riesgo humano en el onboarding de empleadosciberseguridad para empleados nuevoscapacitación de seguridad en la inducción

    17 de julio de 2026 · 8 min de lectura · Por Fensivo Team

    Onboarding seguro: los primeros 30 días del empleado nuevo

    Read in English

    La conclusión: el empleado nuevo no conoce los protocolos, pero ya tiene acceso y ganas de quedar bien

    Al empleado nuevo hay que probarlo dentro de sus primeros treinta días, y el primer paso no es la charla de inducción: es que su cuenta quede bajo la misma medición de comportamiento que la del resto de la empresa desde el día en que se crea, no en el siguiente ciclo trimestral. Todo lo demás se acomoda alrededor de esa decisión.

    El calendario mínimo cabe en tres momentos. El primer día, el acceso y el protocolo de verificación: a quién se le pregunta cuando algo huele raro y por qué canal. La primera semana, contexto en lugar de teoría: cómo se ve un pretexto dirigido a alguien que todavía no conoce las caras ni las firmas de correo de su empresa. El primer mes, la primera prueba real de comportamiento bajo un ataque simulado, con capacitación inmediata si falla. La lógica de fondo es simple: la ventana de mayor vulnerabilidad de una persona es también la ventana en la que casi nadie la mide.

    Por qué el atacante prefiere a quien lleva dos semanas en la empresa

    La persona que acaba de entrar reúne todas las condiciones que un engaño necesita. Tiene acceso al correo corporativo, a los sistemas de su área y muchas veces a herramientas de gasto o de datos de clientes, porque el aprovisionamiento se hace rápido para que pueda trabajar. Al mismo tiempo, no tiene el criterio que solo da el tiempo: no sabe cómo escribe su director, no distingue una solicitud rara de una costumbre de la casa, y no conoce el rostro ni el tono de las diez personas que podrían escribirle con urgencia.

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso

    A eso se suma un incentivo que nadie declara pero que todos reconocen: quien lleva dos semanas quiere demostrar que responde. Preguntar "¿esto es legítimo?" tiene un costo social percibido más alto para él que para alguien con tres años de casa. Ese cálculo silencioso, hecho en segundos frente a un correo que pide una acción inmediata, es lo que el atacante compra.

    Conviene recordar por dónde llega el intento. CISA señala que más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing, así que el terreno donde se juega la primera prueba de un empleado nuevo es exactamente el mismo buzón que se le acaba de entregar. Y el marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, explica por qué el aprovisionamiento técnico impecable no cierra el problema: la puerta se abre por la conducta de una persona, no por la ausencia de un control.

    Los tres pretextos que funcionan en un empleado nuevo: autoridad, urgencia y ganas de ayudar

    El primero es la autoridad. Un correo firmado por un director al que la persona nunca ha visto en persona, pidiendo algo puntual y con un tono cordial pero firme, no tiene contra qué contrastarse. Un empleado antiguo sabe que ese director jamás pide nada por correo; el nuevo no tiene esa memoria y solo ve un cargo por encima del suyo.

    El segundo es la urgencia. El pretexto clásico llega envuelto en un plazo, y funciona porque el recién llegado interpreta la demora como un mal primer paso. No es descuido, es cálculo: prefiere equivocarse haciendo que equivocarse esperando. En el fraude del correo corporativo (BEC), donde alguien suplanta a un ejecutivo o a un proveedor para desviar un pago o un dato, esa presión temporal es el motor de todo el engaño.

    El tercero, el más incómodo, son las ganas de ayudar. Es la disposición que la empresa premió al contratarla, girada en contra de la persona. El pretexto no la pone en un aprieto, le ofrece la oportunidad de resolver algo rápido: una solicitud de recursos humanos sobre su propio contrato, un supuesto compañero de sistemas que necesita confirmar un acceso, un cliente que reclama un archivo. Ninguno de los tres pretextos exige tecnología sofisticada. Exige solo que la persona todavía no tenga con qué comparar.

    Qué debe pasar el primer día, la primera semana y el primer mes

    El primer día, dos cosas concretas. Una, que la cuenta entre al programa de medición de comportamiento al momento de crearse, en el mismo flujo en que se le asigna correo y accesos, y no en una lista aparte que alguien procesa después. Dos, un protocolo de verificación de una sola frase, que la persona pueda repetir de memoria: ante cualquier solicitud de dinero, credenciales o datos, se confirma por un canal distinto al que llegó, y nunca hay castigo por preguntar. Eso segundo importa tanto como lo primero, porque el silencio del empleado nuevo casi siempre es miedo a molestar, no ignorancia.

