Skip to content
CyberXplore - Xplore the Unseen

Simulaciones de phishing bien hechas: cómo medir el riesgo humano

cyberxplorePor cyberxplore12 min de lectura

Un correo trampa que avergüenza a quienes hacen clic no enseña nada. Así es como ejecutamos una simulación de phishing que mide el riesgo humano y mueve las cifras que importan: tasa de notificación, tiempo de reacción y reincidentes en el clic.

Simulaciones de phishing bien hechas: cómo medir el riesgo humano

Las 16:55 de un viernes. Una administrativa del departamento financiero de una empresa que llamaremos acme-corp abre un correo del “CFO”. Transfiera al proveedor ahora, la factura ya está vencida, estoy atrapado en una reunión así que no me llame. Su cursor estaba sobre el botón de aprobación.

Se detuvo. No porque un filtro lo marcara, ni porque sea más lista que el resto del departamento. Dos semanas antes había hecho clic en una simulación de phishing que empleaba exactamente la misma jugada: urgencia apilada sobre autoridad, un motivo que no se puede verificar de viva voz. La lección caló. En su lugar, reenvió el mensaje real al botón de notificación.

De eso se trata todo. Una simulación de phishing no consiste en pillar a la gente en falta. Consiste en medir cómo se comporta tu plantilla ante un señuelo creíble y, después, reducir la distancia entre quienes hacen clic y quienes lo notifican. Ejecútala como una máquina de culpas y enseñarás al personal a ocultar sus errores. Ejecútala bien y saldrás con una cifra defendible del riesgo humano y una línea de tendencia que de verdad puedes mover.

Puntos clave

  • Una simulación de phishing mide el riesgo humano ante un señuelo realista. Es un diagnóstico, no una encerrona ni una herramienta de castigo.
  • La tasa de notificación importa más que la tasa de clic. Una plantilla que notifica rápido contiene un ataque más deprisa que otra que simplemente hace menos clic.
  • Ejecútala de forma ética: aprobación escrita de la dirección, RR. HH. y el responsable del SOC informados, sin almacenar jamás contraseñas reales y sin nombrar a personas.
  • Asocia a cada campaña una formación breve y en el momento. El segundo idóneo para enseñar es justo después del clic, no en una presentación trimestral.
  • Haz seguimiento a lo largo de las rondas de la tasa de clic, la tasa de envío, la tasa de notificación, el tiempo hasta la primera notificación y los reincidentes en el clic. Una sola campaña es una instantánea; el valor está en la tendencia.

Qué es realmente una simulación de phishing

Una simulación de phishing es un ejercicio controlado en el que tu equipo de seguridad, o una firma como la nuestra, envía a tu propia plantilla correos de phishing inofensivos pero realistas, registra quién interactúa y convierte el resultado en formación y mejoras de procesos. Los correos parecen reales. La carga útil no existe. El portátil de nadie se ve comprometido y nunca se captura una credencial real.

Encaja con precisión en la forma en que los atacantes entran. El phishing se enmarca en la técnica MITRE ATT&CK T1566, con subtécnicas para enlaces de spearphishing (T1566.002) y adjuntos (T1566.001). La recolección de credenciales mediante una página de inicio de sesión falsa es la variante que más modelamos, porque es barata de ejecutar y funciona. El compromiso del correo electrónico corporativo, el escenario de fraude por transferencia de arriba, es el primo caro, y vale la pena simularlo en concreto para los perfiles de finanzas y de asistente de dirección.

Aquí viene la parte incómoda. Tus controles técnicos pueden ser excelentes y un único correo convincente dirigido a una única persona distraída los sortea igualmente sin problemas. Las personas no son el eslabón más débil por ser descuidadas. Son el objetivo porque son accesibles y porque un buen pretexto secuestra instintos que en realidad queremos en los empleados: ser servicial, ser rápido, no hacer esperar al jefe.

¿Cómo ejecutar una simulación de phishing de forma ética?

Consigue una autorización por escrito antes de que un solo correo salga de la bandeja de salida. En nuestros proyectos la campaña no se lanza hasta que tenemos la aprobación de la dirección, una lista de objetivos acordada y una ventana de exclusión que descarta incidentes en curso, días de resultados financieros y cualquier cosa que se parezca a una tragedia de la empresa. La ingeniería social es el único tipo de prueba en el que el sujeto es una persona, no un servidor. La ética es estructural.

Algunas líneas que no cruzamos:

  • Informa a las personas adecuadas, no a todo el mundo. RR. HH., el departamento jurídico y el responsable del SOC necesitan aviso previo. La plantilla general no, o estarás midiendo teatro en lugar de comportamiento.
  • Nunca conserves una credencial real. Si la página de destino tiene un campo de contraseña, el valor introducido se descarta. Registramos que hubo un envío, nunca lo que se tecleó. No hay ninguna razón defendible para guardar una contraseña real.
  • Nada de escarnio público. La información se mantiene agregada. “La tasa de notificación de finanzas fue del 40 por ciento” está bien. Señalar por su nombre a Dave de finanzas en un canal de la empresa es la forma de matar el programa en una sola campaña.
  • Calibra la crueldad. Las cartas de bonificación falsas, los falsos avisos de despido y las falsas peticiones de donativos tras una catástrofe real disparan enormes tasas de clic y calcinan la confianza igual de rápido. Evitamos los pretextos emocionalmente abusivos. Buscamos un cambio de comportamiento, no una queja ante RR. HH.

Cómo construimos y enviamos la campaña

El flujo de trabajo refleja el del atacante, sin el daño. Primero llega el reconocimiento. ¿Qué aspecto tiene realmente tu correo real? Estudiamos el tono de las comunicaciones internas, el SaaS que de verdad utilizas (Microsoft 365, Okta, el portal de RR. HH. en el que vivas) y los dominios desde los que envías. Un señuelo convincente se hace pasar por algo que el objetivo ve cada semana, no por un genérico “departamento de TI” que nadie reconoce.

Luego, la infraestructura. El GoPhish de código abierto cubre el envío, el seguimiento y la captura en la página de destino para la mayoría del trabajo de concienciación. Para un dominio imitador registramos algo plausible, por ejemplo acme-corp-hr.com o un casi homoglifo del real, lo calentamos y configuramos SPF, DKIM y DMARC para que llegue a la bandeja de entrada en lugar de a la carpeta de correo no deseado. Antes siquiera de enviar nada, una de las primeras cosas que ejecutamos es una comprobación de la propia postura del objetivo:

$ dig +short TXT _dmarc.acme-corp.com
"v=DMARC1; p=none; rua=mailto:[email protected]"

Una política p=none significa que el dominio está monitorizando pero no rechazando el correo suplantado, lo que ya te dice bastante antes incluso de que empiece la campaña. Si tu propia pasarela pone la prueba en cuarentena, has aprendido algo real sobre la pasarela y absolutamente nada sobre las personas, de modo que ajustar la entregabilidad forma parte del trabajo.

El propio flujo de seguimiento es sencillo. Cada enlace lleva un token por destinatario, de modo que cada evento se vincula a una sola persona sin adivinar:

GET /login?rid=7f3a9c2e HTTP/1.1
Host: acme-corp-hr.com
User-Agent: Mozilla/5.0 ...

-- click logged for rid=7f3a9c2e
-- page renders a fake Okta login
-- if the user submits:
POST /login  { username, password }
-- submit logged, credentials discarded, redirect to training

Quien envía algo aterriza en un breve informe en el mismo momento en que pulsa Intro. Este es el correo que recibiste. Estos son los tres indicios que podrías haber detectado. Este es el botón de notificación. Esa página supera a cualquier módulo de formación anual, por una sola razón: la lección llega mientras el error aún está caliente.

Con clientes de mayor madurez vamos más allá del correo. El vishing (un pretexto telefónico) y el smishing (SMS) completan el cuadro, y un señuelo con código QR comprueba si el “quishing” esquiva por completo tus defensas de correo. Los atacantes no se limitan a un solo canal, así que las pruebas maduras tampoco deberían hacerlo.

¿Qué métricas de phishing importan de verdad?

La tasa de clic es la cifra que pide todo interesado y de la que menos me fío por sí sola. Es trivial de manipular. Envía un señuelo perezoso y evidente y tu tasa de clic parecerá brillante. Las cifras que sí te dicen algo:

  • Tasa de notificación. ¿Qué proporción de destinatarios pulsa el botón de notificación? Es, con diferencia, el mejor predictor de la rapidez con que se contiene un ataque real. Un equipo que hace clic en un 15 por ciento pero notifica un 60 por ciento está en mucha mejor forma que otro que hace clic en un 8 por ciento y no notifica nada.
  • Tasa de envío. De quienes hicieron clic, ¿cuántos teclearon credenciales? El clic es un traspié. El envío es el compromiso.
  • Tiempo hasta la primera notificación. Los minutos desde el envío hasta la primera notificación de un usuario. Notificar rápido permite al SOC retirar el correo malicioso de todas las bandejas de entrada antes de que muerdan más personas.
  • Reincidentes en el clic. La pequeña porción que hace clic campaña tras campaña es tu riesgo concentrado. Esas personas necesitan un acompañamiento específico, no otro correo masivo.

Una campaña te da una instantánea. Cuatro repartidas a lo largo de un año, segmentadas por departamento, te dan una tendencia, y la tendencia es el entregable. Es lo que un consejo de administración quiere ver de verdad y lo que un auditor acepta como prueba de que un control de concienciación funciona en lugar de existir sobre el papel.

¿Cómo se reduce de verdad el riesgo?

Probar sin dar seguimiento es solo molestar a la gente según un calendario. La reducción viene de dos sitios: formación rápida y específica ligada a cada simulación, y la corrección de las brechas de proceso que el ejercicio saca a la luz.

Haz que notificar sea la opción fácil por defecto y recompénsalo. Un botón de notificación de un clic en Outlook o Gmail, respondido con un simple “gracias, lo estamos revisando”, gana a una cultura punitiva siempre. En el lado técnico, la misma campaña casi siempre saca a la luz brechas que vale la pena corregir sin importar cómo lo hicieran las personas: DMARC todavía en p=none, sin banner de remitente externo, una MFA que acepta códigos SMS susceptibles de phishing, ninguna regla de flujo de correo para retirar de una vez un phishing notificado de todos los buzones. Empuja las cuentas de alto valor hacia una MFA resistente al phishing como FIDO2 o las passkeys, porque eso elimina por completo el beneficio de la recolección de credenciales. Sin contraseña que robar, sin falsa página de inicio de sesión que merezca la pena construir.

Sé honesto también en el informe posterior. Escaquearte de un mal resultado con juegos de palabras (“la participación fue baja por el momento elegido”) no ayuda a nadie. Si la mitad de finanzas entregó sus credenciales a un señuelo de fraude por transferencia, ese es el hallazgo. Escríbelo. Tiene arreglo, y fingir lo contrario solo garantiza que descubras lo mismo de la mano de un atacante real el próximo trimestre.

Cómo ayuda CyberXplore

Nuestro servicio de ingeniería social y simulación de phishing ejecuta todo el programa de principio a fin: señuelos multicanal realistas por correo, voz, SMS y QR, un manejo seguro de credenciales que nunca almacena una contraseña real, métricas por departamento y formación en el momento que se dispara en el segundo en que alguien hace clic. Construimos pretextos en torno a tus herramientas y tu tono reales, informamos a tu SOC para que el ejercicio sirva también de práctica de detección y respuesta, y te entregamos una línea de tendencia que puedes llevar al consejo o a un auditor. ¿Quieres conocer tu verdadera tasa de notificación antes de que un atacante la mida por ti? Solicita un presupuesto y dimensionaremos una campaña según tu plantilla y tu perfil de riesgo.

FAQ

¿Con qué frecuencia deberíamos ejecutar una simulación de phishing?

Lo trimestral es el punto ideal para la mayoría de las organizaciones. Lo mensual tiende a generar fatiga y desensibilización, mientras que las campañas anuales son demasiado raras para crear un hábito o mostrar una tendencia. Varía el pretexto y la dificultad en cada ronda para que la gente no pueda limitarse a reconocer el patrón y pensar “debe de ser la prueba trimestral”.

¿Debe castigarse a los empleados que fallan?

No. El castigo enseña a la gente a ocultar errores y a desconfiar del equipo de seguridad, que es justo lo contrario de lo que quieres. Céntrate en el acompañamiento, la facilidad para notificar y el apoyo al pequeño grupo de reincidentes en el clic. Reserva la acción formal de RR. HH. para las verdaderas violaciones de política, nunca para hacer clic en una prueba bien elaborada.

¿Qué es una buena tasa de clic para una simulación de phishing?

No existe un número mágico universal, y perseguir uno bajo es engañoso. Un señuelo bien elaborado y dirigido siempre superará a uno perezoso, así que una dificultad creciente con una tasa de clic estable o a la baja es la verdadera victoria. Vigila la tasa de notificación y los reincidentes en el clic a lo largo del tiempo en lugar de obsesionarte con un único porcentaje de clic.

¿Es legal y segura una simulación de phishing para nuestra plantilla?

Sí, cuando está autorizada y se gestiona de forma ética. Estás probando a tus propios empleados en tus propios sistemas con la aprobación de la dirección, así que es legal. La seguridad viene de no almacenar nunca credenciales reales, evitar pretextos abusivos, informar a RR. HH. y al SOC, y mantener toda la información agregada en lugar de nombrar a individuos.

¿En qué se diferencia una simulación de phishing de un ejercicio de red team?

Una simulación de phishing es un ejercicio enfocado y medible orientado al comportamiento de la plantilla y a las métricas de concienciación a lo largo de muchos destinatarios. Un ejercicio de red team puede usar el phishing como un punto de entrada, pero luego persigue un objetivo más amplio, como llegar a datos sensibles o al administrador de dominio, para poner a prueba la detección y la respuesta en todo el entorno. Se complementan: la simulación construye la línea base humana que un red team somete después a esfuerzo.

Trabaja con CyberXplore

Ingeniería Social y Phishing

Ves este riesgo en tus propios sistemas? Nuestros testers senior encuentran y demuestran exactamente estos fallos y te dan un camino claro para corregirlos.

Artículos relacionados

Convierte estos análisis en un proyecto

Obtén una prueba de penetración dirigida por expertos senior y adaptada a tu stack - resultados accionables, no una checklist.

  • Retest gratuito de cada corrección
  • Alcance y presupuesto en 24 horas
  • Solo evaluadores sénior
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Solicitar presupuesto