La conclusión: el precio por empleado no dice nada si no sabes qué entra en el ciclo
La tarifa por empleado al mes es el número que casi todos comparan primero, y es el que menos ayuda a decidir. Dos plataformas pueden costar lo mismo por persona y entregar cosas distintas: una cobra por enviar simulaciones y reportar clics, la otra incluye el monitoreo de credenciales, la capacitación en el momento del fallo y la validación posterior de que la conducta cambió. El precio solo tiene sentido cuando sabemos qué entra en el ciclo, no cuando lo miramos aislado.
Por eso conviene invertir el orden. Antes de pedir cotizaciones, definimos qué debe hacer un programa de gestión de riesgo humano (Human Risk Management, HRM), la categoría que agrupa a estas plataformas, y recién después comparamos cuánto cobra cada quien por entregar eso. Este texto reúne los criterios para hacerlo sin quedarnos en la cifra más visible.
Los modelos de cobro más comunes y qué esconde cada uno
El cobro por empleado al mes es el modelo dominante, y su atractivo es que parece fácil de comparar. El problema aparece cuando dos proveedores usan la misma unidad para paquetes distintos: uno incluye todo el ciclo en esa cifra, otro reserva la mitad de las capacidades para planes superiores. La unidad es idéntica, el contenido no.
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
El segundo modelo es la licencia por bloques o por franjas de empleados, común en las plataformas pensadas para grandes empresas. Suele salir más barata por persona a gran escala, pero castiga a la empresa mediana que queda apenas por encima de un umbral y termina pagando por asientos que no usa. El tercero, menos frecuente, cobra por función activada: la simulación por un lado, la capacitación por otro, el monitoreo de credenciales como complemento. Aquí la tarifa base engaña, porque el precio real solo se conoce cuando sumamos los módulos que de verdad hacen falta.
La pregunta que ordena esta parte no es cuál modelo es más barato, sino cuál esconde menos. Un precio bajo que deja fuera las capacidades que importan no es un ahorro, es una factura aplazada.
Qué entra y qué se cobra aparte
Aquí es donde dos cotizaciones que parecen iguales se separan. Conviene pedir por escrito qué incluye la tarifa y qué se factura por fuera, con atención especial a cuatro elementos.
El monitoreo de credenciales filtradas es el primero. Detectar que las contraseñas de un empleado ya circulan en brechas públicas o en la dark web entrega valor desde el primer día, sin esperar a acumular datos de comportamiento. Cuando esta capacidad se vende como complemento aparte, el precio base deja de ser comparable.
El segundo es la validación posterior al fallo, lo que suele llamarse retest: volver a probar a la persona con el mismo tipo de engaño semanas después, con otro contexto, para confirmar que aprendió la lección y no que recordó un correo. Hay evidencia revisada por pares de que completar una capacitación no predice por sí solo la reducción de fallos reales (Ho et al., IEEE S&P 2025; Lain et al., IEEE S&P 2022); lo que demuestra el cambio es volver a medir el comportamiento, una distinción que desarrollamos en cómo medir si la capacitación en seguridad funciona. Una plataforma que solo reporta cursos completados cobra por actividad, no por resultado.
El tercero son los reportes para dirección, y el cuarto la implementación. Vale preguntar si el informe que entiende un comité ejecutivo viene incluido o es un extra, y si la conexión inicial se hace sola vía OAuth o trae un cobro de puesta en marcha. Ninguno de estos cuatro elementos es un adorno: son la diferencia entre una herramienta de envío y un programa que cierra el ciclo.
El costo del mínimo: por qué un piso de empleados protege la medición
Casi ninguna plataforma lo dice en la primera llamada, pero medir el riesgo humano necesita un número mínimo de personas para que el resultado signifique algo. Con muestras muy pequeñas, un par de clics desafortunados mueve el puntaje de riesgo de toda la empresa y el dato deja de ser confiable.
Ese piso, lejos de ser una limitación comercial, es una señal de honestidad estadística. Un proveedor que promete un puntaje de riesgo válido para un equipo de ocho personas está vendiendo una precisión que no puede sostener. Para el foco de empresas de 25 a 500 empleados, el mínimo rara vez es un obstáculo, y sí conviene entenderlo como lo que es: la condición para que la medición no sea ruido.
Cómo comparar dos ofertas sin mirar solo la tarifa
Con los criterios claros, la comparación deja de ser una fila de precios y pasa a ser una matriz de qué entrega cada quien. Una comparación por proveedores como la que reunimos en las mejores plataformas de gestión de riesgo humano en LATAM ayuda a ubicar el terreno, pero la decisión final se toma criterio por criterio. La siguiente tabla reúne los que separan una tarifa barata de un programa que de verdad reduce el riesgo, con la pregunta que conviene hacer y la señal de alarma de cada uno.
| Criterio | Qué preguntar | Señal de alarma |
|---|---|---|
| Modelo de cobro | La tarifa por empleado, cubre el ciclo completo o solo el envío de simulaciones | El precio base excluye capacidades centrales que luego se cobran aparte |
| Monitoreo de credenciales | Está incluido o es un complemento con costo adicional | Se vende como add-on y no aparece en la tarifa base |
| Validación por retest | La plataforma vuelve a probar a la persona tras un fallo | Solo reporta cursos completados y tasa de click |
| Reportes para dirección | El informe ejecutivo viene incluido | El reporte que entiende la junta tiene precio separado |
| Implementación y onboarding | La conexión es automática vía OAuth o hay cobro de puesta en marcha | Fee de implementación alto antes de ver valor |
| Mínimo de empleados | Cuál es el piso para que el puntaje de riesgo sea válido | Promete medición confiable con muestras muy pequeñas |
| Personalización | Las simulaciones se adaptan por rol y comportamiento | La misma simulación para toda la empresa |
Leída así, la decisión cambia. La oferta más barata por empleado puede ser la más cara por resultado si deja fuera la mitad de las columnas.
El costo de no medir: lo que dice el dato de brechas
Toda esta comparación existe porque el riesgo tiene un precio, y no es abstracto. El informe Cost of a Data Breach 2025 de IBM cifró el costo global promedio de una brecha en 4,4 millones de dólares, una caída del 9 por ciento frente al año anterior que el propio informe atribuye a una identificación y contención más rápidas. El mensaje es doble: las brechas siguen siendo caras, y la velocidad para detectarlas y contenerlas es justo lo que baja la factura.
Ese es el terreno donde juega un programa de riesgo humano, porque el origen del problema es humano. El marco 90-5-5 de Cisco estima que cerca del 90 por ciento de las brechas involucran un factor humano. En la misma línea, CISA señala que más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing. Ambos datos apuntan al mismo lugar: la superficie que más pesa es la de las personas. Comparar precios sin pesar esto es optimizar el gasto de una parte pequeña e ignorar la grande. La tarifa importa, pero la pregunta de fondo es cuánto cuesta no medir a tiempo lo que ya está expuesto.
En Fensivo estructuramos el precio alrededor del ciclo completo y no de módulos sueltos: el monitoreo de credenciales, la simulación personalizada por rol, la capacitación en el momento del fallo y el retest que valida el cambio de comportamiento entran en la misma tarifa por empleado, con un mínimo de 25 personas que protege la validez del puntaje de riesgo. Puedes ver el detalle en nuestra página de precios.
¿Sabes qué parte del ciclo estás pagando cuando comparas dos tarifas por empleado, o solo estás comparando el número más visible?
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