    La primera semana, contexto en vez de temario. Quién puede pedirle un pago y cómo se ve esa solicitud de verdad. Qué herramientas usa la empresa (y por lo tanto cuáles no, lo que convierte cualquier notificación de una plataforma ajena en una señal). Cómo se reporta algo sospechoso, con el canal exacto, no con la instrucción abstracta de reportar. Nada de esto necesita durar una hora.

    El primer mes, la prueba. Una simulación realista, dirigida a su rol y al contexto real de su empresa, y capacitación específica en el momento en que falla si llega a fallar. La corrección inmediata sobre el error propio es la que deja huella, y es la lógica que trabajamos en microaprendizaje de ciberseguridad para empleados: un módulo breve sobre el escenario exacto en el que la persona cayó, no un video genérico tres meses después. Y luego, semanas más tarde, volver a probarlo con otra plantilla de la misma categoría, que es la única forma honesta de saber si aprendió la lección o solo recordó un correo.

    El error de dejar la primera simulación para el trimestre siguiente

    Un programa que corre por calendario trimestral produce una situación absurda con la que casi todos conviven: la persona más expuesta de la empresa es la única a la que nadie está midiendo. Alguien que entró en la segunda semana del trimestre puede pasar más de dos meses con acceso completo y cero señales sobre su comportamiento, justo durante el periodo en el que sus defensas son más débiles. Cuando por fin llega la campaña general, ya no es un empleado nuevo: es alguien que lleva un trimestre tomando decisiones sin red.

    El costo no es solo el riesgo abierto en esos dos meses. Es también que se pierde la única línea base que valía la pena tener. Medir a una persona en su primera semana dice cómo se comporta antes de que la cultura de la empresa la moldee; medirla un trimestre después mezcla su criterio propio con lo que aprendió por ósmosis, y ya no se sabe qué es qué. La alternativa no es más volumen de simulaciones para todos, es que el disparador sea el evento (una persona entró) y no la fecha (llegó el trimestre).

    Offboarding: la credencial que sigue viva cuando la persona ya se fue

    El ciclo de vida cierra donde suele descuidarse. Cuando alguien sale, la desactivación de la cuenta principal casi siempre ocurre, pero la credencial no vive solo ahí: vive en los servicios de terceros donde esa persona se registró con su correo corporativo, en las sesiones activas que no caducan al desactivar el usuario, y en las contraseñas que reutilizó y que aparecerán en la próxima filtración de un servicio que nada tiene que ver con la empresa. La cuenta se cierra; el par de correo y contraseña sigue circulando.

    La velocidad con la que eso se explota es el argumento para no dejarlo en una lista de pendientes. Mandiant M-Trends 2026, basado en más de 500.000 horas de investigación de incidentes en 2025, documenta que el tiempo de traspaso entre el acceso inicial y el actor secundario que ejecuta el ataque se desplomó de más de 8 horas en 2022 a 22 segundos en 2025.

    Una credencial que aparece hoy en una filtración no es un riesgo que madura en semanas. Por eso el monitoreo continuo de exposición de credenciales, del que hablamos en detección temprana de cuentas comprometidas, no es una tarea de la salida: es una capa que corre siempre y que sigue avisando cuando la persona ya no está en la nómina.

    Fensivo aplica esta lógica al ciclo de vida completo del empleado. Monitorea de forma continua si las credenciales aparecen en filtraciones y dispara la acción con plazo, envía simulaciones de phishing personalizadas por rol y contexto real de la empresa, entrega el microaprendizaje en minutos cuando alguien cae, y valida con retest semanas después que la conducta cambió. Es gestión de riesgo humano (Human Risk Management, HRM) para empresas de 25 a 500 empleados, con arranque por OAuth en un día. Puedes ver cómo se aplica a cada caso en casos de uso.

    Si la persona que entró la semana pasada recibiera hoy un correo de tu director financiero pidiéndole una transferencia urgente, ¿sabrías qué haría, o tendrías que esperar al próximo trimestre para enterarte?

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso