Oferta especial 2024: ¡2 meses de SoSafe gratis con cada suscripción! Saber más.

Un hombre de pelo oscuro que lleva una americana de color claro sonríe mientras mira su ordenador portátil.

Gestión del riesgo humano

¿Con qué frecuencia deberían hacerse las simulaciones de phishing?

16 agosto 2024 · 14 min de lectura

En la era digital actual la tecnología es una parte esencial de nuestra vida cotidiana y la amenaza de los ciberataques es omnipresente. La amenaza más extendida son los ataques de phishing. De acuerdo con nuestro Análisis del riesgo humano 2023, el 80 % de los expertos en ciberseguridad sitúan el phishing entre los mayores riesgos para su organización y sólo en 2022 se denunciaron más de 500 millones de ataques de phishing.

Para combatir esta creciente amenaza, muchas empresas han decidido ampliar las medidas de seguridad convencionales implementando simulaciones de phishing. Estas simulaciones no son meras «pruebas», sino que forman parte de un programa de formación continua. El funcionamiento es el siguiente: los empleados reciben correos electrónicos que simulan ciberataques reales, pero que en realidad no son peligrosos. Lo que se pretende es que los empleados desarrollen sus habilidades para identificar y eludir posibles estafas de phishing.  

Algunas empresas han estado utilizando este tipo de simulaciones con el único fin de identificar «riesgos de seguridad» entre sus empleados, o bien repitiendo siempre el mismo tipo de emails. Sin embargo, este modo de proceder resulta frustrante para los usuarios y es, además, contraproducente. El objetivo final debe ser formar a los empleados. Mediante las simulaciones de phishing, los usuarios no sólo retienen con mayor facilidad los conocimientos adquiridos, sino que desarrollan la capacidad de identificar y reaccionar de forma proactiva e inmediata a las amenazas de ciberseguridad.

Por tanto, si lo que te estás planteando no es si debes implementar las simulaciones de phishing, sino con qué frecuencia debes hacerlo, ya vas por buen camino. Saber marcar los tiempos es fundamental, y en este artículo analizaremos dos aspectos fundamentales: si las simulaciones deben ser recurrentes o limitarse a un periodo determinado y con qué frecuencia deben realizarse: semanal, quincenal, mensual, etc.

Un ordenador portátil que muestra una ventana de navegador abierta con varios elementos de interfaz, como botones y controles deslizantes.

¿Por qué deben hacerse las simulaciones de phishing de manera continua?

Las simulaciones de phishing se han convertido en una pieza clave de los protocolos de ciberseguridad de las principales organizaciones de todo el mundo, especialmente ahora con la constante evolución del panorama de las ciberamenazas. Ahora bien, el criterio sobre cómo implantar esta medida está dividido: mientras que unos opinan que las simulaciones deben formar parte de un programa continuo y evolutivo, otros consideran que son solamente una herramienta pedagógica más para ciertas etapas de los programas de formación en ciberseguridad.

En SoSafe hemos comprobado año tras año el papel crucial de las simulaciones de phishing continuas a la hora de optimizar nuestras estrategias de ciberseguridad. Y no es porque lo digamos nosotros; también lo dice la ciencia del comportamiento. A continuación destacamos algunas de las razones que lo corroboran:

Mejora continua de las habilidades de seguridad

Las simulaciones de phishing son un método eficaz para que los empleados mejoren sus habilidades a la hora de identificar y reaccionar a los intentos de phishing. Cuando se realizan de forma periódica, estas simulaciones ayudan a mantener un nivel alto de concienciación y a reconocer con mayor facilidad las tácticas utilizadas por los ciberdelincuentes. Con el tiempo, los empleados van estando cada vez más capacitados para resolver amenazas reales gracias a la experiencia adquirida en estas simulaciones.

Preparación para las tendencias emergentes

Con la profesionalización de la ciberdelincuencia proliferan los grupos delictivos altamente organizados que se sirven de las tecnologías más avanzadas, como la IA. Estos adversarios son implacables a la hora de buscar vulnerabilidades. Según una reciente investigación del equipo de ingeniería social de SoSafe, las herramientas de IA generativa pueden acelerar la redacción de correos electrónicos de phishing en un 40 % como mínimo, y un 78 % de los usuarios ha abierto correos electrónicos de phishing generados con IA. Mediante un entrenamiento continuo, los empleados se familiarizan con los intentos de phishing tradicionales y se preparan para identificar y eludir ataques más sofisticados que utilizan la IA y otros métodos de manipulación digital.

