La Directiva NIS2 sitúa el factor humano en el centro de la ciberseguridad y marca un cambio de enfoque en Europa. El aumento del phishing confirma que el riesgo ya no es solo técnico, sino también conductual. En este artículo, Santiago Sánchez explica cómo Europa y España comparten esta tendencia, con la ingeniería social como principal vía de entrada. La seguridad digital pasa ahora por un cambio cultural dentro de las organizaciones.
Europa ha dado un paso decisivo con la Directiva NIS2. No es una actualización técnica ni un simple ajuste normativo, sino que podría interpretarse como una advertencia. La Unión reconoce que la ciberseguridad ya no tiene cabida como un problema exclusivamente tecnológico.
Se trata de un fenómeno humano. Correos electrónicos abiertos con premura o decisiones tomadas en un entorno digital mal diseñado, pueden convertirse en el vector de entrada de un incidente grave.
➡️ Te puede interesar: Economía digital y ciberseguridad: un binomio clave para la dirección financiera
La NIS2 nace precisamente para corregir ese desequilibrio. Amplía el ámbito de aplicación a 18 sectores críticos, obliga a gestionar riesgos, refuerza la responsabilidad de los directivos y exige contextos digitales más seguros por diseño. Pero, sobre todo, introduce un mensaje claro: la ciberseguridad depende de cómo vivimos, trabajamos y aprendemos dentro de los sistemas.
Esta visión encaja de forma natural con dos pilares criminológicos, como son, por un lado, la Prevención del Delito a través del Diseño Ambiental (CPTED) trasladada al ecosistema tecnológico; y la Teoría del Aprendizaje Social de Akers. Ambas explican por qué la ingeniería social sigue siendo la vía de entrada más eficaz en Europa y por qué la NIS2 apuesta por un cambio cultural profundo.
El factor humano como epicentro del riesgo
Los datos de la Agencia Europea de Ciberseguridad (ENISA) son concluyentes. La mayoría de los incidentes no comienzan con una vulnerabilidad técnica, sino con un engaño.
El phishing y el pretexting siguen siendo los puntos de intrusión más frecuentes; y el phishing por sí solo representa el 16% de los ataques en Europa según el informe Threat Landscape 2024 de ENISA. Dicha Agencia detectó además un repunte notable a finales de 2023, señal de que los delincuentes continúan explotando rutina, confianza y prisa.
En el ámbito de los dispositivos móviles, donde transcurre gran parte de nuestra vida digital, la situación es aún más evidente, ya que más del 90% de las amenazas detectadas están relacionadas con estafas y engaños, y el phishing alcanza un 30%. Los ciber atacantes no buscan vulnerar sistemas, buscan vulnerar factor humano.
En España, los datos del INCIBE confirman esta tendencia. Durante 2025 se gestionaron 122.223 incidentes, de los cuales 45.445 fueron fraudes online y 25.133 correspondieron a phishing. En datos proporcionales, el fraude supone el 37,2% de los incidentes gestionados y el phishing el 20,6%. Más de la mitad de los problemas de ciberseguridad en España tienen en común la manipulación de la persona.
Gráfica 1. Peso de la ingeniería social en Europa y España (%)
Europa y España presentan la misma fotografía, como lo es que las tácticas de manipulación no solo son la modalidad de ataque más frecuente, sino también la más efectiva. Es en este punto donde la NIS2 cobra sentido, obligando a las organizaciones a reforzar la formación, la ciberhigiene, la gestión del personal y la cultura de seguridad, elementos que convierte en obligaciones formales.
Una lectura criminológica: CPTED digital
La teoría CPTED sostiene que el entorno influye directamente en la probabilidad de que se produzca un delito. Aplicada al ámbito digital, explica por qué la ingeniería social resulta tan eficaz, pues los atacantes aprovechan superficies de interacción mal diseñadas, interfaces confusas, procesos que dependen de la confianza del usuario o sistemas sin segmentación.
➡️ Te puede interesar: ¿Qué es el cibercrimen y cómo protegerse?
La NIS2 responde precisamente a este problema, exigiendo medidas de gestión de riesgos que incluyen:
- Controles de acceso robustos
- Segmentación de redes
- Trazabilidad
- Cifrado
- Políticas de confianza cero
- Continuidad de negocio
- Seguridad del personal
Es, en esencia, una CPTED digital, pues consiste en reducir oportunidades delictivas mediante el diseño del entorno. La Directiva exige que los sistemas no solo sean seguros, sino que eviten empujar al usuario al error.
Además, introduce un elemento clave, como lo es la gestión de la cadena de suministro. Las organizaciones deben evaluar la seguridad de proveedores, subproveedores y terceros países. Desde una perspectiva criminológica, esto amplía el “marco operativo” a escala sistémica, reduciendo oportunidades delictivas más allá de los límites de la propia organización.
Aprendizaje social: la construcción de la cultura de seguridad
La Teoría del Aprendizaje Social explica que las personas adoptan comportamientos observando, imitando y recibiendo refuerzos del entorno. En ciberseguridad, esta dinámica es doble.
Por un lado, los atacantes aprenden colectivamente. Comparten técnicas, herramientas y estrategias en foros clandestinos; y en la dark web, perfeccionando métodos de manipulación que evolucionan de forma colaborativa. Se incluye la venta de paquetes de servicios para cometer el ciber crimen, para aquellos con menos conocimientos (Crime As a Service).
Por otro lado, los empleados también aprenden. Si una organización normaliza prácticas inseguras, como compartir credenciales o no verificar correos, estas se acaban consolidando. En cambio, cuando se refuerzan hábitos seguros, como reportar incidentes o verificar identidades, se genera una mentalidad corporativa en ciberseguridad efectiva.
➡️ Te puede interesar: Protección de datos personales: cómo mantener tu información segura en línea
La NIS2 incorpora esta visión criminológica en su núcleo, estableciendo que los órganos de dirección deben supervisar personalmente la ciberseguridad y pueden ser responsables por incumplimientos. Esto obliga a que la disciplina de seguridad deje de ser un asunto técnico y pase a ser un asunto estratégico.
La Directiva no se limita a exigir formación, pues también impulsa un cambio cultural. El comportamiento seguro debe convertirse en la norma organizativa.
Europa y España: una mirada conjunta al riesgo humano
El análisis conjunto de los datos europeos y españoles permite observar una tendencia clara, los ataques basados en el factor humano dominan como métodos predominantes, pero en España se materializa con mayor intensidad en forma de fraude. Mientras Europa identifica el problema en términos estructurales, en España se manifiesta de forma más operativa.
Tabla 1. Comparativa criminológica de la ingeniería social en Europa y España
| Indicador | Europa (ENISA) | España (INCIBE) | Lectura criminológica |
| Peso del phishing | 16% de los ataques | 20,6% de los incidentes gestionados | Mayor exposición del usuario español al engaño directo |
| Phishing en móvil | 30% de amenazas móviles | — | Entornos personales menos protegidos. Mayor oportunidad delictiva (CPTED) |
| Fraude online total | — | 37,2% de los incidentes gestionados | Consolidación de la manipulación como vector dominante |
| Ingeniería social (tendencia) | Aumento a finales de 2023 | Alta prevalencia estructural | Normalización del delito en el ecosistema digital |
| Principal vector de ataque | Phishing y pretexting | Phishing y fraude | El factor humano es el punto de entrada clave |
| Cultura de seguridad | En desarrollo (NIS2) | En transición | Déficit de aprendizaje social en organizaciones |
| Impacto en dispositivos móviles | >90% amenazas ligadas a estafas | Alta exposición (implícita) | Entornos sin “defensas ambientales” suficientes |
| Personalización de ataques | Alta (OSINT, spear phishing) | Creciente | Aprendizaje criminal sofisticado (Social Learning) |
Esta diferencia sugiere que, aunque la superficie de ataque es común, su impacto varía según el contexto. Bajo un enfoque criminológico, esto refuerza la necesidad de intervenir tanto en el diseño del espacio digital como en el comportamiento de los usuarios. Y desde la perspectiva de la NIS2, se confirma la importancia de armonizar criterios, reforzar la supervisión y reducir la fragmentación entre Estados miembros.
Hacia una ciberseguridad más humana
La implementación de la Directiva no debe entenderse únicamente como una obligación normativa, sino como una oportunidad para redefinir la ciberseguridad desde un prisma más completo. De este modo, se moderniza el enfoque europeo, ya que amplía sectores, refuerza la gobernanza, introduce sanciones históricas, exige notificación escalonada y obliga a gestionar la cadena de suministro. Pero su aportación más profunda es otra, pues reconoce que la principal vulnerabilidad sigue siendo humana.
El CPTED digital nos recuerda que el entorno condiciona el delito. El Aprendizaje Social, que las personas aprenden de ese entorno. Y los datos de ENISA e INCIBE confirman que la ingeniería social es la técnica principal dominante.
La ciberseguridad del futuro no será exclusivamente tecnológica. Será, sobre todo, una cuestión de diseño, comportamiento y cultura. Y en ese terreno, la NIS2 marca un antes y un después.
➡️ Si quieres ser un experto en Ciberseguridad, te recomendamos el siguiente curso formativo:
