El problema del porcentaje de completado
El indicador más común en los programas de awareness corporativa es la tasa de completado: qué porcentaje de empleados terminó el módulo de formación. Es fácil de obtener, fácil de reportar y casi completamente inútil como indicador de seguridad.
Completar un módulo de 20 minutos sobre ciberseguridad no garantiza que el empleado recuerde el contenido la semana siguiente, ni que cambie su comportamiento cuando reciba un correo de phishing real. La tasa de completado mide exposición al contenido, no cambio de comportamiento.
Las organizaciones que construyen programas de awareness basados únicamente en esta métrica están invirtiendo en una ilusión de seguridad. Este artículo describe las métricas que sí miden lo que importa.
La pirámide de métricas de awareness
Existen cuatro niveles de métricas en un programa de awareness. Cada nivel es más difícil de obtener y más relevante para la seguridad real.
Nivel 1: Métricas de actividad
Son las más fáciles de medir y las menos significativas:
- Porcentaje de completado de formaciones
- Número de simulaciones lanzadas
- Número de empleados en el programa
Estas métricas son útiles para gestión operativa (¿está corriendo el programa?) pero no dicen nada sobre el impacto en el riesgo.
Nivel 2: Métricas de comportamiento en simulaciones
Aquí empieza la información relevante:
Tasa de clic (Click Rate): porcentaje de empleados que hicieron clic en el enlace de phishing de la simulación. La métrica base del sector. El punto de referencia inicial de cualquier empresa suele estar entre el 25 % y el 45 %; con un programa activo debería bajar al 5-15 % en 12 meses.
Tasa de envío de credenciales (Credential Submission Rate): porcentaje de empleados que no solo hicieron clic, sino que introdujeron sus credenciales. Más peligrosa que el clic simple; un buen indicador de vulnerabilidad real.
Tasa de apertura: relevante para medir la efectividad del asunto del correo, menos relevante para el riesgo real (abrir un correo sin hacer clic no suele ser peligroso).
Tiempo de respuesta: cuánto tiempo tardó el primer empleado en hacer clic. Los ataques que tienen alta tasa de éxito en los primeros 10 minutos son los más peligrosos — no hay tiempo para que el equipo de seguridad responda.
Nivel 3: Métricas de reporte proactivo
El reporte proactivo es la métrica más valiosa y la más difícil de mejorar:
Tasa de reporte (Report Rate): porcentaje de empleados que identificaron el correo como sospechoso y lo reportaron antes de hacer clic. En programas iniciales suele ser menor al 5 %; en programas maduros puede superar el 30 %.
Tiempo de detección a reporte: cuánto tiempo transcurre entre la recepción del correo y el reporte. Un tiempo corto indica que el proceso de reporte es conocido y accesible.
Falsos positivos: cuántos correos legítimos son reportados como phishing. Un número alto puede indicar exceso de precaución o confusión, que también es un riesgo operativo.
Nivel 4: Métricas de incidente real
Las métricas que conectan el programa de awareness con el impacto en el negocio:
Reducción de incidentes de seguridad con factor humano: ¿han bajado los incidentes de phishing exitoso, los casos de pérdida de datos por error humano, los accesos no autorizados por compromiso de credenciales?
Tiempo de reporte de incidentes reales: cuando ocurre un incidente real, ¿cuánto tardan los empleados en reportarlo? Cada hora de retraso amplía el impacto potencial.
Tasa de detección de ataques reales por empleados: el objetivo final — que los empleados sean un sensor activo de amenazas, no solo un vector de ataque.
Dashboard de métricas: cómo construirlo
Un programa de awareness bien gestionado necesita visibilidad continua sobre cuatro dimensiones:
1. Evolución temporal
Ninguna métrica tiene valor en un punto de tiempo único. El valor está en la tendencia:
- ¿La tasa de clic baja mes a mes?
- ¿La tasa de reporte proactivo aumenta?
- ¿El tiempo de reporte de incidentes decrece?
Un gráfico de líneas con 12 meses de datos muestra si el programa está generando cambio real o si los resultados son estables (señal de estancamiento).
2. Segmentación por departamento
El riesgo no está distribuido uniformemente. Finanzas, RRHH y ejecutivos son objetivos de alto valor para ataques BEC y spear phishing. IT y soporte son vectores frecuentes para ataques de ingeniería social.
Ver las métricas por departamento permite priorizar los esfuerzos: los departamentos con tasa de clic alta y tasa de reporte baja necesitan atención específica.
3. Análisis por tipo de ataque
¿El equipo detecta mejor los correos genéricos pero cae en los ataques personalizados? ¿Los adjuntos engañan más que los enlaces? ¿El smishing tiene peores resultados que el phishing por email?
Estos patrones informan la selección de escenarios para las próximas simulaciones y el foco de las microformaciones.
4. Correlación con formaciones recibidas
¿Los empleados que completaron la microformación sobre BEC tienen mejor tasa en las simulaciones de BEC? Si la respuesta es no, hay un problema de efectividad en el contenido formativo. Si la respuesta es sí, el programa funciona y se puede escalar ese contenido.
Cómo calcular el ROI de un programa de awareness
El ROI de un programa de awareness es difícil de calcular con precisión, pero hay una metodología razonable:
Coste esperado evitado = (Probabilidad de incidente sin programa) × (Coste medio de incidente) − (Probabilidad de incidente con programa) × (Coste medio de incidente)
Con datos de referencia del sector:
- Coste medio de una brecha de datos (España, 2024): 4,1 millones de euros
- Probabilidad de incidente con factor humano sin programa de awareness: ~15 % anual para empresas medianas
- Reducción de probabilidad con programa maduro: 60-70 %
- Coste anual de un programa de AaaS: 10.000-50.000 euros según tamaño
El resultado es un ROI de 10-40x en el escenario conservador. El problema es que es difícil de comunicar porque el ROI es preventivo (eventos que no ocurrieron).
Una alternativa más concreta: medir el coste de los incidentes que sí ocurrieron en el año anterior (tiempo de respuesta, coste de remediación, impacto operativo) y compararlo con el coste del programa.
Métricas para diferentes audiencias
Para el equipo de seguridad (mensual)
- Tasa de clic, desglosada por campaña, departamento y tipo de ataque
- Tasa de reporte proactivo y tiempo de reporte
- Número de falsos positivos reportados
- Completado de microformaciones post-fallo
- Empleados de alto riesgo (múltiples fallos repetidos)
Para responsables de departamento (trimestral)
- Postura de riesgo del departamento vs. benchmark de empresa
- Evolución de la tasa de clic y reporte en los últimos 3 meses
- Acción recomendada si hay deterioro
Para dirección (trimestral/anual)
- Postura de riesgo humano de la empresa (índice consolidado)
- Tendencia año a año: ¿mejoramos o empeoramos?
- Comparación con benchmark del sector
- Incidentes reales con factor humano y coste estimado
- Evidencias para auditorías (ISO 27001, ENS, SOC 2)
La trampa del benchmark externo
Los benchmarks del sector (p. ej., "la tasa media de clic en phishing es del 32 %") son útiles para contexto inicial pero pueden convertirse en una trampa. Si la empresa está por debajo del benchmark, puede generar una falsa sensación de confort: "estamos mejor que la media" no significa que el riesgo sea aceptable.
El objetivo de un programa de awareness no es estar en la media: es reducir continuamente el riesgo humano hacia el mínimo operativamente posible. Las métricas internas de evolución siempre son más relevantes que la comparación externa.
Conclusión
Las métricas que importan en un programa de awareness son las que miden el comportamiento real bajo condiciones simuladas de riesgo: tasa de clic, tasa de reporte proactivo, tiempo de reporte de incidentes. El porcentaje de completado es una métrica de actividad, no de seguridad.
Construir un cuadro de mando con estas métricas, segmentado por departamento y seguido en el tiempo, transforma el programa de awareness de una caja negra en un sistema gestionable. Y hace posible demostrar, con datos, que la inversión en el factor humano reduce el riesgo real del negocio.