A goldfish wearing a shark's fin that protrudes past the surface of the water
Security Operations

Simulación de phishing: ¿fundamental o una tontería?

Los debates sobre la eficacia de las simulaciones de phishing están muy extendidos. Sophos X-Ops analiza los argumentos a favor y en contra, así como nuestra propia filosofía sobre el phishing
Escrito por
5 noviembre 2025
Security Operations featured formación Phishing Sophos X-Ops

Sobre el papel, parece muy sencillo: te preparas para la realidad mediante simulaciones. Después de todo, el mismo principio se aplica a innumerables disciplinas: deportes, ejército, transporte, preparación para crisis y muchas más. Y, por supuesto, a diversos aspectos de la ciberseguridad, como los equipos rojos, los equipos morados, los concursos Capture-The-Flag (CTF) y los ejercicios de simulación. ¿Es diferente el phishing?

La respuesta: no, al menos en teoría. Todo se reduce a la ejecución, y hemos visto varios errores que cometen las organizaciones al implementar la formación sobre phishing. Cuatro de los más comunes, según nuestra experiencia, son:

  • Convertir las simulaciones de phishing en un ejercicio de cumplimiento normativo, sin prestar mucha atención al diseño de las campañas, la calidad de los señuelos o la cadencia de las simulaciones, lo que significa que las campañas de formación no se parecen mucho a los ataques reales y los usuarios pueden cansarse.

  • Sesgar los resultados haciendo que las simulaciones de phishing sean «injustas», traspasando los límites éticos y causando estrés e incertidumbre a los usuarios con tácticas intimidatorias diseñadas para engañarlos. Por ejemplo: enviar correos electrónicos a través de un dominio corporativo legítimo, utilizar pretextos relacionados con dificultades financieras y seguridad laboral o basar los correos electrónicos de phishing en información personal extraída de las redes sociales. Aunque reconocemos que los actores maliciosos pueden utilizar algunos o todos estos métodos en el mundo real, lo cierto es que las organizaciones que hacen esto a sus propios empleados se arriesgan a sufrir reacciones adversas, pérdida de confianza y erosión de la cultura empresarial que superan cualquier beneficio potencial.

  • Castigar a los usuarios que «suspenden» las pruebas de phishing, ya sea imponiendo una formación obligatoria extremadamente aburrida, «señalándolos y avergonzándolos» o aplicando medidas disciplinarias. Esto puede generar resentimiento entre los usuarios y hacer que se muestren menos dispuestos a participar en la formación sobre phishing y otras iniciativas de seguridad en el futuro

  • Centrarse en el fracaso en lugar de en el éxito: hablaremos de esto más adelante, ya que es fundamental para la forma en que realizamos las simulaciones de phishing internamente en Sophos

¿Amigo o enemigo?

Estas cuestiones, y algunas otras, han surgido una y otra vez en los debates sobre la eficacia de la formación sobre phishing.

Los defensores de la formación sobre phishing alaban su supuesta eficacia, especialmente cuando se combina con la formación en concienciación, para aumentar las tasas de retención del aprendizaje y el retorno de la inversión. Algunos argumentan que el phishing simulado ayuda a entrenar los instintos de los usuarios, obligándolos a cuestionar si los correos electrónicos pueden ser maliciosos; otros señalan la reducción del riesgo, la rentabilidad (frente al coste de una infracción real) y el desarrollo de una cultura de «la seguridad es lo primero».

Por otro lado, además de los inconvenientes que hemos mencionado anteriormente, los detractores argumentan que las simulaciones de phishing pueden no reducir el riesgo en absoluto, o solo en una cantidad minúscula.

Dos estudios recientes, uno de 2021 y otro de 2025, en los que participaron miles de personas, sugieren que las simulaciones de phishing solo tienen un efecto muy pequeño en la probabilidad de caer en una trampa de phishing. El estudio de 2025 también concluye que la formación anual en materia de sensibilización no supone una diferencia significativa en cuanto a la susceptibilidad, y que los empleados que suspenden las simulaciones de phishing tienden a no participar en los materiales de formación posteriores. Además, ambos estudios indican que, contrariamente a lo que cabría esperar, la formación podría hacer que los usuarios fueran más susceptibles a los intentos de phishing, posiblemente debido al cansancio o al exceso de confianza (es decir, al dar por sentado que su organización ha invertido en ciberseguridad, los usuarios pueden bajar la guardia).

Cabe señalar que el estudio de 2025 tiene algunas salvedades; como señala Ross Lazerowitz, de Mirage Security, solo se centra en las tasas de clics, utiliza participantes de una sola organización de un sector y no tiene en cuenta el diseño y la calidad de la formación.

No obstante, parece claro que, si se diseñan y ejecutan de forma incorrecta, las simulaciones de phishing pueden, en el mejor de los casos, no tener ningún efecto, en cuyo caso son una pérdida de tiempo, esfuerzo y dinero. En el peor de los casos, pueden incluso ser contraproducentes, por muy bienintencionadas que sean.

Entonces, ¿cuál es la solución? ¿Son las simulaciones de phishing, como muchas otras cosas en ciberseguridad, un problema difícil que es demasiado complicado de resolver?

Es obvio que no podemos ignorar el problema, porque el phishing suele ser el punto de entrada más frecuente para los ciberataques: los atacantes saben que funciona, es barato y fácil (y se volverá más barato y fácil con la IA generativa) y, a menudo, es la forma más sencilla de ganar terreno. Entonces, ¿sería mejor que tu organización invirtiera en controles de correo electrónico adicionales o mejores, o en más paquetes de aprendizaje electrónico y formación de concienciación? ¿Es inútil el phishing falso?

Nuestra filosofía sobre el phishing

En Sophos, no lo creemos así. Llevamos realizando simulaciones internas de phishing desde 2019, basadas en escenarios que revisamos anualmente y teniendo en cuenta los cambios y las tendencias que hemos observado en el panorama de las amenazas. No nos hacemos ilusiones de que estas simulaciones por sí solas eliminen el riesgo de un ataque con éxito (véase aquí una ilustración).

Pero seguimos pensando que los ejercicios de phishing merecen la pena, y aquí está el motivo: no medimos por el fracaso. Medimos por el éxito.

Contar los clics no sirve de nada

Las tasas de clics (el porcentaje de destinatarios que hicieron clic en un enlace de phishing falso) no son especialmente informativas ni útiles, porque sabemos, por muchos incidentes y décadas de experiencia, que solo hace falta que un usuario haga clic en un enlace, introduzca algunas credenciales o ejecute un script para que el atacante pueda entrar.

Sí, las organizaciones siguen necesitando reforzar continuamente su resistencia a los errores humanos, pero medir por el fracaso enmarca a los usuarios como un problema, no como un activo. También proporciona una falsa sensación de seguridad. Es muy improbable que llegues a una tasa de clics del 0 %, o incluso a algo que se acerque a eso, y desde luego no podrás mantenerla a lo largo del tiempo. Por lo tanto, pasar de una tasa de clics del 30 % al 20 %, por ejemplo, o incluso al 10 %, puede parecer impresionante y suponer un pequeño avance, pero en realidad no significa gran cosa. Y lo que es más importante, tampoco te ayuda a prepararte para un ataque real.

En cambio, nuestra métrica clave en Sophos es el número de usuarios que denuncian los correos electrónicos de phishing. Hemos hecho que esto sea muy fácil para los usuarios, con un botón de denuncia sencillo, grande y muy visible en nuestro cliente de correo electrónico que reenvía automáticamente el correo electrónico en cuestión a nuestros equipos de seguridad. (Recordatorio para los usuarios de Sophos Email: tenéis a vuestra disposición esta función también. Los usuarios también pueden utilizar el complemento de Outlook para enviar correos electrónicos sospechosos a SophosLabs para su análisis). Esto evita que los usuarios tengan que reenviar los correos electrónicos ellos mismos, hacer capturas de pantalla o descargar el mensaje y enviarlo como archivo adjunto al equipo de seguridad junto con una introducción.

Informar es cumplir con tu deber

Una de las razones por las que damos más importancia a los informes que a los clics es que, en un ataque real, el número de usuarios que han hecho clic en un enlace es en gran medida irrelevante, al menos en las primeras fases del incidente. Es algo que no sabrás hasta que alguien informe del correo electrónico o hasta que detectes una actividad sospechosa en otro lugar y la investigues, momento en el que, por supuesto, el atacante ya habrá entrado.

Por el contrario, los informes son una fuente muy personalizada de información útil sobre amenazas. Los correos electrónicos de phishing rara vez se personalizan y dirigen a una sola persona. Incluso si son únicos, la infraestructura que hay detrás de ellos (C2, alojamiento, etc.) no suele serlo.

Así, cuando un usuario denuncia un correo electrónico sospechoso, el equipo de seguridad puede clasificarlo inmediatamente y seguir un proceso establecido, idealmente automatizado, que implica detonar archivos adjuntos, buscar IOC, rastrear visitas a sitios de recopilación de credenciales, buscar amenazas en toda la propiedad, bloquear dominios maliciosos y recuperar los correos electrónicos enviados a otros usuarios.

También medimos la velocidad de los informes, porque eso también es fundamental. Un ataque de phishing es una carrera contra el tiempo. Si un atacante convence a un usuario para que introduzca sus credenciales, descargue un archivo o ejecute un script, puede obtener rápidamente un punto de apoyo en el entorno. Cuanto más rápido informe un usuario de un correo electrónico de phishing, más tiempo tendrá el equipo de seguridad para expulsar al atacante y menos tiempo tendrá este para afianzarse.

