paso más allá: la seguridad física por sí sola tampoco basta.

En toda Europa, las organizaciones están invirtiendo mucho en seguridad física: control de accesos, videovigilancia, gestión de visitantes, protección perimetral y políticas de credenciales. El reto es que el panorama de amenazas ha cambiado.

Hoy, los atacantes a menudo no intentan forzar el perímetro físico. Se dirigen a las personas y a las identidades digitales que interactúan con él.

Los datos europeos son claros. En su Threat Landscape 2025, ENISA analizó 4.875 incidentes que afectaron al entorno europeo de ciberamenazas y concluyó que el phishing fue el vector de intrusión dominante, con el 60 % de los casos. La vía de entrada más habitual fue una persona engañada para hacer clic, responder, aprobar o revelar algo que no debía.

Muchas organizaciones siguen tratando la seguridad física y el riesgo cyber como dos conversaciones separadas: una sobre edificios, activos y personas en las instalaciones; otra sobre correos electrónicos, contraseñas y malware. Esa división tenía sentido hace diez años. Hoy ya no.

La misma empresa que protege entradas con lectores de credenciales y supervisa visitantes mediante sistemas conectados opera cada vez más en un entorno conectado a la nube. En 2025, el 52,74 % de las empresas de la UE utilizaba servicios de cloud computing de pago, y entre las grandes empresas la cifra alcanzaba el 84,67 %. Al mismo tiempo, el 52 % de los ciudadanos de la UE utilizaba identificación electrónica para acceder a servicios online.

En este escenario interconectado, un correo de phishing rara vez es solo un problema de correo electrónico.

Seguridad física y factor humano

El control de accesos, los sistemas de videovigilancia y la gestión de visitantes siguen siendo esenciales. Protegen la capa física: quién entra, adónde va, qué hace y cómo pueden reconstruirse los incidentes después. Las inversiones en seguridad física son fundamentales, y las organizaciones hacen bien en realizarlas.

Pero esas inversiones solo funcionan como deberían si las personas que operan a su alrededor no son manipuladas para eludirlas.

Un ataque de phishing solo necesita comprometer la identidad, el criterio o el flujo de trabajo de una persona de confianza. Cuando eso ocurre, los atacantes pueden acceder a cuentas corporativas, comunicaciones de mantenimiento, registros de visitantes, planos internos, turnos, datos de proveedores o credenciales y permisos.

La amenaza ya no es hipotética:

  • Microsoft (2025): Los ataques basados en identidad aumentaron un 32 % en la primera mitad del año. Más del 97 % de los ataques de identidad se dirigieron a contraseñas. La conclusión de Microsoft fue directa: los atacantes cada vez entran menos por la fuerza. Inician sesión.
  • IBM (2024): Un aumento del 84 % en correos de phishing que distribuyen info stealers muestra cómo el robo de credenciales se está escalando e industrializando.
  • Impacto en el negocio: Se estimó que los ciberataques de 2025 contra Marks & Spencer y Co-op costaron en conjunto entre £270 millones y £440 millones.

El National Institute of Standards and Technology (NIST) ha señalado que los sistemas electrónicos de control de acceso físico deben tratarse como combinaciones de componentes de tecnología de la información y elementos de seguridad física, no como hardware aislado.

Un problema de primera línea para los fabricantes

El riesgo de seguridad convergente es especialmente importante para las organizaciones de fabricación.

El Threat Landscape 2025 de ENISA identificó la fabricación como el sector atacado de forma más constante en cinco Estados miembros de la UE. El X-Force Threat Intelligence Index 2025 de IBM concluyó que la fabricación fue la industria más atacada en sus datos de incidentes, con el 40 % de todos los casos.

En fabricación, el riesgo cyber afecta a la continuidad de la producción, la coordinación con proveedores, el mantenimiento, la seguridad, la logística, la propiedad intelectual y la disponibilidad. Según el Data Breach Investigations Report 2025 de Verizon, los tres patrones principales de brechas en fabricación —intrusión en sistemas, ingeniería social y ataques básicos a aplicaciones web— representan juntos el 85 % de las brechas. El abuso de credenciales supone el 22 % y el phishing el 16 % de los vectores de acceso inicial conocidos. Aproximadamente el 88 % de las brechas del patrón de ataques a aplicaciones web implicaron credenciales robadas.

Una empresa manufacturera puede invertir mucho en proteger plantas, almacenes, zonas restringidas y accesos de contratistas, y aun así quedar expuesta porque un empleado hace clic en una factura falsa, una actualización falsa de un proveedor o un restablecimiento de contraseña falso. Ese único clic puede interrumpir la coordinación con proveedores, los flujos de mantenimiento, el soporte remoto y la continuidad de la producción mucho antes de que alguien lo interprete como un problema de facilities.

Qué significa la seguridad convergente en la práctica

La seguridad convergente a veces se describe como una coordinación más estrecha entre los equipos de seguridad física y ciberseguridad. Eso forma parte de ella. El cambio más importante es tratar un ataque como un único ataque, aunque aparezca en lugares distintos.

En una instalación conectada, un correo de phishing, un restablecimiento de contraseña por parte del help desk, una solicitud de acceso de un contratista y una sesión remota inusual pueden ser distintas fases del mismo incidente. Una estrategia de seguridad convergente parte del reconocimiento de que la capa física, la capa digital y la capa humana están interconectadas.

Una solicitud de acceso sospechosa, un correo de proveedor falsificado, un prerregistro fraudulento de visitantes, un buzón de contratista comprometido, una entrada con credencial fuera de los patrones normales, un restablecimiento de contraseña bajo presión y una sesión de soporte remoto desde una identidad aparentemente fiable pueden formar parte del mismo intento de intrusión.

La OCDE descubrió que el 21,8 % de las empresas europeas utiliza dispositivos conectados a Internet para la seguridad de sus instalaciones, y que entre las empresas que utilizan dispositivos conectados, el 75 % los usa con ese fin. El aviso de Scattered Spider de 2025 ilustra la lógica del atacante: manipular al help desk, abusar de una relación de confianza, obtener credenciales válidas y moverse mediante cuentas legítimas. Los equipos aislados se pierden por completo esa cadena.

En la práctica, la seguridad convergente se traduce en tres cosas:

Coordinación entre equipos

Los equipos de facilities y cyber tratan los reportes de phishing, el uso indebido de credenciales, las solicitudes de acceso sospechosas y los flujos de contratistas como señales conectadas, no como incidentes separados.

Formación de concienciación basada en roles

La formación anual genérica no basta. Un estudio de 2025 con 93 empleados de RR. HH. y contabilidad en nueve organizaciones reveló que solo el 27 % sentía que la formación actual abordaba riesgos específicos de su departamento. Los equipos de RR. HH. se enfrentan a solicitudes de empleo maliciosas y suplantación de directivos; los equipos de contabilidad, a fraude de facturas y ransomware. Los empleados preferían formatos trimestrales basados en escenarios, y esa preferencia refleja una exposición real al riesgo.

Reducción del riesgo medible

Un estudio longitudinal de 2025 con más de 1.300 empleados y más de 13.000 simulaciones de phishing mostró que las acciones inseguras bajaron del 8,5 % al 4,2 % en seis meses. Los empleados que fallaron y recibieron formación inmediata de refuerzo tuvieron un 70 % menos de probabilidad de repetir el mismo comportamiento inseguro. La concienciación debe gestionarse como cualquier otro control de seguridad, con evidencias de que el riesgo realmente disminuye.

El coste de añadir el factor humano

Cuánto cuesta pasar de una seguridad solo física a seguridad física más concienciación anti-phishing?

Los precios públicos de 2025 a 2026 en el Digital Marketplace del gobierno británico muestran servicios de concienciación en seguridad y simulación de phishing en torno a €4,8–€9,8 por empleado al año en niveles estándar, con paquetes más avanzados que alcanzan aproximadamente €28,50.

Para una organización con 1.000 empleados, eso suele significar un coste anual de entre €4.800 y €9.800 para añadir una capa humana continua de protección.

