Simulacros de phishing: cuando tu propia empresa comprueba cuántos incautos caerían en la trampa

Escrito por Eduardo Peralta

La Inteligencia Artificial al Alcance de Todos

Simulacros de Phishing en Empresas: ¿Una Estrategia Efectiva o Contraproducente?

Un Engaño Navideño

En diciembre de 2020, la empresa de dominios de internet GoDaddy decidió poner a prueba la vigilancia de sus empleados mediante un simulacro de phishing. Enviaron un correo falso prometiendo un bono navideño de 650 dólares, donde los empleados debían proporcionar información personal. Este engaño fue un método de entrenamiento, pero causó sentimientos de desconfianza entre los empleados.

Reacción y Consecuencias

Tras el simulacro, los empleados recibieron un mensaje del departamento de ciberseguridad informándoles que habían «suspendido» el test. La respuesta no fue positiva, ya que muchos se sintieron engañados, especialmente después de haber experimentado un ciberataque real meses antes que comprometió datos personales.

Simulacros de Phishing: Una Práctica Común

Los simulacros de phishing no son una novedad; numerosas empresas los han incorporado como parte de su entrenamiento en ciberseguridad. Según Knowbe4, en un período reciente, 17,000 organizaciones utilizaron su plataforma para enviar millones de correos electrónicos de phishing. Esta práctica busca fortalecer la cultura de seguridad dentro de las empresas, pero debe manejarse con cuidado.

La Delgada Línea de la Educación

Expertos advierten que la manera en que se implementan estos simulacros puede ser crucial. Utilizar bonificaciones falsas puede repercutir negativamente en la relación entre empleados y empleadores. Se sugiere que los simulacros se enfoquen en grupos y no en individuos, evitando la humillación de aquellos que caen en la trampa.

¿Realmente Funcionan?

A pesar de su popularidad, hay dudas sobre la efectividad de estos simulacros. Según un estudio de Google, realizar simulacros puede no reducir las incidencias de ataques de phishing. Muchos empleados pueden terminar sintiéndose manipulados, lo que pone en riesgo la confianza en los equipos de ciberseguridad. En lugar de probar a los empleados, la educación y la recopilación de datos parecen ser una mejor estrategia.

Recomendaciones para una Mejor Estrategia

Invertir en educación constante y ofrecer capacitación sobre las características del phishing parece ser un enfoque más positivo. Las empresas deberían fomentar la concienciación y la binomio entre empleados y ciberseguridad, en lugar de crear un ambiente de desconfianza. Además, estrategias como la autenticación en dos pasos son altamente recomendadas como medidas preventivas.

Conclusión: Aprendiendo de los Errores

Los simulacros de phishing pueden ser una herramienta valiosa en la lucha contra las amenazas cibernéticas, pero deben ser implementados con una estrategia bien pensada. La clave está en educar y reforzar una cultura de seguridad, en lugar de hacer sentir a los empleados como blanco de pruebas engañosas.

Pedro Sánchez anuncia el lanzamiento de los primeros modelos de ALIA: así es la IA «pública y abierta” que impulsa el Estado

Una IA «nacional» que simplifique los trámites burocráticos es una excelente idea. El problema es si España puede implementarla

Deja un comentario

¿Te interesa colaborar en el proyecto o buscas una solución de IA personalizada? ¡Contáctame y trabajemos juntos!

CONTACTAME

© 2025 Eduardo Peralta

Política de Privacidad