Existe un sesgo cognitivo al que nosotros, los seres humanos, somos propensos, y se encuentra en el centro de algunos de los desafíos que los profesionales de ciberseguridad enfrentan a diario. Se conoce como sesgo de normalidad (normalcy bias), lo que Lauren Braithwaite define como “nuestra tendencia a subestimar la posibilidad de un desastre y creer que la vida continuará con normalidad, incluso frente a amenazas o crisis significativas”. Es la razón por la cual las personas dudan cuando suenan las alarmas de incendio o retrasan su reacción en otras situaciones en desarrollo porque las cosas todavía parecen manejables.

Dado que este sesgo puede llevarnos a confundir la familiaridad con la seguridad y las suposiciones con evidencia, cada vez interfiere más en la forma de afrontar la realidad de la ciberseguridad. Hace que las personas subestimen la probabilidad de un ciberataque o interpreten la ausencia de problemas o consecuencias visibles como prueba de que los riesgos están bajo control. En la práctica, muchas organizaciones consideran que la falta de alertas claras de sus plataformas de protección elegidas es prueba de que todo está en orden. Otras no actúan con la suficiente rapidez ante señales de advertencia porque asumen que la actividad seguirá con normalidad.

Mientras tanto, a pesar del constante flujo de titulares sobre brechas en organizaciones como M&S, JLR y Co‑op (y la mayoría de las brechas ni siquiera llega a los titulares), junto con las recomendaciones de la industria de ciberseguridad y organismos gubernamentales sobre cómo evitar convertirse en la próxima víctima, el número de incidentes graves sigue aumentando a un ritmo vertiginoso.

El NCSC Annual Review 2025 reportó 204 ciberataques “de importancia nacional” en los 12 meses hasta agosto de 2025, un aumento del 130% respecto de los 89 reportados el año anterior. De 429 incidentes totales, 18 fueron clasificados como “altamente significativos”, marcando un incremento del 50% en incidentes graves. Las tasas de brechas siguen siendo persistentemente altas, lo que puede reflejar una normalización progresiva del riesgo de brechas y verse como el sesgo de normalidad a gran escala: cuanto más comunes se vuelven las divulgaciones de brechas, menor urgencia puede generar cada una.

¿Se han aprendido lecciones?

Existe una frase que gobiernos y empresas repiten cuando ocurre una catástrofe de cualquier tipo —incluyendo una brecha de ciberseguridad—: “se han aprendido lecciones”.

Pero, ¿realmente se han aprendido?

El aumento del 130% en incidentes significativos entre 2024 y 2025 pone seriamente en duda esta afirmación y sugiere que, a nivel macro, las lecciones no se están aprendiendo. ¡Parece que la respuesta es un rotundo no!

El año pasado escribí una publicación que quizá explique, en parte, el estado psicológico tras una brecha. Argumenté que muchas empresas están, en cierto sentido, simultáneamente comprometidas y no comprometidas, y comparé esta situación con el gato de Schrödinger. Hasta que no se abre la caja —interrogando logs o buscando activamente una intrusión—, la comodidad de “no hemos sufrido una brecha” simplemente refleja que nadie lo ha comprobado realmente. De hecho, esta reticencia a investigar también podría ser el sesgo de normalidad actuando silenciosamente.

“Se han aprendido lecciones” es el resultado de abrir la caja, encontrar al gato (desafortunadamente) muerto y luego declarar: “sabemos qué pasó, lo tenemos bajo control, no hay de qué preocuparse”. Esto es una narrativa, no evidencia de un cambio significativo en el enfoque.

Por el contrario, el aprendizaje real es un proceso proactivo que cambia la forma en que deben comportarse las organizaciones. Debería reflejarse en cambios en presupuestos, políticas, reglas, planificación de recuperación, evaluación de proveedores, registro de eventos, monitoreo, capacitación y tolerancia al error, entre otros aspectos. Y todo ello antes de que ocurra la inevitable brecha. Después de todo, es mucho más difícil acertarle a un objetivo en movimiento.

Entonces, si aceptamos que el sesgo de normalidad es una condición cognitiva común y humana, podemos avanzar para evitar la complacencia antes de una brecha y minimizar su impacto. “Errar es humano”, pero ahora que sabemos cuál es la falla, tenemos la obligación de actuar en consecuencia y hacer las cosas de manera diferente.

Escenario final: ¿qué ocurre si no reconocemos este sesgo?

Los “auditores” criminales cuentan con el error humano. Después de todo, es la razón por la cual el phishing sigue siendo una de las formas más frecuentes de brechas.

Hay dos formas principales en que se desarrolla el escenario final en ciberseguridad.