Comparado con el coste de la infraestructura de control de accesos, videovigilancia, monitorización y mantenimiento, no es un nuevo proyecto de infraestructura. Es un gasto operativo relativamente modesto que ayuda a proteger las identidades, los flujos de trabajo y las decisiones de las que ya depende tu inversión actual en seguridad.

La concienciación en seguridad es la culminación natural de tu inversión en seguridad física

Muchas organizaciones tratan la concienciación en seguridad como un proyecto secundario de IT, en lugar de verla como la culminación lógica de su inversión actual en seguridad. Ese enfoque está al revés.

Si ya inviertes en controlar el acceso a espacios, supervisar movimientos, proteger activos y documentar quién hizo qué y cuándo, ya has aceptado un principio básico de seguridad: la confianza debe gestionarse.

La concienciación en seguridad aplica ese mismo principio al comportamiento humano. Ayuda a los empleados a reconocer phishing, ingeniería social, suplantación, enlaces maliciosos, falsas urgencias, trampas de credenciales y abuso de flujos de trabajo antes de que esas amenazas se conviertan en accesos no autorizados.

Ahí es exactamente donde encaja Prime Security Awareness. Es la capa de control humano que los sistemas físicos no pueden ofrecer por sí solos. No es una herramienta cyber adicional. Es la capa que falta para que la inversión en seguridad física funcione como debe.

Conclusión

Las organizaciones modernas no pierden el control solo cuando alguien atraviesa la puerta. Lo pierden cuando una persona de confianza, una identidad válida y un sistema conectado son manipulados en secuencia.

La seguridad física protege el sitio. La concienciación humana protege las decisiones que mantienen el sitio seguro. Las organizaciones que conectan ambas obtendrán más valor de cada lector, cámara, regla de acceso y flujo de contratistas que ya gestionan.

Por un coste recurrente relativamente modesto, el factor humano puede proteger una inversión en seguridad física mucho mayor.

Descubre cómo Prime Security Awareness completa tu seguridad convergente.

Frequently Asked Questions

¿Por qué el phishing es un problema de seguridad física?

Los ataques de phishing se dirigen a las personas que operan los sistemas de seguridad física. Un intento de phishing exitoso puede dar a los atacantes acceso a credenciales, flujos de mantenimiento, registros de visitantes y comunicaciones con contratistas, eludiendo de forma efectiva los controles de acceso sin tocar nunca una puerta.

¿Qué relación tiene NIS2 con la concienciación en seguridad?

NIS2 exige a las organizaciones de sectores críticos implementar medidas técnicas y organizativas adecuadas, incluida la formación de concienciación para empleados. La formación anual genérica ya no se considera suficiente para el cumplimiento. Cada vez se esperan más programas regulares, medibles y basados en roles.

¿Qué sectores corren más riesgo de sufrir brechas de seguridad física facilitadas por phishing?

La fabricación es el sector atacado de forma más constante en los datos europeos de amenazas, según el Threat Landscape 2025 de ENISA y el X-Force Threat Intelligence Index 2025 de IBM. Sin embargo, cualquier organización que combine sistemas de seguridad física conectados con gestión de identidades basada en la nube afronta un riesgo convergente.

Otros artículos

phishing awareness
| Noticias

De la sécurité physique à la sensibilisation cyber

Leer más
Herbert Henninger Featured
| Noticias

Austria en el punto de mira: Primion refuerza su compromiso con el mercado austríaco

Leer más
lynn Qn7dUULTZhs unsplash
| Noticias

Su formación anual no superará la NIS2 – ¡esto es lo que los auditores realmente exigen! 

Leer más
AdobeStock 1228365472
| Noticias

Las personas rinden al máximo cuando los sistemas juegan a su favor, no en su contra 

Leer más
Happy Business Man iStock 2184295789
| Noticias

Primion Technology GmbH adquiere primion AG Suiza

Leer más
Social networking iStock 1465163462
| Noticias

Gestionar identidad, presencia y seguridad en el entorno laboral actual

Leer más
1 2 3