Convierte a tu equipo en la defensa más difícil de romper.

El 91% de los incidentes de seguridad no empiezan por una vulnerabilidad técnica. Empiezan por un empleado.

Hay un firewall configurado, tenéis el endpoint protection está activo y las actualizaciones están al día.

Y aun así, una persona de tu equipo puede dejar sus credenciales en una página clonada de Microsoft Teams porque el correo parecía normal.

Falcata 365 es el sistema de gestión continua del riesgo humano que cubre el vector que ninguna herramienta técnica puede cubrir.

El problema que ninguna herramienta resuelve

Las inversiones en seguridad perimetral, EDR, MFA y gestión de identidades reducen la superficie técnica de ataque. Son necesarias y están justificadas.

Pero existe un vector que queda expuesto independientemente de la madurez tecnológica del entorno. El comportamiento humano.

El BEC (Business Email Compromise), el phishing dirigido y la ingeniería social explotan la confianza, la urgencia y los procesos internos de los negocios.

Una empresa con infraestructura técnica sólida pero sin gestión activa del riesgo humano tiene una superficie de ataque real que ningún SIEM, ningún filtro de correo y ningún antivirus va a detectar a tiempo.

El objetivo es cerrar esa brecha.

Qué es Falcata 365

Un programa anual de gestión continua del riesgo humano adaptado específicamente a cada cliente.

No es una plataforma de formación con módulos pregrabados. No son 2 simulacros de phishing que generan un informe y se archivan. No es una solución que el equipo técnico tiene que mantener.

Es un servicio gestionado que opera de forma autónoma durante los 365 días del año, con siete líneas de trabajo activas orientadas a reducir de forma medible la probabilidad de compromiso a través de ingeniería social.

Las siete líneas del sistema

01 — Simulaciones de ataque recurrentes e hiperpersonalizadas

Cada campaña se diseña a partir de inteligencia real sobre la organización. Dominios de proveedores habituales, plataformas SaaS en uso, estructura de departamentos, patrones de comunicación interna y perfiles públicos del equipo.

El objetivo es replicar con exactitud las técnicas que usaría un atacante que ha investigado la empresa antes de actuar. Como credential harvesting, BEC, spear phishing por rol o suplantación de procesos internos.

La frecuencia y complejidad de las campañas se ajusta en función de los resultados acumulados. El sistema escala la dificultad cuando el equipo mejora.

02 — Monitorización continua de exposición pública

La superficie de ataque humana de una organización no es estática. Cambia con cada nueva incorporación, cada publicación en LinkedIn, cada cambio tecnológico visible desde fuera.

Monitorizamos de forma continua las nuevas exposiciones del dominio en filtraciones, cambios en la huella digital de la organización, registro de dominios lookalike por terceros y aparición de perfiles críticos en fuentes públicas.

Cuando se detecta un cambio relevante, se notifica. No se espera al informe trimestral.

03 — Detección de credenciales comprometidas

Escaneamos de forma continua bases de datos de credenciales filtradas en busca de emails del dominio del cliente.

Si se detecta una credencial comprometida, se notifica de inmediato con el contexto de la filtración, el nivel de riesgo estimado y la acción recomendada.

Una credencial filtrada sin detectar es una puerta abierta de duración indefinida. Este componente la cierra en el menor tiempo posible.

04 — Formación reactiva y personalizada

Cada sesión de formación se construye a partir de los resultados reales de las campañas. No existe contenido genérico en el programa.

Si un departamento concreto cometió un error específico, la formación analiza ese error, explica la técnica utilizada, identifica las señales que debían haber activado la alerta y establece el protocolo de respuesta correcto.

Este enfoque produce un cambio de comportamiento real porque trabaja sobre situaciones que el empleado ya vivió, no sobre escenarios hipotéticos.

05 — Protocolo de onboarding para nuevas incorporaciones

Las incorporaciones recientes representan un riesgo desproporcionado. No conocen los procesos internos con suficiente profundidad para detectar desviaciones, y los atacantes lo saben.

Falcata 365 incluye un protocolo específico para cada nueva incorporación con una formación personalizada de onboarding, simulacros de bienvenida calibrados al nivel de acceso del empleado.

Para organizaciones con rotación elevada, es una parte crítica del sistema.

06 — Acompañamiento técnico continuo

Durante todo el año existe un canal directo de consulta con tiempo de respuesta inferior a 24 horas.

Análisis de correos sospechosos, validación de solicitudes inusuales de proveedores, revisión de procesos internos con implicaciones de seguridad, orientación ante posibles incidentes en curso.

No es un servicio de ticketing. Es criterio experto disponible en el momento en que se necesita.

07 — Reporting ejecutivo con Risk Score

Cada trimestre se entrega un informe estructurado con la evolución del Human Risk Score de la organización. Es una métrica compuesta que integra tasa de compromiso en simulaciones, exposición pública activa, cobertura de incorporaciones y credenciales detectadas en filtraciones.

El informe incluye evolución por departamento, perfiles de mayor riesgo, incidencias del periodo y recomendaciones para el siguiente ciclo.

El informe anual consolida la evolución completa del programa en un documento presentable a dirección, consejo o auditores externos como evidencia de gestión activa del riesgo humano.

Sobre las herramientas que ya tenéis

KnowBe4, Proofpoint Security Awareness, Cofense. Son plataformas válidas para organizaciones que quieren escalar formación con recursos internos mínimos.

Tienen un límite conocido, operan sobre plantillas estandarizadas distribuidas a miles de clientes simultáneamente. Un atacante sofisticado, o un empleado con experiencia previa en simulacros, las identifica con relativa facilidad.

No competimos en el mismo espacio. Cada campaña y formación es única para cada cliente, construida con inteligencia específica de esa organización. No existe una plantilla que reconocer porque no existe una plantilla.

Si ya tenéis una plataforma de awareness activa, operamos como la capa de validación real de su efectividad.

Lo que esto significa para dirección

El riesgo humano en ciberseguridad tiene un coste esperado cuantificable.

El coste medio de un incidente de Business Email Compromise para una empresa de entre 30 y 200 empleados oscila entre 40.000€ y 150.000€ en pérdida directa, sin contabilizar el coste operativo de recuperación ni las implicaciones regulatorias bajo RGPD.

Falcata 365 es el argumento técnico y económico para llevar esta conversación a dirección con datos. Coste del riesgo no gestionado frente a coste del programa, con métricas de progreso documentadas trimestre a trimestre.

Usamos el Risk Score como un KPI que convierte la seguridad en un indicador comprensible para cualquier perfil directivo.


Además, cada nueva incorporación que se una a tu empresa durante el año queda cubierta por el protocolo de onboarding sin coste adicional, independientemente de cuántas sean.

Solicite información sobre el programa

Si quiere evaluar cómo aplicaría a su empresa, déjenos sus datos y preparamos una propuesta adaptada a su tamaño y sector en menos de un día.