«¡Al diablo con todo!» — y así acabas siendo un insider. El cansancio hace saltar por los aires las normas de ciberseguridad
Cómo el estrés, la presión y una cultura tóxica convierten a empleados comunes en un riesgo para la ciberseguridad
La mayoría de las empresas combaten las ciberamenazas con tecnología y un control total sobre el personal, pero la investigación de Emmanuel Antti demuestra: la empatía puede resultar mucho más eficaz. En su tesis doctoral en la Universidad de Vaasa estudia el fenómeno de la desviación interna y explica cómo la atención al factor humano ayuda a construir una ciberseguridad más resistente y justa.
Las amenazas internas surgen cuando empleados, contratistas o exempleados, de forma intencionada o accidental, abusan de su acceso a los sistemas de la empresa. El trabajo de Antti en sistemas de información muestra que detrás de estos incidentes suelen estar el miedo, el estrés, la cultura corporativa, los dilemas morales y el agotamiento emocional. No se trata solo de acciones maliciosas, sino también de errores cotidianos que pueden provocar fugas e incidentes.
Según el investigador, las personas no siempre tienen la intención de romper las normas. El envío accidental de un correo confidencial al destinatario equivocado o hacer clic en un enlace de phishing a menudo provienen de las mismas causas: presión constante, plazos ajustados, carga de trabajo elevada y la sensación de que en la empresa no está bien visto reconocer las debilidades o pedir ayuda. En ese entorno, la seguridad fácilmente pasa a un segundo plano frente al deseo de «cerrar todo a tiempo».
Un tema aparte es la llamada «creatividad desviada» de empleados que encuentran formas ingeniosas de eludir las medidas de protección por comodidad o rapidez. Conociendo los procesos internos, las personas idean atajos arriesgados pero habituales: por ejemplo, envían documentos de trabajo a su correo personal para terminar la tarea desde casa. El sistema puede no identificar esos archivos como sensibles y no bloquear el envío, pero son precisamente esos pasos los que abren la puerta a amenazas reales.
Cuando las políticas de seguridad y las medidas técnicas parecen demasiado rígidas y entorpecen el trabajo, los empleados las perciben como un obstáculo y no como una protección. En lugar de un cumplimiento consciente de las normas surge una resistencia encubierta: los usuarios buscan resquicios, desactivan notificaciones, ignoran los requisitos de contraseña o la autenticación multifactor. Formalmente, el sistema parece protegido, pero en la práctica se socava desde dentro con compromisos cotidianos.
La respuesta tradicional de las empresas es implantar nuevas tecnologías de control, incluidos sistemas basados en IA que supervisan la actividad del personal. Sin embargo, según Antti, ese enfoque a menudo produce el efecto contrario. Los algoritmos pueden medir mal la calidad del trabajo, premiando la velocidad sobre la precisión: quienes trabajan con cuidado resultan «lentos» a ojos del sistema. Con el tiempo, esto genera sensación de injusticia, fatiga y desconfianza hacia el empleador —un terreno ideal para la desviación interna como forma de protesta silenciosa o autodefensa.
El investigador advierte que, en lugar de prevenir incidentes internos, esas herramientas a veces los fomentan. La persona que siente que la vigilan de forma continua y que sus esfuerzos se evalúan con métricas dudosas será más propensa a ocultar errores, buscar atajos y distanciarse de los valores corporativos. Como resultado, la organización obtiene un informe atractivo sobre control, pero pierde lo esencial: la confianza.
En su tesis, Antti propone una alternativa: un modelo empático de seguridad basado en los principios del design thinking. En lugar de imponer reglas desde arriba, propone involucrar a los empleados en la co-creación de políticas y procedimientos, estudiar honestamente sus necesidades reales, su motivación y su estado emocional. Ese enfoque enseña a ver la seguridad con los ojos de las personas que deben convivir con ella cada día, y no solo a través de interfaces de SIEM ni de los informes de SOC.
La empatía en este contexto no es debilidad, sino una herramienta de protección duradera. Cuando los empleados sienten que se les escucha y comprende, informan con más facilidad de sus propios errores en lugar de ocultar incidentes por miedo al castigo. Las personas empiezan a percibir los requisitos de seguridad como parte de un acuerdo común al que han contribuido, y no como otro conjunto absurdo de prohibiciones. A largo plazo, subraya Antti, la confianza y el respeto por el factor humano, y no una capa adicional de vigilancia, ofrecen a las organizaciones una oportunidad real para protegerse de las amenazas internas.
¿Estás cansado de que Internet sepa todo sobre ti?