México recibió más de 324 mil millones de intentos de ciberataques en 2024. La mayoría no apuntaron a una vulnerabilidad técnica — apuntaron a una persona. Un correo bien diseñado, un mensaje de WhatsApp con urgencia fabricada, una llamada que suplanta al director financiero. El vector humano no es el más sofisticado: es el más efectivo porque es el que menos se mide y el que menos se gestiona con rigor operativo.
Este artículo explica por qué los programas de concientización tradicionales no reducen el riesgo humano, qué es la gestión del ciberriesgo humano (HRM), cómo se mide con métricas operativas y por qué el Eje 4 del Plan Nacional de Ciberseguridad 2025-2030 convierte este tema en una obligación con evidencia auditable.
El factor humano en México: 90% de los incidentes, 0% de las métricas
El 90% de los incidentes de seguridad tienen un componente de error humano. No es un dato nuevo — lleva años en los reportes de la industria. Lo que sí es nuevo es el contexto mexicano de 2025: una política de ciberseguridad federal obligatoria que por primera vez incluye “métricas de cultura de ciberseguridad y concientización como parte del marco obligatorio” (Plan Nacional, Eje 4), y un ecosistema de amenazas donde el phishing, smishing y vishing se han industrializado hasta el punto de que una organización promedio recibe intentos de ingeniería social todos los días.
El problema no es que las organizaciones no hagan concientización. La mayoría tiene algún programa. El problema es que lo que miden — tasas de completitud de cursos, asistencia a charlas anuales — no tiene correlación demostrable con la reducción del riesgo real. Un empleado que completó el módulo de phishing el mes pasado puede seguir siendo el eslabón más vulnerable de la organización si su nivel de alerta bajó, si tiene alta carga de trabajo o si el siguiente ataque usa un vector que el módulo no cubrió.
Phishing: vector #1 en México
Los ataques de phishing dirigidos a organizaciones mexicanas aumentaron más del 70% en los últimos años. Los más efectivos no son masivos — son spear-phishing con contexto específico: nombre del destinatario, cargo, nombre del director, referencia a un proceso real de la organización.
Un empleado bajo presión, con fatiga de alertas o en un día de alta carga tiene 3x más probabilidad de caer en un ataque bien diseñado que uno en condiciones normales. Eso no lo mide ningún módulo de capacitación.
Smishing y vishing: los vectores que crecen
WhatsApp Business y las llamadas de suplantación de identidad han democratizado la ingeniería social. Los ataques de smishing (phishing por SMS/WhatsApp) y vishing (voz) son más efectivos que el email porque generan mayor sensación de urgencia y menor desconfianza en el destinatario.
La mayoría de los programas de concientización tradicionales simulan solo phishing por email. Los empleados no entrenan para los vectores que más crecen en México.
El insider inadvertido
No todos los incidentes por factor humano son ataques externos. El empleado que manda información sensible al correo equivocado, el que usa la misma contraseña en la cuenta corporativa que en un servicio comprometido, o el que conecta un dispositivo personal sin actualizar a la red de la empresa — estos son riesgos que no tienen vector de ataque externo pero tienen el mismo impacto operativo.
Por qué los programas de concientización tradicionales no reducen el riesgo
El modelo predominante de security awareness funciona así: un proveedor entrega un catálogo de módulos de eLearning, la organización los asigna a todos los empleados, se mide el porcentaje de completitud y se reporta al CISO o al comité de auditoría. Al año siguiente, el ciclo se repite.
El problema de ese modelo no es que sea inútil — algo de conciencia genera. El problema es que trata el riesgo humano como un problema de conocimiento cuando en realidad es un problema de comportamiento, contexto y estado cognitivo. Saber que el phishing existe no evita que un empleado haga clic en un enlace malicioso cuando llega un correo con urgencia en su peor momento del día.
