Volver al blog

Elegir un proveedor de pruebas de phishing: un plan piloto de 30 días para simulaciones de phishing seguras y con bajos costes

Una guía práctica y centrada en la seguridad para elegir un proveedor de pruebas de phishing que sea fácil de poner a prueba, defendible ante las partes interesadas y diseñado para una mejora repetible de la seguridad.

Por Equipo de Autophish|Publicado el 5/20/2026
Cover image for Elegir un proveedor de pruebas de phishing: un plan piloto de 30 días para simulaciones de phishing seguras y con bajos costes

Elegir un proveedor de pruebas de phishing no debería parecer como comprar una «herramienta de phishing».

Para la mayoría de las organizaciones, lo difícil no es redactar un correo electrónico de simulación, sino todo lo que lo rodea:

  • poner de acuerdo a las partes interesadas (seguridad, TI, RR. HH., comité de empresa, departamento jurídico)
  • garantizar que las simulaciones sean seguras por defecto
  • generar pruebas aptas para auditorías (sin exagerar el cumplimiento normativo)
  • llevar a cabo campañas con bajos costes de TI (para que el programa sobreviva a la rotación de personal)

Este artículo te ofrece un plan piloto de 30 días práctico y una lista de verificación de evaluación que puedes usar para seleccionar un proveedor que mejore los resultados de seguridad y mantenga la confianza de los empleados.

Nota de seguridad: esta publicación trata sobre simulaciones de phishing defensivas y la medición de la concienciación. No incluye instrucciones operativas para phishing real, robo de credenciales, entrega de carga útil ni técnicas de elusión.

Por qué la «incorporación sencilla» es un requisito de seguridad (y no un extra)

Si la incorporación es complicada, los equipos toman atajos:

  • Reutilizan los mismos escenarios una y otra vez.
  • Dejan de llevar a cabo campañas con regularidad.
  • Guardan los resultados en hojas de cálculo.
  • Se saltan las aprobaciones y la documentación.

Así es como los programas de concienciación se convierten silenciosamente en «hicimos una prueba una vez» en lugar de un control real.

Un buen proveedor reduce la carga operativa sin dejar de mantener unas barreras de seguridad sólidas, para que puedas ejecutar simulaciones consistentes sin convertirte en un equipo interno de operaciones de correo electrónico.

Qué incluye realmente la incorporación (las tareas reales)

Cuando los proveedores digan «la configuración lleva 15 minutos», pregunta: ¿configuración de qué, exactamente?

En entornos reales, la incorporación suele incluir:

  1. Alineación de las partes interesadas

    • Reglas para escenarios aceptables
    • Política de privacidad (informes individuales frente a informes anonimizados)
    • Plan de comunicaciones internas y vía de escalado

  2. Identidad + ciclo de vida del usuario

    • Cómo se importan los usuarios y se mantienen actualizados
    • Cómo se gestiona la incorporación y la baja
    • Modelo de permisos (quién puede lanzar campañas, quién puede ver qué)

  3. Entrega de correos electrónicos e higiene de dominios

    • Cómo envía el proveedor los correos electrónicos de simulación
    • Cómo se gestionan la marca y los dominios (y quién es su propietario)
    • Cómo minimizar la confusión con incidentes reales

  4. Resultados de los informes

    • Qué métricas obtienes por defecto
    • Si las exportaciones son fáciles y consistentes
    • Si puedes generar «paquetes de pruebas» para revisiones internas

  5. Medidas de seguridad

    • Prevención de la recopilación de credenciales
    • Prevención de flujos de trabajo «tramposos»
    • Momento de formación claro tras cada interacción

Si un proveedor no puede explicarte estos puntos con claridad, el programa será frágil.

El plan piloto de 30 días (estructurado, sin complicaciones, fácil de auditar)

Usa este plan para poner a prueba cualquier proveedor de simulaciones de phishing, sin obsesionarte demasiado con el «realismo».

