La conclusión: si el proveedor no puede probar el cambio de conducta, estás comprando actividad
De las diez preguntas de esta lista, la que más pesa en la decisión es la primera: cómo demuestra el proveedor que una persona que cayó en un ataque simulado cambió su comportamiento. Si la respuesta es un porcentaje de cursos completados, un certificado de asistencia o una tasa de click que baja mes a mes, la conversación es sobre actividad, no sobre riesgo. Las otras nueve preguntas sirven para verificar si esa primera respuesta se sostiene cuando uno rasca un poco.
Vale la pena recordar por qué esta compra merece rigor. El marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, ubica a las personas en el centro del problema.
La categoría, además, creció lo suficiente como para que aparezcan ofertas de todo tipo: Mordor Intelligence valora el mercado de capacitación en concientización de seguridad en 6,74 mil millones de dólares en 2026 (desde 5,77 mil millones en 2025) y lo proyecta a 14,66 mil millones para 2031, con una tasa de crecimiento anual compuesta cercana al 16,82 por ciento, y señala a las pymes como el segmento de más rápido crecimiento. Traducido a la mesa de compra: hay mucha oferta persiguiendo a las empresas medianas, y no toda mide lo mismo.
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
Estas son preguntas del comprador al proveedor, no las dudas generales sobre la categoría (esas las respondemos aparte en el banco de preguntas frecuentes sobre gestión de riesgo humano). Aquí el objetivo es otro: que la demo no la maneje el vendedor. Recomendamos hacerlas en este orden y anotar la respuesta textual, porque lo que se promete en la llamada rara vez sobrevive al contrato.
Sobre la validación: cómo demuestran que alguien aprendió de verdad
1. ¿Cómo prueban que una persona que falló aprendió, y no que solo completó el módulo?
Es la pregunta que ordena todas las demás. La respuesta que tranquiliza describe un mecanismo concreto: volver a probar a esa persona semanas después con un ataque de la misma categoría y dificultad, pero con otra plantilla y otro contexto. Eso es un retest, y es distinto de reenviar el mismo correo, que solo comprueba que la persona recordó ese mensaje puntual. La respuesta que preocupa cambia de tema hacia el catálogo de contenidos o hacia el porcentaje de finalización.
Esta exigencia no es un capricho de comprador difícil. Hay evidencia revisada por pares (Ho et al., IEEE S&P 2025; Lain et al., IEEE S&P 2022) de que completar una capacitación no predice por sí solo la reducción de fallos reales. Lo que demuestra el cambio es volver a observar el comportamiento bajo condiciones parecidas. Un proveedor serio conoce esa limitación y la reconoce sin que se la mencionen.
2. ¿Qué le pasa al puntaje de riesgo de una persona entre el fallo y la prueba siguiente?
Aquí se ve si el sistema tiene memoria o si cada simulación vive sola. La respuesta útil explica que un fallo deja a la persona en un estado de riesgo elevado que no se levanta con la capacitación, sino con varias pruebas superadas después. La respuesta débil es que el puntaje se recalcula con la última simulación, porque eso significa que alguien puede fallar en marzo, aprobar por suerte en abril y aparecer en verde en el reporte de mayo.
Sobre la personalización: qué datos usan y de dónde salen
3. ¿La simulación se elige por persona o se envía la misma a todos?
Enviar la misma campaña a toda la empresa produce dos problemas a la vez: la mitad la detecta de inmediato porque no aplica a su trabajo, y la otra mitad se acostumbra al estilo. Pide que te muestren, en vivo, cómo el sistema decide qué le toca a una persona de finanzas y qué le toca a alguien de operaciones. La respuesta debería mencionar rol, departamento, comportamiento previo y las plataformas que tu empresa de verdad usa, no una segmentación por país o por antigüedad.
4. ¿De dónde salen los datos que arman el señuelo y cómo se genera el correo?
Son dos preguntas en una y las dos importan. Sobre los datos, un proveedor debe poder decir con precisión qué información toma, de dónde y con qué base legal, sobre todo si opera con datos personales de empleados en la región. Sobre la generación, hay dos enfoques legítimos: sustitución programática de campos sobre plantillas curadas, que prioriza consistencia y realismo controlado, o generación con IA, que prioriza variedad. Ninguno es incorrecto por sí mismo. Lo que sí es una señal de alarma es que el proveedor no sepa explicar cuál usa ni qué controles tiene para que un correo simulado no termine diciendo algo inapropiado a un empleado real.
Vale la pena preguntar también por el fraude del correo corporativo (BEC), donde el señuelo suplanta a un directivo o a un proveedor conocido. Es el escenario más costoso y el más difícil de simular bien, así que sirve de prueba de fuego: si el catálogo no distingue entre un phishing genérico y un pretexto de autoridad ejecutiva, la personalización es más folleto que mecanismo.
Sobre las credenciales: qué monitorean y qué hacen con el hallazgo
5. ¿Qué fuentes revisan, con qué frecuencia, y qué me van a mostrar la primera semana?
Esta pregunta tiene una ventaja: se puede verificar rápido. El monitoreo de credenciales expuestas no necesita meses de datos de comportamiento para entregar algo útil, así que un proveedor con esta capacidad debería poder mostrarte un reporte inicial de exposición casi de inmediato. Si te dicen que el valor llega en el trimestre, es que esa capa no existe o es superficial.
6. ¿Qué ocurre de forma automática cuando aparece la credencial de un empleado?
La diferencia entre una alerta y una respuesta. Una plataforma que solo notifica te está entregando una tarea más al equipo de seguridad, que ya está saturado. La respuesta que buscas describe una cadena: se avisa a la persona, se le asigna la acción con un plazo, se marca capacitación si corresponde y queda registro del evento. Pregunta además qué pasa si el empleado no actúa dentro del plazo, porque ahí se ve si el sistema hace seguimiento o si el asunto se archiva solo.
Sobre la medición: qué métrica le reportan a la junta directiva
7. ¿Qué número exacto le muestran a la junta y qué significa?
Pide ver un reporte real, aunque sea anonimizado, no una lámina de la presentación comercial. Después haz la pregunta incómoda: esta métrica mide que alguien hizo algo, o que alguien cambió. Muchos tableros se ven muy completos y responden solo lo primero. La distinción entre tasa de click, tasa de reporte y retest, y el orden en que se leen, la desarrollamos en qué medir en 2026 y en qué orden; llevar esa distinción clara a la reunión cambia por completo el tono de la demo.
8. ¿Cómo se ve en el reporte una persona que falló, se capacitó y volvió a fallar?
Esta pregunta la fallan casi todos. Un buen sistema tiene una respuesta lista, porque la reincidencia es el evento más informativo de todo el programa: significa que la remediación no funcionó y que el riesgo sigue vivo. Si el proveedor tiene que improvisar, es probable que su reporte esté diseñado para mostrar progreso, no para mostrar realidad.
Sobre la operación: cuánto tiempo consume el programa cada mes
9. ¿Cuántas horas al mes le va a costar esto a mi equipo?
Nadie te va a decir "muchas", así que hay que desglosar: quién arma la campaña, quién decide qué le toca a cada quien, quién persigue a los que no completaron, quién arma el reporte del comité. Si la respuesta a cada una es "tu equipo, con nuestras herramientas", el precio de la licencia era la parte barata. Un programa que depende de que alguien se acuerde de empujarlo cada mes dura exactamente lo que dure la disponibilidad de esa persona.
10. ¿Qué necesitan para arrancar y cuándo tengo el primer dato?
El arranque revela la arquitectura. Una conexión por OAuth al correo corporativo y un inventario de personas y roles debería bastar para empezar; si te piden un proyecto de integración, agentes instalados o un comité de tres meses, el programa va a morir antes del primer retest. Y fija una fecha concreta para el primer entregable, no una promesa vaga de acompañamiento.
Cerramos con la pregunta que resume el ejercicio y que conviene hacer al final, cuando el vendedor ya se relajó: si dentro de seis meses les pregunto qué cambió en el comportamiento de mi gente, ¿qué me van a mostrar? La respuesta a esa pregunta ya está contenida en las diez anteriores. Solo falta escucharla.
Fensivo fue construida para responder estas preguntas con mecanismos, no con adjetivos. Monitorea de forma continua si las credenciales de los empleados aparecen en brechas y dispara la acción con plazo, envía simulaciones de phishing personalizadas según rol, comportamiento previo y las plataformas que la empresa de verdad usa, entrega el microaprendizaje en minutos cuando alguien cae, y valida con retest semanas después que la conducta cambió. Es gestión de riesgo humano (Human Risk Management, HRM) en ciclo cerrado, con foco en empresas de 25 a 500 empleados y arranque por OAuth. Puedes ver cómo se aplica a cada caso en casos de uso.
Si hoy le hicieras la primera pregunta de esta lista a tu proveedor actual, ¿te respondería con un mecanismo o con un porcentaje de cursos completados?
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
