La postura de ciberseguridad se ha construido sobre una premisa aparentemente indiscutible que es que, si un control reduce riesgo, añadir más controles debería reducir todavía más y, aunque sobre el papel, la lógica parece sólida, en la práctica no siempre funciona así porque no es directamente proporcional. De hecho, llega un punto en el que la acumulación de medidas, revisiones, herramientas, alertas, aprobaciones y restricciones deja de aportar una reducción proporcional del riesgo y empieza a generar el efecto contrario (más complejidad, más fricción, más errores, menos adherencia), lo que puede generarnos una sensación engañosa de seguridad.
Ese fenómeno es lo que podemos denominar como fatiga de controles, que es que la seguridad no debe medirse solo por volumen de controles, sino por la efectividad real de estos en relación con el riesgo que pretenden reducir. Es decir, un control solo genera valor si reduce un riesgo relevante, si puede mantenerse en el tiempo, si resulta entendible para quienes interactúan con él y si no introduce una carga operativa que acabe erosionando su utilidad, de forma que todo lo demás puede convertirse en seguridad visible, incluso auditable, pero no necesariamente eficaz.
La fatiga de controles no suele manifestarse de forma abrupta, pues lo habitual es que se instale de manera progresiva con gestos tan operativos como aprobaciones que se resuelven por rutina, revisiones superficiales, alertas que se dejan de mirar con atención, crecimiento sostenido de excepciones, bypass operativos, rechazo pasivo o simple automatismo.
Y ahí reside uno de sus aspectos más peligrosos, que es que puede convivir con una apariencia formal de madurez, por lo que la organización puede mostrar un stack amplio de herramientas, un catálogo robusto de políticas, múltiples validaciones y procedimientos bien documentados y, sin embargo, debajo de esa superficie, la calidad efectiva del control se ha deteriorado. El control sigue existiendo, pero ya no cumple con la función que se le atribuye, o lo hace a un coste operativo tan alto que empieza a generar más exposición indirecta de la que previene.
¿Por qué ocurre?
La fatiga de controles rara vez responde a una única causa, pues suele ser el resultado de un crecimiento acumulativo y poco depurado de la seguridad ya que las organizaciones no tienden a diseñar sus controles como una arquitectura coherente, sino como una suma de decisiones reactivas, como una herramienta nueva tras un incidente, una aprobación adicional tras una auditoría, una restricción incorporada tras una excepción mal gestionada, una revisión extra para satisfacer un requerimiento de cumplimiento o un proceso manual que se mantiene aunque ya exista otro equivalente.
Además, a ello se le suma una práctica muy extendidas que es medir más la implantación que la efectividad, pues es relativamente más fácil informar de cuántos controles existen, cuántos usuarios están cubiertos o cuántas alertas se generan que responder cuánto riesgo reduce realmente cada medida, qué coste operativo introduce, qué comportamientos incentiva y qué tensión genera sobre el proceso que pretende proteger, a pesar de que esta es la conversación verdaderamente importante.
También influye una cierta aversión a retirar controles, pues en muchas organizaciones, simplificar o eliminar una medida se percibe como una cesión de seguridad, cuando en realidad, en determinados contextos, puede ser justo lo contrario, como es una mejora del diseño, una depuración necesaria o una forma de recuperar foco sobre los controles que sí son críticos.
¿Cuanto más control también puede significar más riesgo?
Esta es la paradoja central y es que un control no aporta valor por el mero hecho de existir, sino porque reduce un riesgo de forma proporcional y sostenible, por lo que si esa reducción es limitada, incierta o queda absorbida por la fricción que el propio control introduce, su valor real empieza a ser discutible.
Esto sucede de formas muy concretas, como es un exceso de alertas que pueden desensibilizar a un equipo de monitorización, un número excesivo de aprobaciones que vacía de criterio el proceso de validación, restricciones demasiado pesadas que pueden empujar al negocio a buscar atajos o soluciones paralelas, revisiones duplicadas que pueden ralentizar procesos críticos sin mejorar la protección o procesos de acceso sobrediseñados pueden fomentar compartición de credenciales, uso de cuentas genéricas o mecanismos de bypass.
La consecuencia no es solo una pérdida de eficiencia, sino una pérdida de calidad del control en la que la organización sigue “haciendo seguridad”, pero deja de hacerlo de la manera más eficaz posible.
¿Se puede abordar de forma metódica?
Uno de los grandes errores al hablar de fatiga de controles es tratarla como una percepción difusa o como una tensión inevitable entre seguridad y negocio cuando en realidad puede abordarse de manera metódica en base a tres dimensiones
- Su contribución real a la reducción del riesgo
- El coste operativo que introduce
- La fricción que genera sobre el proceso que pretende proteger.
Lo que puede resumirse en: inventariar → vincular a riesgo → medir efectividad y fricción → clasificar controles → rediseñar y recalibrar
1. Inventariar el catálogo real de controles
El primer paso consiste en identificar los controles que realmente operan sobre un proceso, un activo o una población concreta. Y aquí es importante subrayar la palabra real, porque no sólo se trata solo de revisar el catálogo documental o las políticas vigentes, sino de entender qué mecanismos intervienen efectivamente en la operación diaria.
Para cada control conviene recoger, al menos, qué riesgo pretende reducir, sobre qué proceso actúa, quién es su propietario, quién lo opera o lo sufre, en qué punto del flujo aparece, si es preventivo, detectivo o correctivo, qué evidencias existen de su funcionamiento y qué incidencias, tickets, alertas o excepciones genera.
Y este paso suele producir un primer hallazgo muy valiosos, que es que se tiende a descubrir que tienen más controles de los que creían, peor conectados entre sí y, en muchos casos, con funciones parcialmente solapadas.
2. Vincular cada control a un riesgo concreto
Una vez inventariado el control, hay que justificarlo y eso pasa por no hacerlo en términos genéricos, sino en relación con un riesgo específico y actual, por lo que la pregunta simple sería ¿qué riesgo concreto reduce este control y qué ocurriría si no existiera?
Si la respuesta es vaga, meramente histórica o apoyada en frases como “siempre se ha hecho así”, ya hay una señal de alerta, pues un control maduro debería poder vincularse con claridad a una reducción de probabilidad, una reducción de impacto, una mejora de visibilidad o una exigencia de cumplimiento con valor real asociado.
Esta fase obliga a diferenciar entre controles verdaderamente críticos, controles útiles pero secundarios, controles redundantes y controles que han quedado como residuo histórico.
3. Medir no solo cobertura, sino efectividad y fricción
Aquí está el núcleo metodológico en tanto que los programas de seguridad tienden a evaluar los controles por su cobertura, como cuántos usuarios tienen MFA, cuántos endpoints están monitorizados, cuántas aprobaciones se exigen, cuántas alertas se emiten y esa información importa, pero es insuficiente, pues un control debería evaluarse en tres planos.
- Cobertura: sobre qué parte del entorno está desplegado.
- Efectividad: cuánto reduce realmente el riesgo que pretende reducir.
- Fricción: qué carga operativa, cognitiva o procedimental introduce.
Y esta tercera dimensión es la que suele faltar, pues un control no puede juzgarse solo por lo que bloquea o detecta, sino también por lo que ralentiza, complica o distorsiona y para medir esa fricción pueden observarse elementos como número de excepciones, tickets asociados, pasos manuales añadidos, tiempos de espera, reintentos, quejas operativas recurrentes, volumen de aprobaciones o aparición de canales alternativos.
4. Clasificar el control según valor y carga
Con la información reunida, la organización ya puede clasificar sus controles en un cuadrante:
- Controles críticos y eficaces.
- Controles útiles pero mal calibrados.
- Controles redundantes.
- Controles ornamentales o residuales.
Esta clasificación evita dos errores habituales, que es mantenerlo todo por miedo a retirar algo y simplificar sin comprender dependencias, por lo que el objetivo último no es recortar sin criterio, sino redistribuir esfuerzo y complejidad hacia donde más reducción de riesgo generan.
5. Rediseñar, simplificar y recalibrar
La última fase es la más transformadoras, que es rediseñar la arquitectura de protección para que siga siendo sostenible y eficaz.
Y eso puede implicar fusionar controles solapados, automatizar tareas manuales repetitivas, reducir el número de validaciones en escenarios de bajo riesgo, endurecer donde el activo es crítico, recalibrar umbrales para reducir ruido, reservar ciertos controles intensivos para excepciones de alto impacto o eliminar mecanismos históricos cuya utilidad actual sea marginal.
¿Podemos detectar la fatiga?
Esta es, probablemente, la parte más tangible del análisis y es que la fatiga deja huellas muy claras si se observan los indicadores adecuados.
Uno de los primeros síntomas es el crecimiento sostenido de excepciones, pues cuando las excepciones dejan de ser algo excepcional y pasan a formar parte del funcionamiento normal, el control debería revisarse y no es que necesariamente esté mal planteado en esencia, pero puede estar mal parametrizado, mal segmentado, mal ajustado al proceso real o el nivel de fricción es tan alto, que debemos mirar al usuario.
Otro indicador clave es la frecuencia de aprobaciones automáticas o superficiales, pues si managers, responsables funcionales o equipos de validación reciben tantas solicitudes que responden por rutina, el control pierde calidad decisoria. Es decir, formalmente existe, pero materialmente se ha convertido en trámite.
También es muy revelador el volumen de alertas por analista y el porcentaje de alertas accionables, en donde el problema no es solo el esfuerzo, sino la erosión de la atención sobre lo verdaderamente importante.
La duplicidad de controles sobre un mismo proceso es otra señal clásica, pues si varias herramientas o varios equipos validan esencialmente lo mismo sin complementariedad clara, la organización gana complejidad y coste, pero no necesariamente resiliencia.
Un indicador especialmente potente es el aumento del shadow IT o de los mecanismos de bypass, porque cuando las personas empiezan a rodear el proceso formal, no basta con hablar de incumplimiento, sino preguntarse qué está fallando en el diseño del control para que el rodeo resulte más viable que el uso legítimo.
Todo esto, puede condensarte en herramientas como esta: Fatiga de controles
¿Cómo los interpretamos?
Los indicadores no deben leerse de forma aislada ni simplista, pues un alto volumen de excepciones no significa por sí mismo que haya que retirar un control, por lo que la clave está en ver patrones en el sentido de, si un mismo control concentra excepciones, tickets, quejas operativas, bypass y respuestas mecánicas, probablemente existe un problema estructural y, en ese caso, seguir administrándolo como si fuera una simple incidencia operativa solo retrasa una decisión de diseño que ya debería haberse tomado.
Un ejemplo práctico
Imaginemos una empresa que, tras varios incidentes de phishing y accesos indebidos, hemos ido robusteciendo progresivamente el acceso a sus aplicaciones financieras y de gestión de proveedores.
Con el tiempo, el proceso ha terminado incluyendo autenticación multifactor, validación por dispositivo, aprobación del manager para ciertos accesos, ticket manual para accesos excepcionales, revisión mensual de permisos, alerta automática por acceso desde ubicación inusual y validación adicional del área de seguridad en algunos casos sensibles.
Sobre el papel, el esquema parece robusto, pero al analizarlo con la metodología descrita aparecen varios problemas, pues en la fase de inventario ya identificamos siete controles distintos sobre el mismo flujo, algunos preventivos, otros administrativos y varios con funciones parcialmente solapadas.
En la fase de vinculación a riesgo comprobamos que varios de ellos buscan reducir esencialmente el mismo riesgo —el acceso indebido a aplicaciones sensibles—, pero sin una lógica clara de complementariedad pues esos controles siguen existiendo se añadieron tras incidentes distintos y nunca se revisaron en conjunto.
Al medir efectividad y fricción, podemos observar como se elevarán las solicitudes que requieren excepción, lo que a su vez implica que el equipo de soporte reciba un volumen elevado de tickets ligados al acceso, que muchos managers aprueban peticiones en bloque, que la revisión mensual consume mucho tiempo y detecta muy pocos hallazgos relevantes, y que las alertas por ubicación generan demasiado ruido por viajes, VPN y trabajo híbrido.
¿Y dónde puede acabar todo esto? pues que los usuarios pidan a compañeros ya conectados que hagan ciertas gestiones por ellos o retrasos recurrentes en pagos a proveedores por bloqueos operativos.
A partir de ahí, debemos rediseñar el proceso si todo el análisis anterior nos dice que existe fatiga, manteniendo los controles críticos, pero limitando la aprobación manual a perfiles sensibles, automatizando parte del circuito de excepciones, pasando de una revisión mensual completa a una revisión focalizada por riesgo, recalibrando las alertas para reducir falsos positivos y reservando la validación adicional para casos de mayor criticidad.
En definitiva, la seguridad no siempre reduce el riesgo, sino que a veces solo lo transforma, lo desplaza o incluso genera una falsa sensación de control, por lo que cuando confiamos ciegamente en medidas, protocolos o tecnologías “más seguras”, podemos bajar la guardia y asumir conductas que nos exponen de nuevas maneras. Por eso, el verdadero desafío no consiste en acumular más barreras, sino en entender cómo las personas reaccionan ante ellas, pues la seguridad eficaz no es la que promete eliminar por completo el peligro, sino la que reconoce sus límites, anticipa los efectos no deseados y promueve decisiones más conscientes.