Cambiar la dinámica

Por supuesto, no queremos que los usuarios hagan clic en los enlaces de los correos electrónicos de phishing, pero tampoco queremos que simplemente borren el correo electrónico, lo muevan a su carpeta de correo no deseado o lo ignoren por completo, porque eso nos retrasa. No podemos responder a una amenaza si no sabemos de su existencia.

Por lo tanto, las tasas de denuncia cambian la dinámica tradicional en lo que respecta a las simulaciones de phishing.

En lugar de felicitar a las personas por algo que no hicieron (es decir, hacer clic en el enlace, interactuar con el correo electrónico) o, peor aún, castigarlas por hacer clic en un enlace, las felicitamos por algo que hicieron. Se trata de ofrecer un incentivo para que se adopte una actitud positiva, en lugar de una negativa o neutra, y de empoderar a los usuarios para que sean una línea de defensa crucial, en lugar de tratarlos como el «eslabón más débil».

Así, las simulaciones de phishing dejan de centrarse en intentar pillar a los usuarios y engañarlos para que hagan clic en los enlaces, y se centran más en enseñarles a recordar que deben pulsar el botón «Informar». Nos gusta plantearlo de esta manera: no estamos tratando de engañar a nuestro personal. Estamos jugando a un juego para ayudarles a refrescar la memoria y reforzar la mentalidad de informar.

Por supuesto, algunos usuarios inevitablemente hacen clic en los enlaces de las simulaciones de phishing. Cuando lo hacen, Sophos no les reprende. En cambio, reciben un correo electrónico que les informa de lo que ha sucedido, les recuerda el procedimiento para informar de correos electrónicos sospechosos y les remite a recursos educativos internos sobre phishing. Los usuarios que informan de un intento de phishing simulado reciben un correo electrónico idéntico, solo que con un asunto diferente, para mantener la positividad y reforzar la notificación rápida y proactiva.

Phoolproof phake phishing

Hemos recopilado algunos consejos que las organizaciones deben tener en cuenta a la hora de planificar simulaciones de phishing:

  • Encontrar la cadencia adecuada. Semanalmente es demasiado, anualmente no es suficiente. Es posible que tengas que experimentar con diferentes intervalos para encontrar el punto óptimo entre la fatiga de los usuarios y la falta de retención. Solicitar comentarios a los usuarios y a tus equipos de seguridad, y comparar las métricas de las diferentes campañas de simulación, te ayudará.

  • Los pretextos deben ser realistas, pero no irrazonables. Todos sabemos que, en el mundo real, los actores maliciosos suelen carecer de cualquier tipo de restricción ética y no dudan en utilizar señuelos crueles y manipuladores. Pero nosotros no somos actores maliciosos. Los pretextos deben incorporar tácticas comunes de ingeniería social (apelaciones a la urgencia, incentivos, etc.) sin el riesgo de alienar al personal y perder su confianza. Basar los señuelos en dificultades o en la seguridad laboral, por ejemplo, puede hacer que los usuarios se desvinculen de la cultura de la empresa y de las iniciativas de seguridad, lo que es un mal resultado, ya que los usuarios son un activo muy importante

  • El objetivo es reforzar los comportamientos positivos, no pillar a la gente. Crear una campaña que engañe a un número récord de usuarios no es una victoria. Los objetivos son capacitar a los usuarios para que sean una línea de defensa crítica y recordarles qué hacer cuando detecten algo sospechoso. Una formación bien diseñada sobre concienciación sobre el phishing, junto con simulaciones, puede ayudar a los usuarios a saber a qué deben prestar atención

  • Dar prioridad a los informes (y a la rapidez de los mismos) sobre los clics. Medir e incentivar el éxito en lugar del fracaso. Según lo anterior, el objetivo es conseguir que los usuarios reaccionen denunciando, ya que, en un ataque real, esto proporciona información útil sobre la amenaza y la mejor oportunidad de interceptar al autor de la amenaza de forma temprana. Contar los clics (y castigar a los usuarios que hacen clic) puede ser contraproducente, incluso si la intención es buena, ya que presenta a los usuarios como un punto débil, puede desmotivarlos y proporciona poca información útil

  • Mira más allá del clic. Por supuesto, es posible que sigas registrando los clics, pero recuerda registrar también lo que ocurre a continuación, ya que hay más matices en la cuestión. Como dice Ross Lazerowitz, otros comportamientos son igualmente críticos. ¿Alguien hizo clic y luego informó después de darse cuenta de que algo no iba bien? ¿Quizás no hicieron clic, pero más tarde visitaron el sitio web en un navegador por curiosidad? Si el enlace del correo electrónico conducía a un sitio simulado de recopilación de credenciales, ¿introdujeron alguna credencial? Como anécdota, algunos pentesters han informado de que algunos usuarios introducen deliberadamente credenciales falsas, a veces en forma de mensajes insultantes dirigidos al «actor de la amenaza». En sentido estricto, estos podrían considerarse «fallos», aunque esos usuarios reconocieran claramente el intento de phishing, pero solo se necesitaba un pequeño empujón conductual para que denunciaran el correo electrónico de la forma correcta.