Días 1-3: Define las medidas de seguridad y los criterios de éxito

Antes de que nadie pulse «iniciar», haz dos listas.

A) Medidas de seguridad (no negociables)

Ejemplos:

  • No se recopilan contraseñas (nunca)
  • No se solicitan códigos de autenticación multifactorial
  • No se utilizarán temas urgentes relacionados con nóminas o banca
  • No se suplantará la identidad de ejecutivos internos sin autorización explícita
  • No se utilizará lenguaje punitivo; el objetivo es el aprendizaje y la evaluación

B) Criterios de éxito (qué se considera «bueno»)

Elige entre 3 y 5 resultados que vas a evaluar. Por ejemplo:

  • Tiempo de lanzamiento de la primera campaña (incluidas las aprobaciones)
  • Capacidad para segmentar por departamento/función
  • Calidad de los informes (tendencias, exportaciones, registro de auditoría)
  • Experiencia del usuario durante la formación
  • Controles de privacidad (anonimización, retención, control de acceso)

Si quieres una referencia útil para programas de concienciación y formación como control, consulta: NIST SP 800-50.

Días 4–10: Configuración de la prueba piloto (busca la simplicidad operativa)

Céntrate en dos cosas: repetibilidad y seguridad.

Lista de verificación:

  • Confirma quién puede crear, aprobar y lanzar campañas
  • Importa un pequeño grupo piloto (p. ej., TI + seguridad + una unidad de negocio)
  • Configura tu modo de privacidad preferido (informes individuales o anonimizados)
  • Comprueba que la página/el flujo de formación esté claramente etiquetado y sea educativo
  • Comprueba las exportaciones de informes y los controles de acceso

Si operas en un entorno de privacidad más estricto, diseña el programa en torno a la privacidad desde el diseño desde el primer día. AutoPhish admite configuraciones centradas en la privacidad (incluidos los modos de informes anonimizados): Anonimización.

Días 11-20: Realiza dos simulaciones de referencia seguras

Realiza dos simulaciones, no una. Una campaña es una instantánea; dos te dan una tendencia.

Orientación:

  • Mantén el contenido inofensivo y claramente dentro de tus límites
  • Mide múltiples señales (no solo la «tasa de clics»)
  • Asegúrate de que la experiencia tras el clic enseñe el comportamiento adecuado

Métricas que debes seguir durante la prueba piloto:

  • tasa de clics/interacción
  • tasa de denuncias (si tu flujo de trabajo incluye la denuncia)
  • tiempo hasta la denuncia (si está disponible)
  • infractores reincidentes frente a susceptibilidad general (agregado)
  • carga de trabajo operativa (tickets de soporte, escalaciones)

Días 21-30: Demuestra que el programa es sostenible

El mejor proveedor no es el que gana una demostración puntual.

Es aquel con el que puedes trabajar mensual o trimestralmente sin tener que hacer malabarismos.

Durante los últimos 10 días, comprueba:

  • ¿Puedes programar campañas fácilmente?
  • ¿Puedes aplicar la segmentación basada en roles de forma segura?
  • ¿Puedes exportar informes coherentes para la dirección y los auditores?
  • ¿Se puede incorporar rápidamente a nuevos administradores?

Si tu prueba piloto tiene éxito, los escenarios basados en roles suelen ser el siguiente paso; solo mantén las medidas de seguridad y los flujos de trabajo de aprobación en su sitio.

La lista de verificación de la evaluación: qué exigir a un proveedor de pruebas de phishing

Usa estos criterios para comparar proveedores sin dejarte llevar por el teatro del «realismo».

1) Diseño de simulación «seguro por defecto»

Busca medidas de seguridad explícitas:

  • No permitir la recopilación de credenciales (o aislarlas en un entorno de pruebas para que nunca se capturen datos confidenciales)
  • Momento de formación claro tras la interacción
  • Medidas de seguridad integradas en los escenarios y flujo de trabajo de revisión

Señal de alerta: la plataforma se optimiza para ser «indistinguible del phishing real» en lugar de para un aprendizaje medible.

