480 targets · 12% credential submit · security-awareness gap
¿Qué es Ingeniería Social?
Las pruebas de ingeniería social y phishing son una evaluación controlada y basada en consentimiento en la que operadores éticos suplantan a partes de confianza para medir cómo responden tus personas, procesos y defensas de correo electrónico ante el engaño, a través de correos de phishing, llamadas de voz (vishing), SMS (smishing) y escenarios presenciales o con pretexto. CyberXplore diseña campañas dirigidas por seniors y elaboradas manualmente que reflejan el modus operandi actual de los atacantes (señuelos de recolección de credenciales, adjuntos maliciosos y entrega de payloads benignos) para cuantificar de forma segura las tasas de clic, el envío de credenciales y el comportamiento de reporte. Cada evaluación convierte el riesgo humano medido en recomendaciones priorizadas de concienciación, proceso y controles técnicos, en lugar de culpar a nadie.
MITRE ATT&CKOWASPNIST SP 800-115PTES
Por qué CyberXplore
Solo evaluadores sénior (OSCP, CRTP, CREST)
Certificación ISO 27001 & ISO 9001
Retest gratuito + carta de certificación
Alcance y presupuesto a medida en 24 horas
Por qué es importante
El elemento humano interviene en la gran mayoría de las brechas; un solo correo de phishing convincente puede entregar a los atacantes credenciales válidas y eludir millones invertidos en controles perimetrales.
Las simulaciones de phishing genéricas y prefabricadas rara vez reflejan el modus operandi de un atacante dirigido; medir la susceptibilidad frente a señuelos realistas y elaborados manualmente es la única forma de conocer tu verdadera exposición.
La formación en concienciación sin medición es una conjetura; las campañas de línea base y repetidas demuestran si el comportamiento, las tasas de reporte y el tiempo de reporte están mejorando de verdad.
Las pasarelas de correo, el MFA y el EDR pueden ser derrotados por un pretexto bien construido; probar la capa humana valida que tus controles técnicos y tu respuesta a incidentes funcionan en conjunto bajo presión real.
Alineado con los estándares del sector: MITRE ATT&CK · OWASP · NIST SP 800-115 · PTES
Nuestra metodología
01
Alcance y Autorización
Acordamos los objetivos, los grupos objetivo, los canales (correo, voz, SMS, físico), las áreas prohibidas y un documento claro de reglas de enfrentamiento y autorización, protegiendo tanto a tu personal como a nuestros operadores.
02
OSINT y Desarrollo de Pretextos
Usando inteligencia de fuentes abiertas sobre tu marca, proveedores y personas, construimos pretextos creíbles y escenarios temáticos (desde restablecimientos de contraseña de TI hasta señuelos de facturas y de RR. HH.) adaptados a tu sector.
03
Construcción de Campaña e Infraestructura
Registramos dominios similares, configuramos páginas de destino rastreadas y simulaciones de recolección de credenciales, y preparamos payloads o adjuntos benignos e instrumentados que registran la interacción sin causar daño.
04
Entrega Controlada
Lanzamos campañas de phishing, vishing o smishing en oleadas medidas, monitorizando la entrega, los clics, el envío de credenciales y cualquier dato capturado, respetando las condiciones de parada y las reglas de manejo seguro.
05
Medición y Análisis
Analizamos el embudo (entregado, abierto, clicado, enviado, reportado), segmentamos los resultados por departamento y rol, e identificamos las brechas de concienciación, proceso y defensas de correo detrás de cada resultado.
06
Informe y Mejora de la Concienciación
Recibes métricas sin culpas, tendencias frente a cualquier línea base y recomendaciones concretas para la formación, los flujos de reporte y los controles técnicos, además de un debrief opcional para los equipos de seguridad y de dirección.
Qué evaluamos
Campañas de phishing por correo (masivas, dirigidas y pretextos de spear-phishing)
Simulación de recolección de credenciales mediante páginas de destino similares y rastreadas
Vishing (pretexting por voz/teléfono y suplantación de mesa de ayuda)
Smishing (señuelos por SMS y escenarios de interceptación de códigos de un solo uso)
Pretexting y escenarios estilo compromiso de correo empresarial (BEC)
Entrega de payloads y adjuntos benignos (instrumentación de macro/enlace/código QR)
Escenarios de fatiga de MFA y de relay de phishing en tiempo real (cuando esté autorizado)
Comprobaciones de eficacia de la pasarela de correo, el filtrado y el botón de reporte
Escenarios de pretexto físico o presencial y tailgating (opcional)
Segmentación de susceptibilidad por departamento y rol
Qué obtiene
Resumen ejecutivo con una calificación general de riesgo humano y métricas clave
Métricas del embudo de la campaña: entrega, apertura, clic, envío de credenciales y tasas de reporte
Desglose por departamento y rol con tendencias frente a cualquier línea base
Análisis de qué pretextos tuvieron éxito y las brechas técnicas y de proceso detrás de ellos
Recomendaciones priorizadas para la formación en concienciación, los flujos de reporte y los controles de correo
Hallazgos anonimizados y sin culpas, aptos para la comunicación al personal y la elaboración de informes para el consejo
Sesión de debrief opcional y carta de atestación para auditores y clientes
Ejemplo de entregable
Qué verá en su informe
Cada proyecto concluye con un informe claro y priorizado: hallazgos clasificados por severidad con puntuaciones CVSS, activos afectados y estado de remediación - además de un retest gratuito. Las cifras siguientes son ilustrativas.
Hallazgos por severidad
12 total
Critical
2
High
6
Medium
3
Low
1
Critical · CVSS 9.6CX-1220
Full domain compromise (Domain Admin obtained)
MITRE T1003CORP domainOpen
Critical · CVSS 9.0CX-1214
EDR bypass - payload executed, no alert raised
MITRE T1562ws-022.corp.localOpen
Ejemplo ilustrativo: red team assessment - anonimizado a example.com.
High · CVSS 8.0CX-1202
Spear-phishing → initial access (38% click rate)
MITRE T156624 of 63 employeesOpen
¿Quiere el informe de muestra anonimizado completo? Lo incluiremos con su presupuesto.
“As an early-stage team we needed real depth, not a checkbox scan. They hardened our LLM product and walked us through every fix.”
Hardened in 30 days
FC
Founder & CTO
Early-stage AI startup · Seed · LLM product
AI / ML
Certificaciones de nuestros testers
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Preguntas frecuentes
Sí. Cada campaña está totalmente autorizada, delimitada y regida por reglas de enfrentamiento. Usamos payloads benignos e instrumentados, nunca exponemos datos reales y reportamos los resultados de forma anonimizada y sin culpas, centrada en mejorar las defensas en lugar de castigar a las personas.