Saber sobre un peligro no es suficiente para evitarlo. Nuestras vidas diarias ofrecen innumerables ejemplos de ocasiones en las que actuamos imprudentemente por diversas razones, a pesar de que sabemos que estamos asumiendo riesgos. Sin embargo, las circunstancias en las que carecemos del conocimiento necesario pueden llevarnos a encontrarnos con situaciones desagradables o dañinas sin ser conscientes de ello. En ciberseguridad, el conocimiento de los peligros (así como de la mecánica de un posible ataque) marca una gran diferencia. Por eso se proporciona formación específica en las organizaciones, junto con campañas de concienciación. Sin embargo, la formación en seguridad a menudo es genérica, aburrida y un mero cumplimiento de obligaciones en lugar de una herramienta para el cambio de comportamiento. Hoy en día, podemos ofrecer contenido a través de varios dispositivos y plataformas a los que las personas acceden tanto por trabajo como por ocio, de modo que el aprendizaje pueda ocurrir incidentalmente y con casi ningún esfuerzo. Distribuir el conocimiento en pequeñas unidades dedicadas crea las condiciones para un aprendizaje duradero y efectivo y es más eficaz que enseñar a través de cursos tradicionales (ya sea en persona o en línea). En este artículo, presentamos un proyecto en curso sobre el aprendizaje informal en ciberseguridad, que incluye el diseño de un pequeño videojuego. La intervención está destinada a ayudar a los jóvenes adultos (18-25 años) a comprender la mecánica de las cookies y su papel en la dinámica de los ciberataques. Consistente con la idea de que un curso integral puede no ser adecuado para impartir formación en ciberseguridad, el juego abarca y se limita deliberadamente solo a ese tema. También proporcionamos consideraciones detalladas relacionadas con la evaluación de su efectividad, aunque esto está fuera del alcance del presente documento.