Incorporación de nuevos empleados

Si las simulaciones de phishing se realizan solo de forma puntual o se pausan durante meses, los trabajadores recién contratados quedarán excluidos de una parte esencial de la formación. Las simulaciones de phishing recurrentes permiten a los nuevos empleados familiarizarse rápidamente con los protocolos de ciberseguridad de la empresa y adquirir los conocimientos fundamentales para reconocer y responder a las amenazas de phishing. Es importante que ellos también participen en estos ejercicios para mantener un nivel adecuado de concienciación en ciberseguridad en toda la organización. De esta manera se evita el riesgo de posibles lagunas de ciberseguridad como consecuencia de la rotación de personal.

Combatir la curva del olvido

El científico Hermann Ebbinghaus descubrió que la información se olvida de forma exponencial si no se repasa o se refuerza, y para explicarlo creó su célebre curva del olvido. Las simulaciones de phishing continuas ayudan a combatir este efecto en las empresas exponiendo a los empleados reiteradamente a ataques de phishing simulados. Esta repetición refuerza la retención de información y les permite, además, poner en práctica y perfeccionar sus habilidades.

Curva del olvido de Ebbinghaus

Implantar una cultura de ciberseguridad

La integración sistemática de simulaciones de phishing contribuye a inculcar la ciberseguridad como una prioridad absoluta. Los empleados están más sensibilizados frente a las actividades en línea y se involucran más a la hora de notificar emails o incidentes sospechosos. Con el tiempo, este cambio de cultura se convierte en una defensa muy eficaz contra los ataques de phishing, puesto que los empleados se implican de forma activa en la seguridad de la organización.

Evaluación de la respuesta a incidentes

Las simulaciones periódicas permiten a los equipos de seguridad identificar los puntos débiles de sus planes de respuesta a incidentes e introducir las mejoras necesarias. Gracias a este enfoque proactivo, la organización está mejor preparada para reaccionar adecuadamente en caso de un ataque real de phishing y para mitigar posibles daños.

Una cita de la Dra. Gundula Zerbes, Digital Learning Expert de SoSafe, que dice: «La concienciación sobre el phishing funciona como un músculo: puedes reforzarla entrenando continuamente tu habilidad para reconocer los emails de phishing. Pero cuando dejas de entrenarla, se debilita igual que tus músculos. Por eso es tan importante simular ataques con regularidad, pero sin abrumar a los empleados con un entrenamiento excesivo».

Mediante una constante exposición, repetición, perfeccionamiento de las habilidades y concienciación a largo plazo, las simulaciones de phishing ayudan a los empleados a retener y aplicar eficazmente sus conocimientos de phishing. Este enfoque proactivo refuerza las defensas de ciberseguridad de las organizaciones y garantiza que los empleados se mantengan alerta frente a los ataques de phishing a largo plazo. Pero todavía queda por resolver la cuestión de la frecuencia.

¿Qué intervalos se recomiendan para las campañas de phishing?

El intervalo recomendado para las campañas de phishing varía en función del tamaño de la organización, el sector, la madurez en materia de ciberseguridad y la evolución del panorama de amenazas. Como pauta general se recomienda realizar campañas de phishing de forma periódica manteniendo un buen equilibrio entre la eficacia de la formación y el interés de los empleados.

En este contexto, los profesionales de la seguridad señalan varios aspectos problemáticos. Por ejemplo, la dificultad de implementar simulaciones de phishing realistas y evitar al mismo tiempo que estas se conviertan en una fuente de agobio y frustración para los empleados. Cuando las simulaciones son demasiado convincentes o muy frecuentes pueden provocar estrés y reducir la productividad, mientras que, si son excesivamente fáciles o muy esporádicas, los empleados no estarán en condiciones de reaccionar adecuadamente a las amenazas reales de phishing. Otro desafío consiste en combatir la resistencia al cambio. Algunos usuarios ven las simulaciones como una molestia o como una obligación innecesaria, lo que repercute en su actitud de cooperación y participación. Y, por último, dado que la privacidad de los datos y el cumplimiento de las normativas son imprescindibles, los responsables de seguridad tienen que realizar comprobaciones periódicas para garantizar que se cumplen las normativas sin comprometer el flujo de trabajo ni la satisfacción de los empleados.

Desde nuestro punto de vista, lo ideal es el envío de un correo electrónico de phishing simulado al mes, recomendación que respaldan también otras entidades de referencia como el Centro de Ciberresiliencia británico (Cyber Resilience Center). Esta cadencia mensual evita que los usuarios se sientan desbordados con un número de emails excesivo, lo que podría derivar en frustración o autocomplacencia, y además, favorece la interiorización de hábitos seguros.

Aunque la lógica induzca a pensar que es mejor aumentar la frecuencia de las simulaciones de phishing, los datos recopilados mediante nuestra plataforma indican que enviar más de tres emails de phishing al mes puede reducir tanto el nivel de participación como la eficacia. Por lo tanto, para obtener unos resultados óptimos de aprendizaje lo ideal es una frecuencia moderada que incluya de una a tres simulaciones al mes. Partiendo de este enfoque, los empleados pueden perfeccionar sus conocimientos y su nivel de concienciación sin sentirse abrumados y, además, fortalecer las defensas de tu empresa frente a los ataques de phishing reales.

Cómo aprovechar al máximo las simulaciones de phishing

Cada vez más empresas toman conciencia del papel fundamental que desempeñan sus empleados a la hora de reforzar las ciberdefensas de su organización, y eso hace que también reconozcan cada vez más la importancia de implantar una formación eficaz y estrategias de simulación de phishing. En este contexto, nuestra guía «Cómo usar las simulaciones de phishing de forma eficaz» proporciona un conjunto de buenas prácticas que han demostrado ser decisivas para proteger a las organizaciones de los riesgos que entrañan los ataques de phishing.

Cómo usar las simulaciones de phishing de forma eficaz

Leer el informe

Aprende a adaptar las simulaciones de phishing a las necesidades específicas de tu empresa.


A continuación enumeramos algunas de las principales recomendaciones recogidas en esta guía sobre las simulaciones de phishing:

  • En lugar de sorprender, avisa: la comunicación antes, durante y después es la clave de cualquier simulación de phishing. Aquí debe incluirse el departamento informático, el centro de asistencia, la junta directiva y, si procede, también el comité de empresa y el departamento de RR. HH. Anunciar la simulación de phishing con antelación es esencial para una experiencia de aprendizaje positiva. Cuando los empleados entienden que el objetivo de la simulación es construir una cultura de seguridad más sólida y proteger a la organización de los ataques, se identifican más con el contenido y están más receptivos al aprendizaje.
  • En lugar de ponerles a prueba, entrénales: la culpabilización puede reducir la voluntad de los empleados de aprender e involucrarse. Si, por el contrario, las simulaciones se llevan a cabo de forma anónima y sin registrar ni analizar datos de comportamiento individual, su efecto es más eficaz y sostenible. Al anunciar una simulación es muy importante recalcar que no se trata de un examen para que los usuarios no se sientan vigilados y confíen en que podrán completar la simulación de phishing a su propio ritmo y lo mejor que puedan.
  • En lugar de usar material anticuado, actualízalo: los intentos de phishing simulados deben reflejar fielmente los tipos de correos electrónicos de phishing que circulan en la actualidad. Utiliza simulaciones actualizadas que reproduzcan situaciones con las que posiblemente tengan que lidiar los usuarios en la realidad.
  • En lugar de inducir temor, estimula el aprendizaje: enriquece la simulación de phishing con contenidos educativos relacionados, por ejemplo, con módulos del e-learning que entrenen a tus empleados a tener conductas seguras en la vida cotidiana o páginas de aprendizaje para los empleados después de que hagan clic en un email de la simulación de phishing. Si hacer clic en un email de phishing simulado no conlleva ninguna consecuencia ni se le ofrece al usuario contenido educativo tras haberlo hecho, difícilmente distinguirán si se trata de una simulación o de un ataque real. Esto puede derivar en más trabajo para el equipo de informática, además de reducir la efectividad del aprendizaje.

Implementar estas buenas prácticas es más que una medida de seguridad. Es una inversión en la resiliencia de tu organización frente a las amenazas de phishing y una apuesta segura para fomentar la concienciación en ciberseguridad de tus empleados.

Qué hacer entre las campañas de phishing

Los períodos entre las campañas de phishing son una excelente oportunidad para las empresas de fortalecer sus defensas de ciberseguridad y de cultivar una cultura de seguridad aún más sólida entre sus empleados. Estos intervalos no deben verse como pausas de inactividad, sino como ventanas de oportunidad para evaluar, formar y mejorar las habilidades de los empleados. Aquí te dejamos algunas ideas sobre lo que puedes hacer entre una campaña de phishing y la siguiente para maximizar su eficacia:

Infografía titulada «Qué hacer entre las campañas de phishing» que enumera cuatro consejos para empresas.
  • Recopila información detallada: un análisis a fondo de los informes generados a partir de las simulaciones de phishing te permitirá reconocer con más claridad la situación actual de tu organización en materia de ciberseguridad. Por ejemplo, si el departamento de marketing tiene un mayor porcentaje de clics para un tipo específico de email de phishing, puedes adaptar la formación para mejorar su capacidad de reconocer y combatir esa amenaza en concreto. Así podrás elaborar un plan de defensa a medida basándote en las vulnerabilidades observadas y aplicando selectivamente los módulos más importantes para mejorar la resiliencia de tu equipo.
  • Adáptate a las necesidades de cada empleado: por un lado, la formación básica debe abarcar métodos de prevención estándar, como comprobar la procedencia del email y una minuciosa verificación del mismo. Por otro lado, es igual de importante incidir puntualmente en vulnerabilidades específicas de determinados usuarios. Esto significa llevar a cabo campañas diferenciadas y centradas en los puntos débiles identificados. Las sesiones de formación deberían complementarse con simulaciones de phishing periódicas para garantizar un progreso tangible y conseguir que todo el conjunto de usuarios se mantenga alerta y esté al corriente de novedades importantes.
  • Proporciona formación continua: mantener a tu equipo bien informado sobre las últimas tácticas, técnicas y procedimientos de phishing es fundamental. Las integraciones de MS Teams como Sofie Rapid Awareness agilizan este proceso, ya que permiten enviar rápidamente a los usuarios notificaciones sobre novedades y actualizaciones importantes en la empresa.
  • Comparte experiencias: establece foros internos donde los empleados puedan compartir abiertamente sus experiencias personales y sus puntos de vista sobre los intentos de phishing. Cultiva una cultura que fomente y acepte el aviso de correos electrónicos o incidentes sospechosos. En este círculo, los empleados pueden plantear cualquier duda relacionada con problemas de seguridad sin temer repercusiones, lo que se traduce en una mayor resiliencia digital de la organización.

Las actividades que se realizan entre las campañas de simulación de phishing influyen de forma decisiva en la capacidad de una organización para afrontar las ciberamenazas. Las empresas deben aprovechar este momento para reforzar sus defensas, extraer conclusiones de experiencias anteriores y asegurarse de que sus empleados tienen la información, el compromiso y las habilidades necesarias para protegerse eficazmente los ataques de phishing.

Cómo puede ayudarte SoSafe a implementar tus campañas de phishing

En SoSafe estamos comprometidos a liderar la vanguardia de la ciberseguridad, así que alineamos nuestro contenido con las últimas tendencias en phishing e incorporamos continuamente nuestros últimos datos y las tácticas más recientes empleadas por los ciberdelincuentes. Las simulaciones de phishing de SoSafe proporcionan en tiempo real la preparación que las organizaciones necesitan para luchar eficazmente contra las ciberamenazas actuales. Además, ayudan a inculcar hábitos seguros mediante un aprendizaje implícito y contextual, e incluyen páginas de aprendizaje elaboradas por especialistas en pedagogía que ofrecen experiencias de aprendizaje personalizadas para mejorar las defensas digitales. Tal y como muestra nuestro Análisis del riesgo humano 2023, la combinación de aprendizaje en línea gamificado, simulaciones de phishing y herramientas de aviso de incidentes eleva el porcentaje de aviso de phishing en hasta un 80 % y reduce al mínimo el riesgo digital de tu organización.

Interesándote por nuestras simulaciones de phishing o por nuestra plataforma integral de concienciación en ciberseguridad ya estás demostrando que estás decidido a dar el paso hacia una estrategia digital más sólida. Solicita una demostración y uno de nuestros expertos en seguridad te mostrará cómo nuestra plataforma puede ser un valioso recurso que te ayude a luchar contra las ciberamenazas y a mejorar la seguridad de de tu organización.

¿Quieres saber lo último en ciberseguridad?

Suscríbete a nuestra newsletter para recibir los artículos, eventos y recursos más recientes sobre ciberseguridad. No recibirás spam, solo contenido relevante.

Newsletter visual

Oferta especial 2024:
¡2 meses de SoSafe gratis con cada suscripción!

¿Quieres implantar una cultura de seguridad sólida en tu empresa y gestionar eficazmente los riesgos humanos? Si te suscribes en 2024, SoSafe te regalará 2 meses adicionales. Benefíciate de una plataforma completa y de alto rendimiento diseñada para implicar a tus empleados y ahorrar tiempo.

Saber más
Excited Man surrounded by a laptop and icons

Solicita una demo

Descubre cómo nuestra plataforma puede enseñar a tu equipo a protegerse de las ciberamenazas y mantener segura a tu organización. Solicitar una demo y uno de nuestros expertos contactará contigo pronto.