Login Probar gratis
Cómo hacer un simulacro de phishing en tu empresa para formar a empleados

Cómo hacer un simulacro de phishing en tu empresa para formar a empleados

por MataSpam Phishing y Estafas

Un simulacro de phishing bien ejecutado es la forma más eficaz de medir —y mejorar— la resistencia de tu equipo frente a ataques de ingeniería social. No se trata de pillar a nadie con las manos en la masa, sino de convertir cada clic erróneo en una lección práctica. Si tu empresa no ha hecho nunca un test de phishing empresa, estás volando a ciegas: no sabes cuántos de tus empleados entregarían sus credenciales a un atacante real. La formación phishing teórica está bien, pero sin práctica se olvida en dos semanas. La concienciación empleados necesita fricción real, controlada y medible. Montar una campaña phishing interna no requiere un presupuesto millonario ni un equipo de hackers: requiere método, transparencia y ganas de mejorar.

Por qué los simulacros funcionan mejor que las charlas

Las formaciones en PowerPoint tienen un problema: el cerebro las archiva junto a la normativa de prevención de riesgos laborales. Un simulacro de phishing activa la memoria emocional. Cuando alguien hace clic en un enlace falso y ve la pantalla de "has picado", ese momento se graba a fuego.

Según los informes Verizon DBIR de los últimos años, el phishing se mantiene como vector de entrada en más del 30% de las brechas de seguridad confirmadas. Las organizaciones que realizan campañas de phishing internas de forma periódica reducen su tasa de clics en correos maliciosos de forma sostenida tras tres o cuatro rondas. No hace falta inventar cifras mágicas: la tendencia es clara y consistente en todos los estudios del sector.

El test de phishing empresa también sirve para identificar departamentos más vulnerables. Finanzas, recursos humanos y atención al cliente suelen ser los que más correos abren sin verificar, porque su trabajo consiste precisamente en atender solicitudes externas. Y eso los atacantes lo saben perfectamente — como explicamos en nuestro artículo sobre qué es el spear phishing y por qué resulta más peligroso que el phishing genérico.

Cómo montar tu primera campaña paso a paso

1. Define objetivos y métricas

Antes de enviar nada, decide qué quieres medir. Las métricas habituales son:

  • Tasa de apertura: porcentaje de empleados que abren el correo.
  • Tasa de clic: porcentaje que hace clic en el enlace o adjunto.
  • Tasa de envío de credenciales: los que rellenan el formulario falso.
  • Tasa de reporte: los que denuncian el correo al equipo de IT o seguridad.

La tasa de reporte es la más valiosa. Un clic erróneo se puede contener; lo que mata es que nadie avise.

2. Elige tu herramienta

Hay opciones para todos los presupuestos:

HerramientaTipoIdeal para
GoPhishOpen source, self-hostedEquipos técnicos con servidor propio
KnowBe4SaaS comercialEmpresas medianas-grandes con presupuesto
Cofense PhishMeSaaS comercialIntegración con SOC y respuesta a incidentes
King PhisherOpen sourcePentesters y red teams
Lucy SecuritySaaS / on-premiseEmpresas europeas (cumplimiento RGPD)

GoPhish es la opción más popular para empezar. Es gratuita, se instala en cualquier servidor Linux y tiene una interfaz web decente para gestionar campañas. Si tu empresa ya tiene infraestructura, puedes tenerla operativa en una tarde.

3. Diseña los correos trampa

Aquí viene la parte divertida. Un buen simulacro de phishing debe imitar lo que haría un atacante real. Algunos escenarios que funcionan bien:

  • Factura pendiente: "Tienes una factura de 3.200 € sin pagar. Revísala aquí." Especialmente eficaz con el departamento financiero.
  • Cambio de contraseña obligatorio: "Tu contraseña de Microsoft 365 caduca en 24 horas." El clásico que nunca falla.
  • Paquete en espera: "Tu envío de Amazon está retenido en aduanas." Funciona mejor en época de compras.
  • Mensaje del CEO: "Necesito que revises este documento antes de la reunión de mañana." El whale phishing o fraude del CEO sigue siendo devastador.

Un consejo: no hagas los correos demasiado fáciles de detectar. Si pones faltas de ortografía obvias y un remitente absurdo, no estarás midiendo la vulnerabilidad real. Los atacantes profesionales ya no cometen esos errores.

4. Segmenta y planifica el envío

No lances todo a la vez. Divide a los empleados en grupos y escalona los envíos durante varios días. Si envías 500 correos idénticos a las 9:00 de un lunes, alguien avisará y el resto ya estará sobre aviso. Los atacantes reales también escalonan: imítalos.

Adapta los escenarios por departamento. A RRHH envíale un CV falso con enlace. A contabilidad, una factura. A dirección, una convocatoria urgente del consejo. La concienciación de empleados funciona mejor cuando el señuelo es relevante para su trabajo diario.

5. La landing page

Cuando alguien haga clic, no le lleves a una página en blanco. Muestra una página educativa inmediata que explique:

  1. Que era un ejercicio interno de formación en phishing.
  2. Qué señales debería haber detectado en el correo.
  3. Qué hacer si recibe un correo similar de verdad (spoiler: reportar, no borrar).
  4. Un enlace a recursos de formación adicionales.

Este momento de "revelación" inmediata es donde ocurre el aprendizaje real. Si simplemente recoges datos y no das feedback, el simulacro pierde la mayor parte de su valor formativo.

Errores que arruinan un simulacro (y cómo evitarlos)

Usar el simulacro como arma punitiva. Si los empleados que pican reciben una bronca, dejarán de reportar correos sospechosos por miedo. La próxima vez que reciban un phishing real, lo borrarán en silencio en vez de avisar. Exactamente lo contrario de lo que quieres.

No avisar a dirección ni a RRHH. El simulacro debe contar con el respaldo de la dirección y del departamento legal. En España, la Agencia Española de Protección de Datos (AEPD) considera que este tipo de ejercicios son legítimos siempre que se enmarquen en la política de seguridad de la empresa, pero conviene tener documentación que lo respalde. Consulta con tu DPO antes de lanzar.

Hacerlo solo una vez. Un test de phishing empresa aislado es una foto fija. Para que la formación en phishing funcione, necesitas repetir los ejercicios cada trimestre con escenarios diferentes. Los atacantes no descansan y las técnicas evolucionan — basta con ver la cronología de ciberataques en España para comprobarlo.

Ignorar al equipo técnico. Los administradores de sistemas y el equipo de IT también pican. De hecho, a veces más, porque confían en que "a ellos no les van a engañar". Incluye a todos sin excepciones.

Qué hacer con los resultados

Los datos del simulacro son material de primera para tu estrategia de seguridad. Organiza los resultados por departamento, antigüedad y tipo de escenario. Busca patrones:

  • ¿Hay un departamento que siempre pica más? Refuerza la formación allí.
  • ¿Los nuevos empleados son más vulnerables? Incorpora el simulacro de phishing al proceso de onboarding.
  • ¿Cierto tipo de correo (urgencia, autoridad, curiosidad) funciona mejor como cebo? Centra la formación en ese vector.

Comparte los resultados agregados con toda la empresa. Sin nombres, sin señalar a nadie. Frases como "el 40% de nosotros hicimos clic en el escenario de factura falsa" generan conversación y conciencia colectiva. Y si alguien cae en un phishing real después del simulacro, que sepa exactamente qué pasos urgentes seguir para minimizar el daño.

Genera un informe para dirección con la evolución trimestral. Los CISO que presentan datos de mejora progresiva tienen mucha más facilidad para justificar inversión en seguridad que los que solo hablan de amenazas abstractas.

El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD permiten este tipo de ejercicios dentro del interés legítimo de la empresa en proteger sus sistemas. Pero hay matices:

  • Documenta el ejercicio como parte de tu política de seguridad de la información.
  • No almacenes datos personales innecesarios. La IP del empleado que hizo clic puede ser dato personal.
  • Informa previamente (puede ser de forma genérica en la política de seguridad) de que se realizan este tipo de ejercicios. No hace falta avisar de la fecha exacta, obviamente.
  • El Esquema Nacional de Seguridad (ENS), obligatorio para la administración pública y sus proveedores, ya contempla la concienciación de empleados como medida de seguridad.

Si trabajas con una empresa de ciberseguridad externa para los simulacros, asegúrate de firmar un contrato de encargado de tratamiento. Si usas herramientas SaaS fuera de la UE, verifica que cumplan con las garantías de transferencia internacional de datos.

Preguntas frecuentes

¿Es legal hacer un simulacro de phishing a los empleados sin avisarles?

Sí, siempre que esté documentado en la política de seguridad de la empresa y se haya informado de forma genérica de que se realizan este tipo de ejercicios. La AEPD lo considera dentro del interés legítimo del responsable de tratamiento. Lo que no puedes hacer es usar los resultados individuales para sancionar a empleados.

¿Con qué frecuencia debo repetir las campañas de phishing interno?

Lo recomendable es al menos una vez por trimestre, variando los escenarios. Las organizaciones con mayor nivel de madurez en seguridad realizan simulacros mensuales con diferentes niveles de dificultad. La clave es la regularidad, no la intensidad.

¿Qué herramienta gratuita es mejor para empezar con simulacros de phishing?

GoPhish es la referencia. Es open source, se despliega en cualquier servidor Linux, tiene plantillas predefinidas y genera informes detallados. Para una PYME con alguien técnico en el equipo, es más que suficiente para los primeros simulacros.

¿Qué tasa de clic es "normal" en un primer simulacro?

En organizaciones sin formación previa, las tasas de clic en el primer test de phishing oscilan entre el 20% y el 40%, según la complejidad del escenario y el sector. No te preocupes si es alta: para eso estás haciendo el ejercicio. Lo que importa es que baje con el tiempo.

¿Puedo incluir archivos adjuntos maliciosos en el simulacro?

Puedes usar adjuntos inofensivos que registren la apertura (como documentos con macros que simplemente notifican al servidor), pero nunca uses malware real ni exploits funcionales. Herramientas como GoPhish permiten trackear la apertura de adjuntos sin necesidad de código malicioso.

El siguiente paso

Instala GoPhish en un servidor de pruebas esta semana. Configura un escenario sencillo — el clásico "tu contraseña va a caducar" — y lánzalo a un grupo reducido de voluntarios de IT para validar que todo funciona antes de escalar al resto de la empresa. En menos de dos horas tendrás tu primera campaña operativa y datos reales sobre los que trabajar.

simulacro phishing test phishing empresa formación phishing concienciación empleados campaña phishing interna
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Estafas románticas por email: cuando el amor online es un fraude
Phishing y Estafas

Estafas románticas por email: cuando el amor online es un fraude

Las estafas de WhatsApp más comunes en 2026 y cómo evitarlas
Phishing y Estafas

Las estafas de WhatsApp más comunes en 2026 y cómo evitarlas

Clone phishing: cuando los hackers duplican emails legítimos para estafarte
Phishing y Estafas

Clone phishing: cuando los hackers duplican emails legítimos para estafarte

← Volver al blog