🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Simulaciones de phishing para empresas: ¿realizarlas por cuenta propia o recurrir a un socio?

¿Qué es la phishing

Para la mayoría de las empresas, el phishing es una de las formas más habituales en que los atacantes logran acceder a sus sistemas y, desde la entrada en vigor de la NIS2, muchas organizaciones están obligadas a demostrar que han formado a sus empleados. Una simulación de phishinges la forma más concreta de hacerlo: se utilizan correos electrónicos de phishing realistas, pero inofensivos, para poner a prueba cómo reacciona tu personal antes de que lo haga un atacante real.

La verdadera cuestión es cómo organizarlo. Puedes recurrir a un socio que se encargue por completo de las pruebas de phishing, u optar por una solución que gestione tu propia organización. En este artículo analizamos ambas opciones, incluyendo los tres tipos de empresas que pueden ayudarte y los criterios para elegir entre ellas.

¿A qué se dedica una empresa de simulación de phishing?

Una empresa especializada en simulaciones de phishing envía a tus empleados correos electrónicos falsos y controlados que simulan ser de phishing. Los mensajes parecen auténticos, con asuntos urgentes, remitentes falsos y enlaces a páginas de inicio de sesión falsificadas, pero no ocurre nada cuando alguien cae en la trampa. En cambio, se miden los resultados: quién abrió el correo, quién hizo clic y quién introdujo sus credenciales.

Esos resultados muestran en qué aspectos es vulnerable tu organización y, lo que es más importante, constituyen el punto de partida para la formación. Una simulación sin seguimiento no es más que una instantánea. El verdadero valor surge cuando los empleados que han superado la prueba reciben formación específica de sensibilización y cuando la prueba se repite periódicamente para que puedas comprobar si el comportamiento mejora realmente.

También hay un aspecto formal. Si tu organización está sujeta a la normativa NIS2, las simulaciones periódicas, combinadas con la formación, son una de las formas más concretas de demostrar que tu programa de sensibilización existe realmente y no se queda solo en el papel.

Tres tipos de empresas que ofrecen simulaciones de phishing

El mercado se divide, a grandes rasgos, en tres tipos de proveedores. Sus servicios se solapan en parte, pero se diferencian en cuanto a la cantidad de trabajo que te quitan de encima y el grado de control que mantienes tú mismo.

1. Consultores de seguridad

Los consultores orientan a las organizaciones para que mejoren su seguridad de la información en su conjunto. Una simulación de phishing forma parte, por tanto, de un programa más amplio: una evaluación inicial, campañas de sensibilización, políticas y, a menudo, la preparación para obtener certificaciones como la ISO 27001 o el cumplimiento de la normativa NIS2. Una empresa como Fendix trabaja de esta manera, prestando apoyo a las organizaciones en todos los ámbitos de la seguridad de la información y la protección contra el phishing.

Esta opción es ideal para organizaciones que cuentan con pocos conocimientos internos en materia de seguridad, o que se encuentran inmersas en un proceso de cumplimiento normativo o de certificación y desean contar con el asesoramiento de expertos de principio a fin.

2. Socios de TI y proveedores de servicios gestionados

Muchas empresas ya cuentan con un socio de TI de confianza que gestiona sus puestos de trabajo, su red y su entorno de Microsoft 365. Un número cada vez mayor de estos socios ofrece simulaciones de phishing como parte de sus servicios, normalmente como complemento de una plataforma de sensibilización en materia de seguridad. Promo Systems es un ejemplo de socio de TI que combina la gestión diaria de TI con servicios de seguridad.

La ventaja es contar con un único punto de contacto que ya conoce su entorno informático. De este modo, la simulación, el seguimiento y las medidas técnicas relacionadas, como el filtrado de correo electrónico y la autenticación multifactorial, se gestionan de forma integrada.

3. Plataformas de sensibilización en materia de seguridad

La tercera opción es una plataforma que puedes utilizar tú mismo o junto con tu socio de TI. Con Guardey, puedes configurar una simulación realista de phishing en cuestión de minutos, ver exactamente quién hace clic y combinar la prueba con una formación gamificada en concienciación sobre seguridad que mantiene a los empleados motivados semana tras semana.

Esta opción es ideal para organizaciones que desean realizar pruebas de forma continua, en lugar de una vez al año, y que quieren mantener el control sobre los plazos, las plantillas y el seguimiento. Además, es la opción que presenta menos obstáculos para empezar: sin proyectos, sin plazos de preparación, simplemente hay que ponerse en marcha.

¿Tienes curiosidad por saber quién se interesaría por ello en tu organización?

Configura una simulación realista de phishing en cuestión de minutos y observa los resultados en tiempo real. No es necesario facilitar datos de pago.

