En resumen
Un empleado bajo alta carga cognitiva toma peores decisiones, comete más errores y es más vulnerable al phishing. La "hambruna de tiempo" no es un problema de productividad — es un vector de riesgo de seguridad que casi nadie está midiendo.
Por qué importa
Los programas de concienciación en seguridad asumen que el empleado tiene el ancho de banda mental para aplicar lo que aprendió. Cuando ese ancho de banda está saturado, la capacitación no sirve. El problema no es el entrenamiento — es la carga.
La socióloga Leslie Perlow estudió a ingenieros de software bajo presión constante de tiempo y documentó un fenómeno que llamó "hambruna de tiempo": la sensación crónica de que nunca hay suficiente tiempo para hacer el trabajo correctamente. El resultado no era solo estrés. Era deterioro sistemático en la calidad de las decisiones, en la comunicación entre equipos y en la capacidad de detectar problemas antes de que se convirtieran en crisis.
En seguridad corporativa, ese deterioro tiene un nombre específico: vulnerabilidad. Un empleado con hambruna de tiempo no lee los correos con atención — hace clic en el enlace de phishing porque está procesando demasiado. No sigue el procedimiento completo de verificación — omite el paso que habría detectado la irregularidad. No reporta la anomalía que vio — no tiene tiempo de escribir el reporte.
La carga cognitiva como vector de ataque
Los atacantes externos lo saben. Los ataques de ingeniería social más efectivos no explotan ignorancia — explotan sobrecarga. Un correo de phishing bien diseñado llega cuando el empleado está procesando múltiples tareas simultáneas, bajo presión de tiempo, con el ancho de banda mental reducido. En ese estado, la capacidad de detectar señales de alerta disminuye significativamente.
Pero el riesgo no es solo externo. Internamente, la fatiga cognitiva es uno de los factores más consistentes en los incidentes de error humano: el operador que omite un paso en el proceso de autorización, el analista que no detecta la anomalía en el reporte, el gerente que aprueba una transacción sin revisarla completamente porque tiene otras diez esperando.
Lo que la investigación dice sobre el ancho de banda mental
La investigación sobre escasez cognitiva — desarrollada por Sendhil Mullainathan y Eldar Shafir — demuestra que cuando la mente está ocupada gestionando una escasez (de tiempo, de recursos, de atención), la capacidad disponible para otras tareas se reduce de forma medible. No es una metáfora. Es una limitación funcional del sistema cognitivo.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Traducido a términos de seguridad: un empleado que opera bajo hambruna de tiempo crónica no tiene la misma capacidad de detección de riesgos que uno que opera con margen. Y la diferencia no es de actitud ni de entrenamiento — es de arquitectura cognitiva.
La "stop-doing list" como intervención de seguridad
Perlow descubrió que la solución no era gestionar mejor el tiempo — era eliminar las fuentes de interrupción y sobrecarga. En sus intervenciones, los equipos que creaban una "lista de dejar de hacer" — reuniones que se cancelaban, reportes que se eliminaban, procesos que se simplificaban — recuperaban capacidad cognitiva que se traducía directamente en mejor desempeño y menos errores.
En el contexto de seguridad, esa misma lógica aplica: reducir la carga cognitiva del personal que opera controles críticos no es un beneficio de bienestar laboral. Es una medida de seguridad. Un operador con margen mental detecta más anomalías, sigue los procedimientos con más rigor y reporta más incidentes.
Pasos a la acción
- ▸Identifica los roles en tu organización que operan controles de seguridad críticos: aprobación de pagos, acceso a sistemas sensibles, revisión de transacciones, monitoreo de alertas. Evalúa la carga cognitiva real de esos roles — no la teórica, la real.
- ▸Revisa los últimos incidentes de error humano en tu área. ¿Cuántos ocurrieron en momentos de alta carga operativa, fin de mes, cierres de periodo, o durante períodos de reducción de personal? El patrón te dice dónde está el riesgo.
- ▸Crea una "stop-doing list" para los roles críticos: ¿qué reuniones, reportes o tareas pueden eliminarse o simplificarse para liberar ancho de banda mental? Trátalo como una medida de seguridad, no como una mejora de productividad.
La seguridad de la información invierte millones en tecnología y capacitación. Invierte muy poco en asegurarse de que el factor humano tenga las condiciones cognitivas para funcionar correctamente. Esa asimetría es, en sí misma, un riesgo.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.