Durante mucho tiempo, la discusión sobre ciberseguridad giró en torno a herramientas, arquitecturas y mecanismos de defensa. Sin embargo, a medida que los ataques se vuelven más precisos y los grupos criminales afinan sus tácticas, resulta evidente que la vulnerabilidad central no está en las plataformas, sino en las personas. En México, esta realidad se confirma una y otra vez; detrás de una filtración, un fraude o un ransomware, casi siempre aparece una acción humana que abrió la puerta.
El hallazgo más inquietante lo expone el estudio The State of Human Risk 2025, de Mimecast, el cual revela que el 94% de las organizaciones reconoce obstáculos para lograr que su personal siga, de forma consistente, los protocolos de seguridad y los lineamientos de cumplimiento. Y este dato contrasta con otro igual de alarmante: solo en el primer semestre de 2025, México registró 40.6 millones de intentos de ciberataques, ubicándose como el segundo país más atacado de la región, de acuerdo con Fortinet.
Está claro que el factor humano no es solo un vector, es el terreno donde convergen hábitos arraigados, percepciones equivocadas, presión laboral, falta de capacitación y resistencia a cambiar prácticas cotidianas. Esa mezcla crea el escenario perfecto para que los atacantes encuentren una oportunidad sin necesidad de vulnerar mecanismos técnicos complejos.
Aunque el país avanza aceleradamente en digitalización, la madurez en ciberseguridad no progresa al mismo ritmo. Para muchas personas, la seguridad sigue siendo un asunto ajeno, técnico o exclusivo del equipo de TI. Esta distancia emocional frente al riesgo genera una falsa sensación de control. Y cuando el peligro no se percibe, las conductas inseguras se vuelven rutina.
Un clic impulsivo, una contraseña trivial o el uso indiscriminado de dispositivos personales para manejar información corporativa parecen acciones menores, pero representan grietas enormes. Los atacantes lo saben. Por eso, la ingeniería social explota emociones básicas —curiosidad, urgencia, miedo, confianza— y suele ser más efectiva que cualquier malware innovador.
A pesar de que muchas empresas ya cuentan con autenticación multifactor, soluciones de EDR, sandboxes o monitoreo avanzado, estos controles pierden valor cuando el personal no entiende su relevancia. La ciberseguridad necesita coherencia; una convención de tecnología, procesos y conducta que deben funcionar como un solo sistema.
A lo aterior se suma otro problema profundo. En algunas organizaciones mexicanas, las decisiones estratégicas sobre seguridad todavía se toman por intuición, no por análisis formal de riesgo. Sin métricas claras para estimar impacto económico u operativo, la alta dirección prioriza acciones reactivas, casi siempre después de un incidente. Esto provoca inversiones tardías, estrategias fragmentadas y una cultura digital poco disciplinada.
Este panorama explica por qué el factor humano será el reto dominante de esta década. Los adversarios combinan manipulación psicológica con automatización; incluso los ataques más sofisticados inician con un eslabón humano explotado. Mientras la tecnología evoluciona con rapidez, los hábitos requieren años para modificarse. Esa es la verdadera asimetría del riesgo; el atacante innova sin obstáculos, mientras que las organizaciones deben transformar cultura, estructura y comportamiento.
La sobrecarga digital tampoco ayuda. Entornos laborales saturados favorecen decisiones apresuradas, desatención a alertas y delegación excesiva en “los sistemas”, lo que aumenta la probabilidad de errores involuntarios.
Superar esta vulnerabilidad implica replantear el enfoque. No basta con sumar herramientas. Se requiere integrar identificación de activos críticos, apetito de riesgo, modelado de amenazas, cuantificación, fusión de inteligencia, gestión de terceros, automatización, priorización y respuesta, además de mecanismos de evidencia y mejora continua. Este conjunto permite reducir la brecha entre capacidad tecnológica y comportamiento humano, siempre que exista respaldo real desde la alta dirección.
México solo alcanzará una seguridad madura cuando reconozca que la resiliencia depende del talento, la cultura y la conducta. Sin ese pilar, ningún sistema es suficiente, ya que, en el fondo, cada incidente empieza con una elección; detrás de un ataque hay un clic; detrás del clic, una decisión; y detrás de esa decisión, una persona. Ahí inicia —y también puede terminar— la ciberseguridad.
____
Nota del editor: Fernando Guarneros es Director de Operaciones en IQSEC. Las opiniones publicadas en esta columna corresponden exclusivamente al autor.
Consulta más información sobre este y otros temas en el canal Opinión