Prueba Guardey gratis durante 14 días

¿Externalizar la simulación de phishing o hacerla tú mismo?

Externalizar por completo la simulación de phishing, con una prueba puntual realizada por un tercero, te proporciona un punto de referencia. Pero la resiliencia ante el phishing es una cuestión de comportamiento, y el comportamiento solo cambia mediante la repetición. Por eso, la cuestión de la frecuencia es más importante que la de quién la lleva a cabo. Sea cual sea la opción que elijas, asegúrate de que las simulaciones se repitan a lo largo del año y estén vinculadas a la formación.

En la práctica, muchas organizaciones acaban adoptando un modelo híbrido: una plataforma para simulaciones y formación continuas, con un consultor o socio informático que les asesora en materia de políticas, tecnología y el panorama general de la seguridad. Los tres tipos de empresas mencionados anteriormente no son tanto competidores entre sí como complementarios.

Cómo elegir una empresa de simulación de phishing

Independientemente del tipo de proveedor con el que hables, estos son los criterios que distinguen una buena simulación de phishing de un mero trámite para cumplir con los requisitos:

  • Plantillas realistas en tu idioma. Una plantilla estadounidense traducida se nota a la primera. Las simulaciones deben reflejar los correos electrónicos que tu personal recibe realmente, en neerlandés, de remitentes que reconocen.
  • Informar a nivel de equipo, sin señalar ni avergonzar a nadie. El objetivo es aprender, no castigar. Los buenos proveedores informan a nivel de organización y de departamento, y tratan los resultados individuales con delicadeza.
  • Formación vinculada a la prueba. Un empleado que haga clic debería recibir un breve momento de aprendizaje inmediato. Sin ese vínculo, una simulación solo mide, pero no mejora nada.
  • Frecuencia. ¿ Podéis realizar simulaciones fácilmente varias veces al año, con variaciones, o cada prueba supone un nuevo proyecto?
  • Privacidad y comité de empresa. Las simulaciones incluyen datos de los empleados. Comprueba cómo gestiona el proveedor el RGPD y consulta con tu comité de empresa antes de empezar.
  • Informes de cumplimiento. Si te afecta la normativa NIS2 o la norma ISO 27001, querrás poder demostrar que se imparten cursos de sensibilización. Pregunta al proveedor cómo te ayuda a aportar esa prueba.

Simulación de phishing como parte de la oferta de las empresas de ciberseguridad

Las simulaciones de phishing rara vez se llevan a cabo de forma aislada. Las empresas de ciberseguridad suelen ofrecerlas como parte de un paquete más amplio que también incluye pruebas de penetración, supervisión de la seguridad y respuesta ante incidentes. Si tu organización necesita algo más que sensibilización —por ejemplo, porque maneja datos sensibles o está sujeta a la normativa NIS2 como entidad esencial—, tiene sentido considerar ese panorama más amplio.

Lo contrario también es cierto: si el factor humano es tu punto débil, no hace falta que contrates el paquete completo de una empresa de ciberseguridad para empezar. Una simulación de phishing específica, acompañada de formación, aborda la vía de ataque que más utilizan los delincuentes, con un esfuerzo mínimo.

Preguntas más frecuentes

¿Con qué frecuencia se debe realizar una simulación de phishing?

Más de una vez al año. Una sola prueba mide un momento concreto; las simulaciones periódicas, repartidas a lo largo del año con distintos escenarios, modifican realmente el comportamiento y te permiten comprobar si las tasas de clics disminuyen.

¿Está permitida una simulación de phishing según el RGPD?

Sí, siempre y cuando se haga con cuidado. Informa a los empleados en términos generales de que las simulaciones forman parte de tu política de seguridad, involucra al comité de empresa e informa de los resultados a nivel de grupo, en lugar de señalar a personas concretas.

¿Qué ocurre después de que alguien haga clic?

No tiene nada de perjudicial. En un buen sistema, el empleado recibe de inmediato una breve explicación o una sesión formativa. El clic se convierte en una oportunidad de aprendizaje en lugar de en un incidente.

Tanto si acabas trabajando con un consultor, con tu socio de TI o con una plataforma, el primer paso es el mismo: averiguar cuál es tu situación actual. ¿Quieres comparar proveedores primero? Echa un vistazo a nuestro resumen de las mejores herramientas de software de simulación de phishing.

¿No sabes qué opción se adapta mejor a tu organización?

En una demostración de 45 minutos, te mostraremos cómo Guardey combina las simulaciones de phishing con la formación y te daremos consejos sinceros sobre el enfoque que mejor se adapta a tu organización.

Solicita una demostración personalizada
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada