Las 100 mujeres más poderosas

El factor humano definirá el rumbo de la ciberseguridad en México

Durante mucho tiempo, la discusión sobre ciberseguridad giró en torno a herramientas, arquitecturas y mecanismos de defensa. Sin embargo, a medida que los ataques se vuelven más precisos y los grupos criminales afinan sus tácticas, resulta evidente que la vulnerabilidad central no está en las plataformas, sino en las personas. En México, esta realidad se confirma una y otra vez; detrás de una filtración, un fraude o un ransomware, casi siempre aparece una acción humana que abrió la puerta.

El hallazgo más inquietante lo expone el estudio The State of Human Risk 2025, de Mimecast, el cual revela que el 94% de las organizaciones reconoce obstáculos para lograr que su personal siga, de forma consistente, los protocolos de seguridad y los lineamientos de cumplimiento. Y este dato contrasta con otro igual de alarmante: solo en el primer semestre de 2025, México registró 40.6 millones de intentos de ciberataques, ubicándose como el segundo país más atacado de la región, de acuerdo con Fortinet.

IA Generativa y privacidad, el desafío de proteger la información en entornos críticos

Está claro que el factor humano no es solo un vector, es el terreno donde convergen hábitos arraigados, percepciones equivocadas, presión laboral, falta de capacitación y resistencia a cambiar prácticas cotidianas. Esa mezcla crea el escenario perfecto para que los atacantes encuentren una oportunidad sin necesidad de vulnerar mecanismos técnicos complejos.

Una falsa sensación de control

Aunque el país avanza aceleradamente en digitalización, la madurez en ciberseguridad no progresa al mismo ritmo. Para muchas personas, la seguridad sigue siendo un asunto ajeno, técnico o exclusivo del equipo de TI. Esta distancia emocional frente al riesgo genera una falsa sensación de control. Y cuando el peligro no se percibe, las conductas inseguras se vuelven rutina.

Un clic impulsivo, una contraseña trivial o el uso indiscriminado de dispositivos personales para manejar información corporativa parecen acciones menores, pero representan grietas enormes. Los atacantes lo saben. Por eso, la ingeniería social explota emociones básicas —curiosidad, urgencia, miedo, confianza— y suele ser más efectiva que cualquier malware innovador.

Red Team vs. Compliance, lo que la auditoría no te dice sobre tus verdaderas vulnerabilidades

A pesar de que muchas empresas ya cuentan con autenticación multifactor, soluciones de EDR, sandboxes o monitoreo avanzado, estos controles pierden valor cuando el personal no entiende su relevancia. La ciberseguridad necesita coherencia; una convención de tecnología, procesos y conducta que deben funcionar como un solo sistema.

Transformación de la cultura, estructura y comportamiento digital

A lo aterior se suma otro problema profundo. En algunas organizaciones mexicanas, las decisiones estratégicas sobre seguridad todavía se toman por intuición, no por análisis formal de riesgo. Sin métricas claras para estimar impacto económico u operativo, la alta dirección prioriza acciones reactivas, casi siempre después de un incidente. Esto provoca inversiones tardías, estrategias fragmentadas y una cultura digital poco disciplinada.

Este panorama explica por qué el factor humano será el reto dominante de esta década. Los adversarios combinan manipulación psicológica con automatización; incluso los ataques más sofisticados inician con un eslabón humano explotado. Mientras la tecnología evoluciona con rapidez, los hábitos requieren años para modificarse. Esa es la verdadera asimetría del riesgo; el atacante innova sin obstáculos, mientras que las organizaciones deben transformar cultura, estructura y comportamiento.

APIs, el eslabón invisible y vulnerable de la transformación digital

Escucha nuestros podcast aquí

Cinco cárteles, los responsables de 210,000 muertes violentas en el país en casi 20 años

Cinco cárteles, los responsables de 210,000 muertes violentas en el país en casi 20 años

Michoacán busca que menores sean juzgados como adultos; familias de víctimas piden aplicar en caso Lázaro Cárdenas

Michoacán busca que menores sean juzgados como adultos; familias de víctimas piden aplicar en caso Lázaro Cárdenas

Cómo descargar la boleta de calificaciones de la SEP 2026

Cómo descargar la boleta de calificaciones de la SEP 2026

La sobrecarga digital tampoco ayuda. Entornos laborales saturados favorecen decisiones apresuradas, desatención a alertas y delegación excesiva en “los sistemas”, lo que aumenta la probabilidad de errores involuntarios.

Superar esta vulnerabilidad implica replantear el enfoque. No basta con sumar herramientas. Se requiere integrar identificación de activos críticos, apetito de riesgo, modelado de amenazas, cuantificación, fusión de inteligencia, gestión de terceros, automatización, priorización y respuesta, además de mecanismos de evidencia y mejora continua. Este conjunto permite reducir la brecha entre capacidad tecnológica y comportamiento humano, siempre que exista respaldo real desde la alta dirección.

México solo alcanzará una seguridad madura cuando reconozca que la resiliencia depende del talento, la cultura y la conducta. Sin ese pilar, ningún sistema es suficiente, ya que, en el fondo, cada incidente empieza con una elección; detrás de un ataque hay un clic; detrás del clic, una decisión; y detrás de esa decisión, una persona. Ahí inicia —y también puede terminar— la ciberseguridad.

Nota del editor: Fernando Guarneros es Director de Operaciones en IQSEC. Las opiniones publicadas en esta columna corresponden exclusivamente al autor.

Consulta más información sobre este y otros temas en el canal Opinión

Empresas Alistan nueva estrategia contra mercado ilegal de combustibles

Alistan nueva estrategia contra mercado ilegal de combustibles

Tecnología PlayStation 5 subirá hasta 150 dólares su precio

PlayStation 5 subirá hasta 150 dólares su precio

Música BTS anuncia nuevos conciertos en Latinoamérica: estos son los países y las fechas

BTS anuncia nuevos conciertos en Latinoamérica: estos son los países y las fechas

Ciencia y Salud Eventos astronómicos de abril 2026: el calendario para seguir meteoros, alineaciones y fases de la Luna

Eventos astronómicos de abril 2026: el calendario para seguir meteoros, alineaciones y fases de la Luna

Opinión IA Generativa y privacidad, el desafío de proteger la información en entornos críticos 5 Min Read

IA Generativa y privacidad, el desafío de proteger la información en entornos críticos

Opinión Red Team vs. Compliance, lo que la auditoría no te dice sobre tus verdaderas vulnerabilidades 3 Min Read

Red Team vs. Compliance, lo que la auditoría no te dice sobre tus verdaderas vulnerabilidades

Opinión APIs, el eslabón invisible y vulnerable de la transformación digital 3 Min Read

APIs, el eslabón invisible y vulnerable de la transformación digital

Más acerca del autor:

Fernando Guarneros @ExpansionMx

© Expansión