Anthropic está en boca de todos. Su modelo de inteligencia artificial (IA) Mythos ha demostrado una capacidad inquietante para detectar vulnerabilidades en el software utilizado por empresas y administraciones. El riesgo es evidente: en malas manos, una herramienta así podría facilitar ataques contra infraestructuras estratégicas, como las de defensa, energía, identidad, sanidad, transporte o finanzas. El Banco Central Europeo (BCE), por ejemplo, ha pedido a las principales entidades bancarias de la UE que identifiquen sus vulnerabilidades de ciberseguridad y preparen planes de contingencia.Frente a este escenario, es probable que veamos un aumento de la inversión en ciberseguridad en los próximos meses. Sin embargo, un 60% de las brechas de seguridad incluyen algún componente humano, según un estudio de Verizon. Así, gastar dinero en cortafuegos, encriptación y dispositivos de acceso seguro es tan importante como invertir en cultura de la privacidad, es decir, en formar adecuadamente a las personas que utilizan y gestionan los sistemas informáticos con información protegida.Es habitual que las empresas ofrezcan a sus trabajadores programas de educación, formación y concienciación en seguridad, que en inglés se denominan como SETA. Estos transmiten conocimientos superficiales: mantener en secreto las contraseñas, actualizar el software, huir de los enlaces sospechosos… A estas alturas, ¿quién no ha recibido este tipo de consejos?Sin embargo, mi investigación me hace recomendar a empresas y organismos gubernamentales que complementen sus programas SETA con otros de educación, formación y concienciación en privacidad. Se trata de los PETA, que conminan al empleado a ser proactivo en el cumplimiento de los estándares de privacidad, y a que se comprometa a integrar la protección de datos en todas las operaciones, la toma de decisiones y los objetivos estratégicos.¿Por qué son tan importantes los programas de formación en privacidad centrados en los empleados? Porque muchas brechas de seguridad nacen de decisiones automáticas e irreflexivas, influidas por el contexto, el cansancio o el estado de ánimo. En un experimento que realicé, todos los participantes recibieron formación sobre phishing y otros riesgos, pero solo a un grupo se le ofreció la opción “Prefiero no dar esta información” al responder preguntas sobre sus hábitos de privacidad. Ese pequeño “empujón” bastó para que compartieran menos datos. Con otro experimento demostré que, cuando estamos contentos y relajados, tendemos a revelar más información personal. Por eso, una buena formación en privacidad debe ir más allá de las normas: debe ayudar a los empleados a reconocer los sesgos y automatismos que influyen en sus decisiones y a detenerse antes de compartir información sensible.El objetivo de los programas PETA sería acostumbrarnos a un pensamiento más lento, deliberado y consciente. Por ejemplo, hacer pausas para procesar la información relacionada con una decisión de privacidad y, de ese modo, sopesar los posibles pros y contras de permitir que terceros nos rastreen en internet. Si los errores humanos siguen siendo la mayor causa de las brechas de ciberseguridad, parece una vía de progreso razonable un programa que nos enseñe a resistir la fatiga de la privacidad y nos dote de modelos mentales para decidir de forma informada.Una cultura de “privacidad primero” no se construye solo con normas, sino aprendiendo de los fallos. Cuando se produce un incidente, la pregunta no debería ser únicamente qué sistema ha fallado, sino qué cadena de decisiones lo ha hecho posible. Las empresas ya lo hacen en ciberseguridad: contratan a hackers éticos para atacar sus propios sistemas, localizar grietas y reforzar sus defensas. Deberían aplicar la misma lógica a la privacidad. No se trata solo de poner a prueba redes, software o dispositivos, sino también de entender cómo pensamos, cuándo bajamos la guardia y qué automatismos nos llevan a compartir información que deberíamos proteger.Un ejemplo son las encuestas que detectan sus debilidades personales. Por ejemplo: ¿Repites contraseña en distintas webs? ¿Usas la fecha de tu cumpleaños para tus contraseñas? ¿Compartes detalles personales en las redes sociales? Esto solo es posible cuando se genera un entorno de confianza, puesto que los empleados pueden sentirse vulnerables revelando sus comportamientos reales por miedo a represalias. La información recogida ayuda a diseñar políticas más eficaces.Otra iniciativa sería nombrar “paladines de la privacidad” en distintos departamentos e integrar las consideraciones de privacidad en la gobernanza de la empresa. Idealmente, el encargado sería el delegado de protección de datos (DPD) en colaboración con el área de recursos humanos.Integrar los programas PETA en los procesos de bienvenida a los nuevos empleados es otra medida interesante, especialmente para proteger a los empleados de primera línea, como los agentes de atención al cliente, ya que establece los estándares de privacidad desde el primer día.Se trata de guiarse por el mantra “confianza cero”, especialmente para hacer frente a ataques sofisticados como los deepfakes. El caso de Arup ilustra el riesgo: en 2024, un empleado de su oficina de Hong Kong transfirió 20 millones de libras a varias cuentas tras recibir la instrucción, aparentemente, del director financiero. Aunque al principio sospechó del correo, una videollamada con supuestos directivos de la compañía lo convenció. Después se descubrió que eran deepfakes generados con IA. Desde entonces, no ha trascendido un caso empresarial de esa magnitud, quizá porque las organizaciones empiezan a identificar mejor este tipo de amenazas. En cualquier caso, la lección de Arup sigue vigente: hay que pararse un momento a verificar antes de actuar ante cualquier solicitud de información o transferencia. Esta costumbre evitará respuestas automáticas ante estímulos o estados de ánimo que faciliten la revelación de datos.Mythos confirma que las máquinas serán cada vez mejores detectando fallos. Pero, insisto, las organizaciones seguirán dependiendo de algo mucho menos automatizable: el criterio humano. Formarlo, entrenarlo y protegerlo frente a sus propios sesgos será tan importante como actualizar cualquier sistema.