Simulaciones de phishing en pymes: ¿útil o pérdida de tiempo?

Cada vez más pymes envían correos de phishing falsos a su propio equipo. ¿Realmente funciona, y cómo lo pones en marcha sin dañar el ambiente de trabajo?

En los últimos años se ha vuelto algo habitual: un correo falso "de la dirección" que pide comprar tarjetas de regalo urgentemente, o una "factura" que tienta a tus compañeros a hacer clic. No viene de un delincuente, sino de una herramienta que tu propia empresa contrató para ver quién pica. Se llaman simulaciones de phishing. Las grandes empresas llevan años usándolas, y los proveedores se dirigen ahora explícitamente a las pymes.

La pregunta que nos hacen con frecuencia responsables de oficina y propietarios: ¿deberíamos hacerlo nosotros también? La respuesta honesta: a veces sí, a veces no, y la forma en que lo haces lo determina todo.

Por qué en principio es una buena idea

El phishing sigue siendo, con diferencia, la forma más habitual en que las pequeñas empresas son hackeadas. No a través de un sofisticado zero-day, sino mediante un correo que parecía lo suficientemente real. Alguien hace clic, introduce sus credenciales en un sitio falso, y una semana después aparece una factura con un número de cuenta diferente al habitual.

Una buena simulación hace tres cosas:

• Hace lo abstracto concreto. "Cuidado con el phishing" es un aviso que nadie escucha ya. Un correo que casi te ha pillado a ti personalmente, se queda grabado.
• Muestra dónde estás. ¿Hace clic el 5 % de tu equipo, o el 40 %? Esa diferencia determina si necesitas un curso de repaso o trabajo estructural.
• Entrena el reporte como reflejo automático. No solo "no hice clic", sino "lo reporté de inmediato". Eso segundo es lo que realmente quieres.

Por qué también puede salir mal

Hemos visto en clientes cómo puede torcerse. Los casos clásicos:

La trampa es demasiado cruel

Una simulación que promete "recibirás un bonus de 800 euros, haz clic aquí para confirmar los detalles" enviada en diciembre — eso no es formación, es una bomba contra la cohesión del equipo. Las personas se sienten humilladas públicamente, la confianza en el empleador cae, y el próximo phishing real seguirá siendo abierto igual.

No hay seguimiento

Alguien hace clic, recibe una pantalla roja con "HAS CAÍDO EN LA TRAMPA" y ya está. Sin explicación, sin una breve formación, sin segunda oportunidad. Las personas se sienten pilladas sin haber aprendido nada.

Se comparten las "puntuaciones"

Listas con los nombres de quienes cayeron, enviadas a los responsables o, peor aún, colgadas en la cocina. En la mayoría de las pymes esto es también cuestionable desde el punto de vista del GDPR, ya que se trata de datos personales sobre el rendimiento laboral.

El listón está demasiado bajo

A veces los correos de prueba son tan obvios (errores tipográficos, remitente extraño, nombre de dominio raro) que todo el mundo los reconoce y recibes un informe que te alegra el día — pero que no dice nada sobre los ataques reales, que son mucho más profesionales.

Cómo hacerlo bien

Algunos principios que marcan la diferencia:

1. Empieza teniendo la base en orden. Una simulación solo tiene sentido cuando tus capas técnicas son correctas. ¿Funcionan tu SPF, DKIM y DMARC? ¿Está activado MFA en todas las cuentas, no solo en el entorno de Microsoft 365? Si no es así — empieza por ahí. Hacer una simulación con vulnerabilidades abiertas es vaciar el mar con un cubo.
2. Comunica de antemano que va a ocurrir. No cuándo ni cómo, pero sí que formará parte del trabajo habitual. "Vamos a enviar correos falsos de vez en cuando para practicar. Así es como puedes reportar un correo sospechoso." Esto no traiciona la prueba — es exactamente lo que quieres lograr.
3. Haz que reportar sea más fácil que hacer clic. Un botón "Reportar correo sospechoso" en Outlook o Gmail. Una dirección de correo fija. Algo que se haga en tres segundos. Si reportar es más difícil que hacer clic, ya sabes lo que pasará.
4. Da feedback inmediato y personalizado tras un clic. Una breve explicación en lenguaje claro de qué falló, tres consejos y listo. Sin un gran paquete de e-learning. Sin vergüenza. Sin informes al responsable.
5. Mide las cosas correctas. El porcentaje de clics es interesante, pero el KPI real es el porcentaje de reportes. ¿Qué porcentaje de tu equipo reporta un correo sospechoso en menos de una hora? Ahí está el valor.
6. Aumenta la dificultad progresivamente. Empieza con plantillas reconocibles y hazlas más realistas a lo largo del año (remitente interno, contextualmente relevante, urgente). De lo contrario, tus compañeros entrenan en un nivel que no tiene nada que ver con la realidad.

En la práctica: ¿con qué frecuencia y a qué escala?

Para las pymes funciona mejor un ritmo ligero: una simulación por trimestre, dirigida a todo el equipo excepto a quienes acaban de incorporarse (a ellos les damos primero una breve introducción). Sin bombardeos diarios — eso perjudica la productividad y dispara la irritación.

¿Qué herramienta usar? Para equipos de 5 a 50 empleados existen opciones de precio asequible en proveedores especializados. Microsoft Defender lo tiene integrado si tienes una licencia de M365 Business Premium; con eso sueles tener suficiente sin comprar nada adicional. Importante: elige una herramienta que se comunique con tus empleados en su idioma, de lo contrario puede que no des en el clavo.

El otro lado: ¿debería participar también la dirección?

Sí. Es más: especialmente ellos. El fraude del CEO y el fraude de facturas se dirigen preferentemente a las personas con poder de firma. Si el propietario o el responsable financiero queda fuera "porque no tiene tiempo", estás formando a la parte equivocada de la organización.

Para terminar

Las simulaciones de phishing no son una solución mágica. Lo que sí pueden hacer: crear un espacio de práctica seguro en el que tu equipo aprenda a reconocer lo que cada vez se encuentran más en la realidad. Pero solo si lo planteas sin humillaciones y si la parte técnica de base está en orden.

¿No estás seguro de si vuestra seguridad del correo electrónico está en orden antes de hablar de formación? Empieza por ahí. Realizamos habitualmente una revisión SPF/DKIM/DMARC para pymes que quieren saber cuánta resistencia al phishing tiene realmente su propio dominio — a menudo un primer paso más útil que una simulación.