cómo implementar un programa de riesgo humanoplan de 90 días de concientizaciónprimeros pasos de gestión de riesgo humano

    15 de julio de 2026 · 8 min de lectura · Por Fensivo Team

    Cómo montar un programa de riesgo humano en 90 días

    Read in English

    La conclusión: el primer valor no llega con la capacitación, llega con saber quién ya está expuesto

    Un programa de riesgo humano se puede montar en 90 días, y el primer paso no es elegir el curso: es medir qué credenciales de la empresa ya están circulando en filtraciones públicas. Ese inventario se levanta en los primeros quince días, no le pide nada a nadie y entrega acciones concretas desde la primera semana, mientras que un plan de capacitación tarda meses en producir su primer indicador y ese indicador rara vez dice algo sobre el riesgo real.

    El resto del calendario se ordena solo cuando se acepta esa premisa. Días 1 a 15, exposición de credenciales. Días 16 a 45, la primera línea base de comportamiento bajo un ataque simulado. Días 46 a 75, capacitación disparada por el fallo. Días 76 a 90, el retest y el primer reporte que la dirección entiende. Cada tramo entrega algo que se puede mostrar, y ninguno depende de que el anterior haya salido perfecto.

    Días 1 a 15: conectar, inventariar y medir la exposición de credenciales

    El arranque técnico es corto porque casi todo se resuelve con una conexión por OAuth al directorio de correo corporativo y con un inventario de personas, roles y departamentos. Lo que consume el tiempo de estas dos semanas no es la instalación, es la conversación interna: quién entra en el alcance, qué áreas tienen mayor exposición y quién recibe el primer reporte.

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso

    En paralelo corre la única medición que no necesita esperar a nadie: revisar si las credenciales de esas personas ya aparecen en bases públicas de brechas. Es información accionable de inmediato, porque cada hallazgo se traduce en una acción con plazo (cambiar la contraseña, revisar sesiones activas, revocar accesos) y porque marca desde el día uno quiénes son las personas que ya están en el radar de un atacante. Si buscas el detalle de cómo se construye esa capa, lo desarrollamos en detección temprana de cuentas comprometidas.

    La urgencia de este tramo tiene respaldo. Mandiant, en su informe M-Trends 2026, documenta que el tiempo de traspaso entre el acceso inicial y el actor secundario que ejecuta el ataque se desplomó de más de 8 horas en 2022 a 22 segundos en 2025. Traducido a una decisión de calendario: la ventana entre que una credencial queda expuesta y que alguien la usa se cerró tanto que descubrirla en el trimestre siguiente es descubrirla tarde. Por eso este tramo va primero y no al final, como suele aparecer en los planes que arrancan por el contenido.

    Días 16 a 45: la primera línea base de comportamiento bajo ataque simulado

    Con la exposición medida, el mes siguiente sirve para responder una pregunta distinta: cómo se comporta esta gente cuando la presionan. No cuánto sabe, ni si aprobó algo. Cómo actúa.

    Esa línea base se levanta con simulaciones de phishing realistas, y realista aquí significa dos cosas. Que el señuelo tenga que ver con el trabajo de la persona, su rol y las plataformas que la empresa de verdad usa, en vez del correo genérico que todos reconocen. Y que se envíe sin aviso previo, porque un simulacro anunciado mide otra cosa. El canal se elige por dónde entra el problema: CISA sostiene que más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing, así que el correo es el punto de partida natural de cualquier medición seria, y los canales que se suman después (voz, mensajes de texto, códigos QR) amplían la superficie sin desplazarlo.

    Al cierre de este tramo deberías tener tres cosas: quién cayó, con qué tipo de pretexto cayó cada quien, y qué áreas concentran el riesgo. Ese es el material con el que se trabaja el resto del trimestre. Un consejo poco popular: no compartas esta línea base como si fuera una nota de desempeño. Si la primera medición se percibe como una trampa para señalar culpables, el programa pierde la cooperación que necesita durante los siguientes dos meses.

    Días 46 a 75: capacitación en el momento del fallo, no en el calendario

    Aquí se decide si el programa cambia algo o solo produce actividad. La diferencia está en cuándo llega la capacitación.

    La capacitación programada por calendario compite con el trabajo de la persona y pierde: llega un martes cualquiera, sin relación con nada que le haya pasado, y se despacha en un par de minutos con el video de fondo. La capacitación disparada por el fallo llega en el único momento en que la persona tiene una pregunta real (por qué caí en esto), dura lo que dura la atención de alguien que está trabajando y trata sobre el ataque exacto en el que cayó, no sobre el phishing en general. El principio que hace funcionar al microaprendizaje opera aquí: específico, corto y pegado al error.

    Conviene ser honestos con lo que este tramo produce, porque es donde casi todos los programas se declaran exitosos antes de tiempo. Hay evidencia revisada por pares (Ho et al., IEEE S&P 2025; Lain et al., IEEE S&P 2022) de que completar una capacitación no predice por sí solo la reducción de fallos reales. O sea que al día 75 no tienes una prueba de nada todavía. Tienes remediación entregada, que es necesaria, pero no es evidencia. La evidencia llega en el tramo siguiente.

    Días 76 a 90: el retest y el primer reporte que la dirección entiende

    El retest es volver a probar a la persona que falló, tres semanas después, con un ataque de la misma categoría y dificultad pero con otra plantilla y otro contexto. La distinción importa: si se reenvía la misma simulación, lo único que se comprueba es que recordó ese correo. Al cambiar la pieza y mantener el instinto que explota (autoridad, urgencia, pretexto financiero) se comprueba si aprendió la lección.

    Ese resultado es lo que convierte al último tramo en un reporte defendible. La dirección no necesita cuántas personas completaron un módulo; necesita saber cuántas de las que fallaron resistieron cuando se les volvió a poner la trampa, y cuáles siguen en riesgo elevado. Esa es la métrica que sobrevive a la pregunta incómoda del comité. Cómo se arma ese informe sin caer en el tablero de vanidad es un tema en sí mismo, y lo desarrollamos en reportes ejecutivos de riesgo humano.

    Vale la pena anclar el argumento económico con una cifra sobria en vez de una promesa. El informe de IBM Cost of a Data Breach 2025 reporta que el costo promedio global de una brecha de datos fue de 4,4 millones de dólares, una caída de 9 por ciento frente al año anterior, impulsada por una identificación y contención más rápidas. Es un dato honesto en las dos direcciones: el costo bajó, sí, pero bajó justamente por lo mismo que un programa de riesgo humano acelera, que es acortar el tiempo entre que algo pasa y que alguien se entera.

    Errores comunes que arruinan los primeros 90 días

    Arrancar por el contenido es el primer error. Comprar el catálogo de cursos y dejar la medición de exposición para después invierte el orden: se entrega mucho material antes de saber qué riesgo se está atacando.

    Tratar la línea base como un veredicto viene segundo. Una tasa de fallo alta en la primera simulación no es un problema del programa, es su insumo. El marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, describe una superficie de riesgo, no una lista de culpables. Las personas son el objetivo de estos ataques, no el eslabón débil, y un programa que arranca culpando pierde el reporte voluntario, que es la señal más barata que tiene una empresa.

    El simulacro anunciado es el tercero: avisar que llega la campaña reduce la ansiedad del equipo y también anula la medición.

    Prometer un número a los 90 días es el cuarto. Un trimestre alcanza para completar un ciclo (exposición, línea base, remediación y una primera validación), no para declarar una reducción sostenida de riesgo. Prometer una cifra de mejora en el comité y no poder sostenerla en el segundo trimestre cuesta más que haber sido prudente al principio.

    Y el quinto es dejar el programa dependiendo de que alguien lo empuje a mano cada mes. Si el envío de la siguiente simulación, la asignación del microaprendizaje y el retest requieren que una persona se acuerde, el programa dura exactamente lo que dure la disponibilidad de esa persona.

    Fensivo está construida sobre este orden. Monitorea de forma continua si las credenciales de los empleados aparecen en brechas y dispara la acción con plazo, envía simulaciones de phishing personalizadas por rol y contexto real de la empresa, entrega el microaprendizaje en minutos cuando alguien cae, y valida con retest semanas después que la conducta cambió. Es gestión de riesgo humano (Human Risk Management, HRM) operando en ciclo cerrado, con el foco en empresas de 25 a 500 empleados. Puedes ver cómo se aplica a cada caso en casos de uso.

    Si mañana te pidieran mostrar cuántas de las personas que fallaron el último simulacro resistieron cuando volviste a probarlas, ¿tendrías el dato o tendrías el porcentaje de cursos completados?

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso