Inicio » Zero Day Unit » Riesgo Humano en Ciberseguridad México: HRM y Kymatio

Riesgo Humano en Ciberseguridad México: HRM y Kymatio

⏱ 14 min lectura · Publicado el 23 de febrero de 2026

Riesgo humano en ciberseguridad representado con notificación abstracta y marcador de riesgo.

México recibió más de 324 mil millones de intentos de ciberataques en 2024.
La mayoría no apuntaron a una vulnerabilidad técnica — apuntaron a una persona.
Un correo bien diseñado, un mensaje de WhatsApp con urgencia fabricada, una llamada
que suplanta al director financiero. El vector humano no es el más sofisticado:
es el más efectivo porque es el que menos se mide y el que menos se gestiona
con rigor operativo.

Este artículo explica por qué los programas de concientización tradicionales
no reducen el riesgo humano, qué es la gestión del ciberriesgo humano (HRM),
cómo se mide con métricas operativas y por qué el Eje 4 del Plan Nacional de
Ciberseguridad 2025-2030 convierte este tema en una obligación con evidencia auditable.

Security Awareness con Kymatio
Plan Nacional de Ciberseguridad
GRC y cumplimiento
Kymatio®

El factor humano en México: 90% de los incidentes, 0% de las métricas

El 90% de los incidentes de seguridad tienen un componente de error humano.
No es un dato nuevo — lleva años en los reportes de la industria. Lo que sí es
nuevo es el contexto mexicano de 2025: una política de ciberseguridad federal
obligatoria que por primera vez incluye “métricas de cultura de ciberseguridad
y concientización como parte del marco obligatorio” (Plan Nacional, Eje 4),
y un ecosistema de amenazas donde el phishing, smishing y vishing se han
industrializado hasta el punto de que una organización promedio recibe intentos
de ingeniería social todos los días.

El problema no es que las organizaciones no hagan concientización. La mayoría
tiene algún programa. El problema es que lo que miden — tasas de completitud
de cursos, asistencia a charlas anuales — no tiene correlación demostrable
con la reducción del riesgo real. Un empleado que completó el módulo de phishing
el mes pasado puede seguir siendo el eslabón más vulnerable de la organización
si su nivel de alerta bajó, si tiene alta carga de trabajo o si el siguiente
ataque usa un vector que el módulo no cubrió.

Phishing: vector #1 en México

Los ataques de phishing dirigidos a organizaciones mexicanas aumentaron más del
70% en los últimos años. Los más efectivos no son masivos — son spear-phishing
con contexto específico: nombre del destinatario, cargo, nombre del director,
referencia a un proceso real de la organización.

Un empleado bajo presión, con fatiga de alertas o en un día de alta carga
tiene 3x más probabilidad de caer en un ataque bien diseñado que uno en
condiciones normales. Eso no lo mide ningún módulo de capacitación.

Smishing y vishing: los vectores que crecen

WhatsApp Business y las llamadas de suplantación de identidad han democratizado
la ingeniería social. Los ataques de smishing (phishing por SMS/WhatsApp) y
vishing (voz) son más efectivos que el email porque generan mayor sensación
de urgencia y menor desconfianza en el destinatario.

La mayoría de los programas de concientización tradicionales simulan solo
phishing por email. Los empleados no entrenan para los vectores que más
crecen en México.

El insider inadvertido

No todos los incidentes por factor humano son ataques externos. El empleado
que manda información sensible al correo equivocado, el que usa la misma
contraseña en la cuenta corporativa que en un servicio comprometido, o el
que conecta un dispositivo personal sin actualizar a la red de la empresa —
estos son riesgos que no tienen vector de ataque externo pero tienen el mismo
impacto operativo.

Por qué los programas de concientización tradicionales no reducen el riesgo

El modelo predominante de security awareness funciona así: un proveedor entrega
un catálogo de módulos de eLearning, la organización los asigna a todos los empleados,
se mide el porcentaje de completitud y se reporta al CISO o al comité de auditoría.
Al año siguiente, el ciclo se repite.

El problema de ese modelo no es que sea inútil — algo de conciencia genera.
El problema es que trata el riesgo humano como un problema de conocimiento cuando
en realidad es un problema de comportamiento, contexto y estado cognitivo.
Saber que el phishing existe no evita que un empleado haga clic en un enlace malicioso
cuando llega un correo con urgencia en su peor momento del día.

Lo que miden los programas tradicionalesLo que realmente importa
% de empleados que completaron el móduloNivel de alerta real de cada empleado ante amenazas actuales
Tasa de clics en simulaciones de phishing genéricasVulnerabilidad individual a vectores específicos: phishing, smishing, vishing, QR malicioso
Mismo contenido para toda la organizaciónExposición diferenciada por rol, acceso a sistemas y comportamiento histórico
Capacitación anual o semestralEstado de alerta continuo que se degrada con el tiempo sin refuerzo adaptativo
Cero medición del estado emocional o carga cognitivaBurnout y estrés como factores que multiplican el riesgo de error humano
Sin detección de credenciales comprometidasAlertas en tiempo real cuando las credenciales corporativas aparecen en brechas externas

Gestión del ciberriesgo humano (HRM): de la tasa de completitud a R = P × I

La gestión del ciberriesgo humano trata al factor humano como lo que es: una superficie
de ataque que debe medirse, monitorearse y gestionarse con la misma rigurosidad que
una vulnerabilidad técnica. En lugar de medir si el empleado vio el video, mide
su nivel de riesgo real: probabilidad de incidente dada su exposición actual,
multiplicada por el impacto potencial de los sistemas a los que tiene acceso.

La fórmula operativa es: Riesgo (R) = Probabilidad (P) × Impacto (I).
Aplicada a personas, significa que un empleado con acceso a sistemas de alta criticidad
y bajo nivel de alerta ante amenazas tiene un índice de riesgo más alto que un empleado
con acceso limitado aunque ambos hayan completado los mismos módulos de capacitación.
Esa diferencia es la que los programas tradicionales no capturan.

Kymatio®: los cinco módulos que cubren el ciclo completo

Kymatio® es la plataforma
de gestión del ciberriesgo humano con la que QMA implementa programas de security awareness
en México. No es un catálogo de cursos — es una plataforma de medición, entrenamiento
adaptativo y detección activa que cubre el ciclo completo del riesgo humano.

HRM — Human Risk Management

Dashboard de riesgo humano con visibilidad por empleado, área y organización.
Métricas CID (Confidencialidad, Integridad, Disponibilidad) — el mismo lenguaje
de ISO 27001 — aplicadas a personas. Cada empleado tiene un índice de riesgo
calculado con la fórmula R = P × I, actualizado de forma continua.

Diferenciador clave: los dashboards de herramientas tradicionales
muestran quién completó qué. El HRM de Kymatio muestra quién representa más riesgo
para qué activos — y por qué. Eso es accionable para el CISO y justificable
ante un auditor.

A&A — Assessment & Awareness

Concientización automatizada y adaptativa basada en neurociencia. En lugar de
asignar el mismo módulo a todos, el sistema evalúa el estado de alerta de cada
persona y entrega micro y nano-learning personalizado en el momento y formato
más efectivo para ese perfil de usuario.

Base científica: la neurociencia del aprendizaje demuestra que
sesiones cortas y frecuentes (nano-learning) generan retención 4x mayor que
módulos largos anuales. El contenido adaptado al perfil individual aumenta
adicionalmente la efectividad del entrenamiento.

Trickster — Ingeniería Social

Simulaciones de phishing, spear-phishing, smishing, vishing y ataques con
QR malicioso. No solo email — los cinco vectores de ingeniería social más
utilizados en México en 2025. Cada simulación alimenta el perfil de riesgo
individual y activa contenido de entrenamiento específico para el vector
donde el empleado demostró vulnerabilidad.

Vs. herramientas tradicionales: la mayoría simula solo phishing
por email con plantillas genéricas. Trickster simula el vector real más probable
para cada perfil de usuario y lo hace de forma continua, no en campañas
trimestrales.

ABS — Account Breach Scanner

Detección en tiempo real de credenciales corporativas comprometidas en brechas
de datos externas. Cuando las credenciales de un empleado aparecen en una brecha
conocida, el sistema alerta de forma inmediata — antes de que el atacante las use.

Por qué importa en México: el 60% de los ataques de credential
stuffing usan credenciales obtenidas en brechas de servicios de terceros.
Un empleado que usa la misma contraseña en LinkedIn y en el sistema corporativo
es un riesgo activo que ningún módulo de capacitación puede detectar — pero
el ABS sí.

Wellbeing y Burnout — El diferenciador que no tiene KnowBe4

El estrés crónico y el burnout reducen significativamente la capacidad cognitiva
de un empleado para detectar amenazas. Un empleado con burnout tiene su
sistema de alerta ante amenazas comprometido de la misma forma que un sistema
con un parche de seguridad sin aplicar. Kymatio incluye un módulo de detección
de burnout y bienestar que identifica a los empleados en mayor riesgo de
error humano por factores de estado emocional — y los protege proactivamente
con intervenciones específicas.

Este módulo no tiene equivalente en plataformas como KnowBe4 o Proofpoint SAT.
Es el reconocimiento de que el riesgo humano no es solo de conocimiento
— es de estado, contexto y bienestar.

Plan Nacional de Ciberseguridad 2025-2030: el riesgo humano ya es obligación normativa

El Plan Nacional de Ciberseguridad 2025-2030
de México, publicado en el DOF el 17 de diciembre de 2025 y obligatorio para toda la APF,
incluye explícitamente en su Eje 4 (Talento y Cultura) la exigencia de
“métricas de cultura de ciberseguridad y concientización como parte del marco obligatorio”.
No es una recomendación — es un requisito auditable.

Esto tiene dos implicaciones directas. La primera es para dependencias y entidades
de la APF: necesitan un programa de concientización con métricas documentadas,
no solo registros de asistencia. La segunda es para proveedores tecnológicos del gobierno:
la cadena de suministro digital será evaluada bajo los mismos criterios, lo que significa
que las organizaciones que compiten por contratos con gobierno federal necesitan
demostrar su programa de gestión del riesgo humano.

Eje 4 del Plan Nacional → Kymatio HRM

El Plan exige:

  • Programas de capacitación y concientización con métricas
  • Profesionalización de equipos con evidencia documentada
  • Métricas de cultura de ciberseguridad auditables
  • Colaboración academia-industria en formación

Kymatio genera automáticamente los registros, dashboards y reportes de métricas
que el auditor del Plan Nacional solicitará: índice de riesgo por área, evolución
temporal, resultados de simulaciones y evidencia de entrenamiento adaptativo.

ISO 27001:2022 control 6.3 + Anexo A

La cláusula 6.3 de ISO 27001:2022 exige que los cambios en el SGSI se planifiquen
con consideración del impacto en las personas. El control 6.3 del Anexo A exige
concientización de la seguridad de la información como actividad continua.
Los controles 6.4 (proceso disciplinario) y 6.6 (acuerdos de confidencialidad)
también tienen componente humano.

Kymatio genera la evidencia operativa que el auditor ISO 27001 solicita para
estos controles: registros de evaluación por empleado, resultados de simulaciones,
historial de entrenamiento adaptativo y métricas de reducción de riesgo.

CNBV — Sector financiero

Las Disposiciones de Carácter General en materia de Seguridad de la Información
de CNBV exigen capacitación y concientización del personal con registros verificables.
El dashboard HRM de Kymatio satisface este requisito con métricas por empleado
y reportes exportables para auditorías regulatorias.

LFPDPPP — Protección de datos

La ley de protección de datos personales exige medidas administrativas de seguridad
que incluyen capacitación del personal que maneja datos personales. El módulo A&A
de Kymatio permite segmentar el entrenamiento por rol y tipo de dato que maneja
cada empleado, generando evidencia específica para auditores del INAI.

PCI DSS 4.0

El requisito 12.6 de PCI DSS 4.0 exige un programa de concientización de seguridad
formal, con evaluaciones de conocimiento antes y después del entrenamiento
y revisión anual del contenido. Kymatio satisface y excede este requisito
con evaluaciones continuas y contenido adaptativo actualizado automáticamente.

Las métricas que importan: cómo demostrar reducción de riesgo humano

Un programa de gestión del ciberriesgo humano maduro no reporta tasas de completitud —
reporta reducción de riesgo. Estas son las métricas que un CISO puede presentar
al consejo directivo y que un auditor (ISO 27001, Plan Nacional, CNBV) puede verificar.

Métricas de riesgo (HRM Dashboard)

  • Índice de riesgo organizacional — R = P × I agregado por toda la organización, con tendencia temporal
  • Índice de riesgo por área — identifica qué departamentos concentran más riesgo humano
  • Empleados de alto riesgo — perfil individual con mayor exposición, para intervención prioritaria
  • Distribución CID — qué pilar de seguridad (Confidencialidad, Integridad, Disponibilidad) está más expuesto por factor humano
  • Evolución temporal — reducción del índice de riesgo desde el inicio del programa

Métricas de entrenamiento y simulación

  • Tasa de clic en simulaciones — por vector (phishing, smishing, vishing, QR) y por área
  • Tiempo de detección — cuánto tarda el empleado en identificar un ataque simulado
  • Tasa de reporte voluntario — qué porcentaje de empleados reporta el ataque simulado al equipo de seguridad (métrica de cultura, no solo de conocimiento)
  • Retención de entrenamiento — degradación del comportamiento correcto entre sesiones, con refuerzo activado automáticamente
  • Credenciales comprometidas activas — número de cuentas corporativas detectadas en brechas externas

Preguntas frecuentes sobre gestión del riesgo humano en México

¿Qué diferencia a Kymatio de KnowBe4 o plataformas similares?

KnowBe4 y plataformas similares son sólidas en simulaciones de phishing y catálogos
de contenido de entrenamiento. La diferencia de Kymatio está en tres áreas que esas
plataformas no cubren: (1) cuantificación del riesgo individual con R = P × I y
dashboard HRM con métricas CID, (2) módulo de wellbeing y burnout que identifica
empleados con estado cognitivo comprometido antes de que cometan un error, y (3) ABS
(Account Breach Scanner) que detecta credenciales corporativas en brechas externas
en tiempo real. Además, Kymatio está registrada en el catálogo CPSTIC e INCIBE
(España), con soporte en español y contenido localizado para el contexto de
amenazas latinoamericano.

¿Cuánto tiempo tarda en implementarse Kymatio?

Kymatio es una plataforma SaaS con despliegue rápido — el onboarding básico
puede completarse en días. La integración con directorios de usuarios (Active Directory,
Azure AD) y la configuración inicial del dashboard HRM toma entre 1 y 2 semanas
dependiendo del tamaño de la organización. Las primeras métricas de riesgo
están disponibles desde la primera semana de operación.

¿Kymatio cumple con los requerimientos de privacidad de datos en México?

Sí. La plataforma maneja datos de empleados bajo un modelo de privacidad by design.
Los datos individuales se procesan de forma que el programa de HRM es operativo
para el equipo de seguridad sin exponer información personal sensible de los
empleados de forma inapropiada. En el contexto mexicano, el despliegue se alinea
con los requerimientos de la LFPDPPP para el manejo de datos del personal.
QMA acompaña la implementación con la configuración de privacidad adecuada al
marco regulatorio mexicano.

¿El Plan Nacional de Ciberseguridad exige un proveedor específico de security awareness?

No. El Plan Nacional especifica que las organizaciones APF deben tener programas
de concientización con métricas auditables — no prescribe una plataforma específica.
Lo que el auditor verificará es que existe un programa estructurado, que genera
evidencia de su operación y que las métricas demuestran impacto real en la postura
de seguridad. Kymatio satisface esos criterios con su dashboard HRM y los registros
que genera automáticamente.

¿Cómo se integra Kymatio con el SOC y el MDR de QMA?

El riesgo humano y la detección técnica son complementarios. El ABS de Kymatio
alimenta al SOC de QMA con alertas de credenciales comprometidas que pueden
estar siendo usadas activamente en ataques de credential stuffing. A su vez,
el MDR de QMA identifica patrones de comportamiento anómalo en usuarios de
alto riesgo según el HRM de Kymatio — correlacionando el riesgo humano medido
con la actividad técnica observada. Esta integración entre la capa de riesgo
humano y la capa de detección técnica es la visión de QMA para una postura
de seguridad completa.

El firewall humano no se instala — se construye con datos, entrenamiento y tiempo

Reducir el riesgo humano en una organización mexicana en 2025 requiere más que
un catálogo de cursos y una campaña anual de phishing. Requiere medir el riesgo
real por persona, entrenar de forma adaptativa en los vectores que realmente
se usan en México, detectar credenciales comprometidas antes de que se exploten
y monitorear el estado cognitivo del equipo como variable de seguridad.

En QMA implementamos Kymatio como plataforma de gestión del ciberriesgo humano
en organizaciones mexicanas, con acompañamiento operativo y alineación a los
requerimientos del Plan Nacional de Ciberseguridad, ISO 27001 y los marcos
regulatorios del sector financiero.


Solicitar demo de Kymatio


Ver programa Security Awareness


Plan Nacional de Ciberseguridad

Scroll al inicio