O auditamos periódicamente nuestros sistemas —realizando pruebas de penetración, ejercicios de equipos rojo/azul/púrpura y otras simulaciones de ataque, reevaluando regularmente el panorama de amenazas e invirtiendo en capacidades de seguridad como parte de la estrategia de ciberresiliencia—.

O dejamos que los cibercriminales hagan la “auditoría” por nosotros. Ellos se apoyan en una falsa sensación de seguridad (literalmente), y esa es la grieta que explotan.

Cuando los criminales te “auditan”, puede ser brutal, costoso, devastador y, en muchos casos, terminal para las organizaciones. Por eso esta metáfora es importante: los cibercriminales descubren la brecha entre lo que una organización cree acerca de su seguridad y lo que realmente ocurre.

Para ponerlo en perspectiva, los procesos de inteligencia de amenazas de ESET procesan 750.000 muestras sospechosas, analizan 2.500 millones de URL y bloquean 500.000 de ellas cada día. Los actores de amenazas no descansan y, a medida que sus ataques se vuelven cada vez más sofisticados, debemos abandonar cualquier idea de que somos impermeables. Debemos aceptar que el sesgo de normalidad existe y actuar en consecuencia.

Ante una serie de brechas de alto perfil en el sector minorista del Reino Unido, ESET realizó una investigación con 2.000 consumidores. El informe resultante reveló, entre otras cosas, que el 46% de los compradores dijo que necesitaría más de 5 meses para volver a confiar tras una brecha de datos. ¡Esa es una auditoría costosa! Basta con hacer un cálculo sencillo para estimar el impacto financiero directo, si eso es lo único que interesa a la alta dirección. Por sí solo debería ser suficiente, aunque a menudo sea solo la punta de un iceberg muy doloroso.

Conclusión

Un aspecto del sesgo de normalidad que encuentro particularmente interesante es que, a pesar del aumento en sofisticación, velocidad, volumen y variedad de vectores de ataque que todos conocemos, nuestro enfoque hacia las estrategias de ciberresiliencia a menudo sigue anclado en el pasado —aunque sea un pasado relativamente reciente—. Pero el tiempo avanza rápido en ciberseguridad, y en los 4 o 5 minutos que te llevó leer este artículo, ESET habrá procesado más de 2.000 muestras sospechosas y escaneado aproximadamente 7 millones de URL, bloqueando alrededor de 1.500.

Al preguntarnos por qué deberíamos revisar la provisión de servicios de ciberseguridad, ¿estamos teniendo en cuenta todos los parámetros que han cambiado (tanto a nivel global como local) en los últimos años y cómo podrían afectar nuestra postura de seguridad actual?

Sin pensarlo demasiado, probablemente puedas nombrar al menos algunos:

  • Auge del fraude impulsado por IA y otras amenazas
  • La guerra en Ucrania
  • Irán
  • Aumento del costo global del cibercrimen
  • Deepfakes
  • Incremento de ataques de ingeniería social
  • Persistencia del phishing como principal vector de ataque
  • Mayor complejidad de las soluciones y servicios de ciberseguridad
  • La brecha entre la demanda de profesionales en ciberseguridad y la disponibilidad de talento sigue siendo preocupante.

Sin duda hay muchos más. Y no es coincidencia que el nivel de protección ofrecido por los proveedores hace apenas unos años esté siendo eliminado gradualmente, y que los servicios y soluciones MDR/XDR/MXDR se estén convirtiendo en la norma.

Los “auditores” criminales ciertamente no se han quedado de brazos cruzados en ese tiempo. Si bien el uso de nuevas herramientas, como la IA, no significa necesariamente mejor código, sí les permite escalar masivamente los ataques y analizar vulnerabilidades a una velocidad sin precedentes.

Si no estás invirtiendo en auditoría, pruebas, concientización en ciberseguridad y tecnologías de prevención, no estás ahorrando dinero: simplemente estás tercerizando la validación en los criminales.

El interés del nivel ejecutivo en la ciberseguridad suele ser mayor inmediatamente después de una brecha costosa —cuando la normalidad se rompe—. Haz que se involucren antes.

Los criminales trabajan las 24 horas del día, los siete días de la semana, con IA autónoma a su lado. ¿Tus soluciones son lo suficientemente resilientes para responder? Verifícalo.

Independientemente del tamaño de tu organización, debes revisar constantemente tu perfil y resiliencia cibernética.

No confundas el silencio (en incidentes) con seguridad: invierte en servicios MDR/MXDR 24/7.

Ahora que conoces la trampa del “sesgo de normalidad”, evítala.