  • No hacer nada no ayuda a nadie. Podrías pensar que el hecho de que los usuarios no interactúen con un correo electrónico de phishing es un buen resultado, porque significa que no han hecho clic. Pero eso no ayudará en caso de un ataque real, porque no sabrás nada de la amenaza hasta que alguien haga clic y, posteriormente, obtengas una indicación de actividad sospechosa en algún otro lugar de tu propiedad. En ese momento, estarás jugando a ponerte al día mientras el actor malicioso se ha afianzado; la oportunidad de ir un paso por delante ya se ha perdido.

  • Complementa las simulaciones con nuevas formas de aprendizaje. En Sophos, intentamos ser transparentes a la hora de hablar de los ataques de phishing dirigidos contra nosotros. Un artículo reciente y un análisis público de las causas fundamentales (RCA) trataron uno de estos casos, pero antes de hacerlo público, celebramos un webinar interno, abierto a toda la empresa, en el que nuestro equipo de seguridad discutió el incidente, por qué ocurrió y qué hicimos al respecto. Observamos una amplia participación positiva en este webinar y un gran interés por parte de los usuarios en conocer cómo funcionaba el ataque y cómo lo detuvimos, lo que lo convirtió en un excelente complemento de nuestras simulaciones de phishing y nuestra formación periódica en materia de concienciación. También ayuda a eliminar parte del estigma que rodea al phishing. Nadie quiere caer en la trampa de un correo electrónico de phishing, sea simulado o no, pero aceptar que la gente lo haga y aprender de las consecuencias sin culpar a nadie es un ejercicio valioso

  • No solo para los usuarios finales. Las simulaciones de phishing pueden ser útiles en sí mismas, pero también brindan a los equipos de seguridad la oportunidad de perfeccionar sus procedimientos de respuesta. Desde el primer informe positivo, puedes repasar lo que harías si el correo electrónico de phishing fuera real: detonar archivos adjuntos, encontrar y bloquear infraestructura, categorizar y bloquear IOC, recuperar correos electrónicos de las bandejas de entrada de otros usuarios, etc. También puede ser una buena oportunidad para probar la automatización de estos pasos.

  • Incluir a todo el mundo (dentro de lo razonable). Lo ideal es que en las simulaciones de phishing participen todos los equipos, departamentos y niveles jerárquicos, o una muestra aleatoria de usuarios de toda la organización. Esto ayuda a obtener una imagen representativa.

  • Crear sistemas tolerantes al error humano. Se trata más de una estrategia que de un objetivo, pero es importante reconocer que cualquier control de seguridad que dependa del comportamiento humano es intrínsecamente débil. En cualquier entorno moderno y acelerado, inevitablemente pasamos mucho tiempo en nuestro modo de pensamiento «Sistema 1». El diseño de los controles debe aceptar eso, no combatirlo. Hemos avanzado mucho en este sentido: las descargas automáticas de 0 días y 0 clics son excepcionalmente raras. Existe la autenticación multifactorial (MFA) resistente al phishing y, posiblemente, esté a punto de adoptarse de forma masiva. El tiempo dedicado a gestionar las evaluaciones de phishing es tiempo que podría dedicarse a reforzar controles técnicos más sólidos y fiables.

Conclusión

El phishing no va a desaparecer. De hecho, la IA generativa puede convertirlo en una amenaza aún mayor, ya que los atacantes pueden utilizarla para superar los signos reveladores tradicionales: errores ortográficos, gramaticales y de formato. Por lo tanto, es cada vez más importante que utilicemos todas las herramientas a nuestra disposición para defendernos de él.

Por supuesto, la IA también está disponible para los defensores, pero también reconocemos que los seres humanos son uno de nuestros activos más poderosos en lo que respecta a la defensa. Las personas captan las señales y el contexto, tanto consciente como inconscientemente, y a menudo pueden sentir cuando algo no está del todo bien en un correo electrónico.

Si se diseñan, ejecutan, utilizan y evalúan de la manera adecuada, las simulaciones periódicas de phishing pueden ayudar a desarrollar aún más esas habilidades, proporcionar una fuente de información ya preparada en caso de ataque y mejorar la cultura de seguridad, lo que aumenta las posibilidades de poder frustrar el próximo intento real.

Acerca del autor

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *