Skip to content
CyberXplore - Xplore the Unseen
Red Team & AI Security

Ingeniería Social y Phishing

Pon a prueba la capa humana de tus defensas con campañas realistas de phishing, vishing y pretexting.

Phishing campaign - Q3 ‘Payroll update’
Ejemplo · Ilustrativo
Conversion funneln = 480 delivered
Delivered480 · 100%
Opened293 · 61%
Clicked link142 · 30%
Submitted creds57 · 12%
Reported to SOC88 · 18%
Action required: verify direct deposit
spoofed sender · SPF soft-fail
Avg time-to-click
4m 12s
Credential reuse
1 on corp VPN · critical

480 targets · 12% credential submit · security-awareness gap

¿Qué es Ingeniería Social?

Las pruebas de ingeniería social y phishing son una evaluación controlada y basada en consentimiento en la que operadores éticos suplantan a partes de confianza para medir cómo responden tus personas, procesos y defensas de correo electrónico ante el engaño, a través de correos de phishing, llamadas de voz (vishing), SMS (smishing) y escenarios presenciales o con pretexto. CyberXplore diseña campañas dirigidas por seniors y elaboradas manualmente que reflejan el modus operandi actual de los atacantes (señuelos de recolección de credenciales, adjuntos maliciosos y entrega de payloads benignos) para cuantificar de forma segura las tasas de clic, el envío de credenciales y el comportamiento de reporte. Cada evaluación convierte el riesgo humano medido en recomendaciones priorizadas de concienciación, proceso y controles técnicos, en lugar de culpar a nadie.

MITRE ATT&CKOWASPNIST SP 800-115PTES

Por qué CyberXplore

  • Solo evaluadores sénior (OSCP, CRTP, CREST)
  • Certificación ISO 27001 & ISO 9001
  • Retest gratuito + carta de certificación
  • Alcance y presupuesto a medida en 24 horas

Por qué es importante

El elemento humano interviene en la gran mayoría de las brechas; un solo correo de phishing convincente puede entregar a los atacantes credenciales válidas y eludir millones invertidos en controles perimetrales.

Las simulaciones de phishing genéricas y prefabricadas rara vez reflejan el modus operandi de un atacante dirigido; medir la susceptibilidad frente a señuelos realistas y elaborados manualmente es la única forma de conocer tu verdadera exposición.

La formación en concienciación sin medición es una conjetura; las campañas de línea base y repetidas demuestran si el comportamiento, las tasas de reporte y el tiempo de reporte están mejorando de verdad.

Las pasarelas de correo, el MFA y el EDR pueden ser derrotados por un pretexto bien construido; probar la capa humana valida que tus controles técnicos y tu respuesta a incidentes funcionan en conjunto bajo presión real.

Alineado con los estándares del sector: MITRE ATT&CK · OWASP · NIST SP 800-115 · PTES

Nuestra metodología

  1. 01

    Alcance y Autorización

    Acordamos los objetivos, los grupos objetivo, los canales (correo, voz, SMS, físico), las áreas prohibidas y un documento claro de reglas de enfrentamiento y autorización, protegiendo tanto a tu personal como a nuestros operadores.

  2. 02

    OSINT y Desarrollo de Pretextos

    Usando inteligencia de fuentes abiertas sobre tu marca, proveedores y personas, construimos pretextos creíbles y escenarios temáticos (desde restablecimientos de contraseña de TI hasta señuelos de facturas y de RR. HH.) adaptados a tu sector.

  3. 03

    Construcción de Campaña e Infraestructura

    Registramos dominios similares, configuramos páginas de destino rastreadas y simulaciones de recolección de credenciales, y preparamos payloads o adjuntos benignos e instrumentados que registran la interacción sin causar daño.

  4. 04

    Entrega Controlada

    Lanzamos campañas de phishing, vishing o smishing en oleadas medidas, monitorizando la entrega, los clics, el envío de credenciales y cualquier dato capturado, respetando las condiciones de parada y las reglas de manejo seguro.

  5. 05

    Medición y Análisis

    Analizamos el embudo (entregado, abierto, clicado, enviado, reportado), segmentamos los resultados por departamento y rol, e identificamos las brechas de concienciación, proceso y defensas de correo detrás de cada resultado.

  6. 06

    Informe y Mejora de la Concienciación

    Recibes métricas sin culpas, tendencias frente a cualquier línea base y recomendaciones concretas para la formación, los flujos de reporte y los controles técnicos, además de un debrief opcional para los equipos de seguridad y de dirección.

Qué evaluamos

  • Campañas de phishing por correo (masivas, dirigidas y pretextos de spear-phishing)
  • Simulación de recolección de credenciales mediante páginas de destino similares y rastreadas
  • Vishing (pretexting por voz/teléfono y suplantación de mesa de ayuda)
  • Smishing (señuelos por SMS y escenarios de interceptación de códigos de un solo uso)
  • Pretexting y escenarios estilo compromiso de correo empresarial (BEC)
  • Entrega de payloads y adjuntos benignos (instrumentación de macro/enlace/código QR)
  • Escenarios de fatiga de MFA y de relay de phishing en tiempo real (cuando esté autorizado)
  • Comprobaciones de eficacia de la pasarela de correo, el filtrado y el botón de reporte
  • Escenarios de pretexto físico o presencial y tailgating (opcional)
  • Segmentación de susceptibilidad por departamento y rol

Qué obtiene

  • Resumen ejecutivo con una calificación general de riesgo humano y métricas clave
  • Métricas del embudo de la campaña: entrega, apertura, clic, envío de credenciales y tasas de reporte
  • Desglose por departamento y rol con tendencias frente a cualquier línea base
  • Análisis de qué pretextos tuvieron éxito y las brechas técnicas y de proceso detrás de ellos
  • Recomendaciones priorizadas para la formación en concienciación, los flujos de reporte y los controles de correo
  • Hallazgos anonimizados y sin culpas, aptos para la comunicación al personal y la elaboración de informes para el consejo
  • Sesión de debrief opcional y carta de atestación para auditores y clientes
Ejemplo de entregable

Qué verá en su informe

Cada proyecto concluye con un informe claro y priorizado: hallazgos clasificados por severidad con puntuaciones CVSS, activos afectados y estado de remediación - además de un retest gratuito. Las cifras siguientes son ilustrativas.

Hallazgos por severidad

12 total
Critical
2
High
6
Medium
3
Low
1
Critical · CVSS 9.6CX-1220

Full domain compromise (Domain Admin obtained)

MITRE T1003CORP domainOpen
Critical · CVSS 9.0CX-1214

EDR bypass - payload executed, no alert raised

MITRE T1562ws-022.corp.localOpen

Ejemplo ilustrativo: red team assessment - anonimizado a example.com.

¿Quiere el informe de muestra anonimizado completo? Lo incluiremos con su presupuesto.

Ver un informe de muestra

¿Listo para definir el alcance de su proyecto?

Cuéntenos qué necesita evaluar y reciba un alcance y un presupuesto personalizados en 24 horas.

Solicitar presupuesto
Pruebas, no promesas

Equipos que probaron con nosotros

0+
Proyectos de seguridad entregados
0+
Vulnerabilidades detectadas y reportadas
0+
Organizaciones protegidas
0+
Años de experiencia ofensiva

Cifras acumuladas del historial conjunto de proyectos de nuestro equipo

Compartido bajo NDA · detalles anonimizados
Their red team simulated a real attacker end-to-end and showed us exactly where our detection broke down. Genuinely eye-opening.
Full attack chain mapped
CISO
Healthcare technology provider · Regulated · HIPAA
HealthTech
Compartido bajo NDA · detalles anonimizados
As an early-stage team we needed real depth, not a checkbox scan. They hardened our LLM product and walked us through every fix.
Hardened in 30 days
Founder & CTO
Early-stage AI startup · Seed · LLM product
AI / ML

Certificaciones de nuestros testers

  • OSCP
  • CRTP
  • CREST
  • CEH
  • eWPTX
  • ISO 27001
  • ISO 9001

Preguntas frecuentes

Sí. Cada campaña está totalmente autorizada, delimitada y regida por reglas de enfrentamiento. Usamos payloads benignos e instrumentados, nunca exponemos datos reales y reportamos los resultados de forma anonimizada y sin culpas, centrada en mejorar las defensas en lugar de castigar a las personas.

¿Listo para ver lo que ven los atacantes?

Reciba un alcance y un presupuesto personalizados en 24 horas. Sin presiones ni tecnicismos, solo claridad sobre su riesgo.

  • Retest gratuito de cada corrección
  • Alcance y presupuesto en 24 horas
  • Solo evaluadores sénior
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Solicitar presupuesto