| Lo que miden los programas tradicionales | Lo que realmente importa |
|---|---|
| % de empleados que completaron el módulo | Nivel de alerta real de cada empleado ante amenazas actuales |
| Tasa de clics en simulaciones de phishing genéricas | Vulnerabilidad individual a vectores específicos: phishing, smishing, vishing, QR malicioso |
| Mismo contenido para toda la organización | Exposición diferenciada por rol, acceso a sistemas y comportamiento histórico |
| Capacitación anual o semestral | Estado de alerta continuo que se degrada con el tiempo sin refuerzo adaptativo |
| Cero medición del estado emocional o carga cognitiva | Burnout y estrés como factores que multiplican el riesgo de error humano |
| Sin detección de credenciales comprometidas | Alertas en tiempo real cuando las credenciales corporativas aparecen en brechas externas |
Gestión del ciberriesgo humano (HRM): de la tasa de completitud a R = P × I
La gestión del ciberriesgo humano trata al factor humano como lo que es: una superficie de ataque que debe medirse, monitorearse y gestionarse con la misma rigurosidad que una vulnerabilidad técnica. En lugar de medir si el empleado vio el video, mide su nivel de riesgo real: probabilidad de incidente dada su exposición actual, multiplicada por el impacto potencial de los sistemas a los que tiene acceso.
La fórmula operativa es: Riesgo (R) = Probabilidad (P) × Impacto (I). Aplicada a personas, significa que un empleado con acceso a sistemas de alta criticidad y bajo nivel de alerta ante amenazas tiene un índice de riesgo más alto que un empleado con acceso limitado aunque ambos hayan completado los mismos módulos de capacitación. Esa diferencia es la que los programas tradicionales no capturan.
Kymatio®: los cinco módulos que cubren el ciclo completo
Kymatio® es la plataforma de gestión del ciberriesgo humano con la que QMA implementa programas de security awareness en México. No es un catálogo de cursos — es una plataforma de medición, entrenamiento adaptativo y detección activa que cubre el ciclo completo del riesgo humano.
HRM — Human Risk Management
Dashboard de riesgo humano con visibilidad por empleado, área y organización. Métricas CID (Confidencialidad, Integridad, Disponibilidad) — el mismo lenguaje de ISO 27001 — aplicadas a personas. Cada empleado tiene un índice de riesgo calculado con la fórmula R = P × I, actualizado de forma continua.
Diferenciador clave: los dashboards de herramientas tradicionales muestran quién completó qué. El HRM de Kymatio muestra quién representa más riesgo para qué activos — y por qué. Eso es accionable para el CISO y justificable ante un auditor.
A&A — Assessment & Awareness
Concientización automatizada y adaptativa basada en neurociencia. En lugar de asignar el mismo módulo a todos, el sistema evalúa el estado de alerta de cada persona y entrega micro y nano-learning personalizado en el momento y formato más efectivo para ese perfil de usuario.
Base científica: la neurociencia del aprendizaje demuestra que sesiones cortas y frecuentes (nano-learning) generan retención 4x mayor que módulos largos anuales. El contenido adaptado al perfil individual aumenta adicionalmente la efectividad del entrenamiento.
Trickster — Ingeniería Social
Simulaciones de phishing, spear-phishing, smishing, vishing y ataques con QR malicioso. No solo email — los cinco vectores de ingeniería social más utilizados en México en 2025. Cada simulación alimenta el perfil de riesgo individual y activa contenido de entrenamiento específico para el vector donde el empleado demostró vulnerabilidad.
Vs. herramientas tradicionales: la mayoría simula solo phishing por email con plantillas genéricas. Trickster simula el vector real más probable para cada perfil de usuario y lo hace de forma continua, no en campañas trimestrales.
ABS — Account Breach Scanner
Detección en tiempo real de credenciales corporativas comprometidas en brechas de datos externas. Cuando las credenciales de un empleado aparecen en una brecha conocida, el sistema alerta de forma inmediata — antes de que el atacante las use.
Por qué importa en México: el 60% de los ataques de credential stuffing usan credenciales obtenidas en brechas de servicios de terceros. Un empleado que usa la misma contraseña en LinkedIn y en el sistema corporativo es un riesgo activo que ningún módulo de capacitación puede detectar — pero el ABS sí.
Wellbeing y Burnout — El diferenciador que no tiene KnowBe4
El estrés crónico y el burnout reducen significativamente la capacidad cognitiva de un empleado para detectar amenazas. Un empleado con burnout tiene su sistema de alerta ante amenazas comprometido de la misma forma que un sistema con un parche de seguridad sin aplicar. Kymatio incluye un módulo de detección de burnout y bienestar que identifica a los empleados en mayor riesgo de error humano por factores de estado emocional — y los protege proactivamente con intervenciones específicas.
Este módulo no tiene equivalente en plataformas como KnowBe4 o Proofpoint SAT. Es el reconocimiento de que el riesgo humano no es solo de conocimiento — es de estado, contexto y bienestar.
Plan Nacional de Ciberseguridad 2025-2030: el riesgo humano ya es obligación normativa
El Plan Nacional de Ciberseguridad 2025-2030 de México, publicado en el DOF el 17 de diciembre de 2025 y obligatorio para toda la APF, incluye explícitamente en su Eje 4 (Talento y Cultura) la exigencia de “métricas de cultura de ciberseguridad y concientización como parte del marco obligatorio”. No es una recomendación — es un requisito auditable.
Esto tiene dos implicaciones directas. La primera es para dependencias y entidades de la APF: necesitan un programa de concientización con métricas documentadas, no solo registros de asistencia. La segunda es para proveedores tecnológicos del gobierno: la cadena de suministro digital será evaluada bajo los mismos criterios, lo que significa que las organizaciones que compiten por contratos con gobierno federal necesitan demostrar su programa de gestión del riesgo humano.
Eje 4 del Plan Nacional → Kymatio HRM
El Plan exige:
- Programas de capacitación y concientización con métricas
- Profesionalización de equipos con evidencia documentada
- Métricas de cultura de ciberseguridad auditables
- Colaboración academia-industria en formación
Kymatio genera automáticamente los registros, dashboards y reportes de métricas que el auditor del Plan Nacional solicitará: índice de riesgo por área, evolución temporal, resultados de simulaciones y evidencia de entrenamiento adaptativo.
ISO 27001:2022 control 6.3 + Anexo A
La cláusula 6.3 de ISO 27001:2022 exige que los cambios en el SGSI se planifiquen con consideración del impacto en las personas. El control 6.3 del Anexo A exige concientización de la seguridad de la información como actividad continua. Los controles 6.4 (proceso disciplinario) y 6.6 (acuerdos de confidencialidad) también tienen componente humano.
Kymatio genera la evidencia operativa que el auditor ISO 27001 solicita para estos controles: registros de evaluación por empleado, resultados de simulaciones, historial de entrenamiento adaptativo y métricas de reducción de riesgo.
CNBV — Sector financiero
Las Disposiciones de Carácter General en materia de Seguridad de la Información de CNBV exigen capacitación y concientización del personal con registros verificables. El dashboard HRM de Kymatio satisface este requisito con métricas por empleado y reportes exportables para auditorías regulatorias.
LFPDPPP — Protección de datos
La ley de protección de datos personales exige medidas administrativas de seguridad que incluyen capacitación del personal que maneja datos personales. El módulo A&A de Kymatio permite segmentar el entrenamiento por rol y tipo de dato que maneja cada empleado, generando evidencia específica para auditores del INAI.
PCI DSS 4.0
El requisito 12.6 de PCI DSS 4.0 exige un programa de concientización de seguridad formal, con evaluaciones de conocimiento antes y después del entrenamiento y revisión anual del contenido. Kymatio satisface y excede este requisito con evaluaciones continuas y contenido adaptativo actualizado automáticamente.
Las métricas que importan: cómo demostrar reducción de riesgo humano
Un programa de gestión del ciberriesgo humano maduro no reporta tasas de completitud — reporta reducción de riesgo. Estas son las métricas que un CISO puede presentar al consejo directivo y que un auditor (ISO 27001, Plan Nacional, CNBV) puede verificar.
Métricas de riesgo (HRM Dashboard)
- Índice de riesgo organizacional — R = P × I agregado por toda la organización, con tendencia temporal
- Índice de riesgo por área — identifica qué departamentos concentran más riesgo humano
- Empleados de alto riesgo — perfil individual con mayor exposición, para intervención prioritaria
- Distribución CID — qué pilar de seguridad (Confidencialidad, Integridad, Disponibilidad) está más expuesto por factor humano
- Evolución temporal — reducción del índice de riesgo desde el inicio del programa
Métricas de entrenamiento y simulación
- Tasa de clic en simulaciones — por vector (phishing, smishing, vishing, QR) y por área
- Tiempo de detección — cuánto tarda el empleado en identificar un ataque simulado
- Tasa de reporte voluntario — qué porcentaje de empleados reporta el ataque simulado al equipo de seguridad (métrica de cultura, no solo de conocimiento)
- Retención de entrenamiento — degradación del comportamiento correcto entre sesiones, con refuerzo activado automáticamente
- Credenciales comprometidas activas — número de cuentas corporativas detectadas en brechas externas
Preguntas frecuentes sobre gestión del riesgo humano en México
¿Qué diferencia a Kymatio de KnowBe4 o plataformas similares?
KnowBe4 y plataformas similares son sólidas en simulaciones de phishing y catálogos de contenido de entrenamiento. La diferencia de Kymatio está en tres áreas que esas plataformas no cubren: (1) cuantificación del riesgo individual con R = P × I y dashboard HRM con métricas CID, (2) módulo de wellbeing y burnout que identifica empleados con estado cognitivo comprometido antes de que cometan un error, y (3) ABS (Account Breach Scanner) que detecta credenciales corporativas en brechas externas en tiempo real. Además, Kymatio está registrada en el catálogo CPSTIC e INCIBE (España), con soporte en español y contenido localizado para el contexto de amenazas latinoamericano.
¿Cuánto tiempo tarda en implementarse Kymatio?
Kymatio es una plataforma SaaS con despliegue rápido — el onboarding básico puede completarse en días. La integración con directorios de usuarios (Active Directory, Azure AD) y la configuración inicial del dashboard HRM toma entre 1 y 2 semanas dependiendo del tamaño de la organización. Las primeras métricas de riesgo están disponibles desde la primera semana de operación.
¿Kymatio cumple con los requerimientos de privacidad de datos en México?
Sí. La plataforma maneja datos de empleados bajo un modelo de privacidad by design. Los datos individuales se procesan de forma que el programa de HRM es operativo para el equipo de seguridad sin exponer información personal sensible de los empleados de forma inapropiada. En el contexto mexicano, el despliegue se alinea con los requerimientos de la LFPDPPP para el manejo de datos del personal. QMA acompaña la implementación con la configuración de privacidad adecuada al marco regulatorio mexicano.
¿El Plan Nacional de Ciberseguridad exige un proveedor específico de security awareness?
No. El Plan Nacional especifica que las organizaciones APF deben tener programas de concientización con métricas auditables — no prescribe una plataforma específica. Lo que el auditor verificará es que existe un programa estructurado, que genera evidencia de su operación y que las métricas demuestran impacto real en la postura de seguridad. Kymatio satisface esos criterios con su dashboard HRM y los registros que genera automáticamente.
¿Cómo se integra Kymatio con el SOC y el MDR de QMA?
El riesgo humano y la detección técnica son complementarios. El ABS de Kymatio alimenta al SOC de QMA con alertas de credenciales comprometidas que pueden estar siendo usadas activamente en ataques de credential stuffing. A su vez, el MDR de QMA identifica patrones de comportamiento anómalo en usuarios de alto riesgo según el HRM de Kymatio — correlacionando el riesgo humano medido con la actividad técnica observada. Esta integración entre la capa de riesgo humano y la capa de detección técnica es la visión de QMA para una postura de seguridad completa.
El firewall humano no se instala — se construye con datos, entrenamiento y tiempo
Reducir el riesgo humano en una organización mexicana en 2025 requiere más que un catálogo de cursos y una campaña anual de phishing. Requiere medir el riesgo real por persona, entrenar de forma adaptativa en los vectores que realmente se usan en México, detectar credenciales comprometidas antes de que se exploten y monitorear el estado cognitivo del equipo como variable de seguridad.
En QMA implementamos Kymatio como plataforma de gestión del ciberriesgo humano en organizaciones mexicanas, con acompañamiento operativo y alineación a los requerimientos del Plan Nacional de Ciberseguridad, ISO 27001 y los marcos regulatorios del sector financiero.