2) Controles de privacidad que puedas explicar a los empleados (y a los auditores)

Necesitas respuestas a:

  • ¿Qué datos personales se almacenan?
  • ¿Quién puede ver los resultados individuales?
  • ¿Se pueden anonimizar o agregar los informes?
  • ¿Cuáles son las opciones de retención y eliminación?

Si tienes un comité de empresa o una representación similar de los empleados, comprueba que el proveedor ofrezca un programa que sea eficaz sin dar la sensación de vigilancia. Un buen punto de partida: Formación sobre phishing respetuosa con la privacidad: comités de empresa, consentimiento y aspectos esenciales del RGPD.

3) Informes que respalden las decisiones (no solo paneles de control)

Pide:

  • vistas de tendencias a lo largo del tiempo (no solo una campaña aislada)
  • segmentación por departamento/función/ubicación
  • formatos de exportación que se adapten a tu proceso de auditoría
  • un registro de auditoría de quién lanzó qué y cuándo

Señal de alerta: los informes son bonitos en la interfaz de usuario, pero difíciles de exportar y explicar.

4) Modelo operativo que no se colapse ante las limitaciones habituales de TI

«Bajos costes de TI» significa:

  • mantenimiento continuo mínimo
  • límites claros de responsabilidad (seguridad frente a TI)
  • flujos de trabajo predecibles para excepciones y aprobaciones

Pide al proveedor un plan de incorporación semanal y los datos internos exactos que se necesitan.

5) Funciones de madurez del programa (para que no te quedes pequeño con la herramienta)

Con el tiempo, es probable que quieras:

  • automatización/programación de campañas
  • escenarios basados en roles con medidas de seguridad
  • compatibilidad con múltiples organizaciones si gestionas varias filiales
  • plantillas coherentes + localización
  • API o integraciones claras para la generación de informes (cuando sea apropiado)

Conceptos erróneos comunes (y cómo evitar desperdiciar la prueba piloto)

«Tenemos que eludir la seguridad del correo electrónico para que sea realista».

No es necesario.

Un programa de concienciación seguro se centra en el comportamiento y la detección, no en burlar tus propios controles. Si tu envío requiere soluciones alternativas arriesgadas, estás probando lo incorrecto.

En su lugar:

  • trata la capacidad de entrega como una tarea de configuración legítima con el departamento de TI
  • mantén el contenido claramente dentro del ámbito de aplicación y alineado con las políticas
  • mide el comportamiento de notificación y el tiempo de notificación, no «cuántas defensas hemos burlado»

«La tasa de clics es el único KPI».

La tasa de clics es fácil de medir... y fácil de malinterpretar.

Las señales más fiables incluyen la tasa de notificación, el tiempo de notificación y si los problemas recurrentes disminuyen con el tiempo.

«Podemos decidir después de una sola campaña».

Una sola campaña no te dice casi nada sobre la sostenibilidad.

Un proveedor debe demostrar que puede respaldar un programa repetible, no solo una campaña llamativa.

Preguntas frecuentes

¿Con qué frecuencia debemos realizar simulaciones de phishing?

La mayoría de los equipos empiezan con campañas mensuales o trimestrales y las ajustan en función de los resultados y la capacidad operativa. Un buen proveedor debería facilitar el mantenimiento de la cadencia sin convertirlo en un proyecto.

¿Debemos revelar el nombre del proveedor a los empleados?

Muchas organizaciones son transparentes en cuanto a la plataforma de formación y las reglas del programa (qué se mide, quién puede ver qué). La transparencia suele aumentar la confianza y la participación a largo plazo.

¿Puede un proveedor de pruebas de phishing garantizar nuestro cumplimiento normativo?

Ninguna herramienta «te garantiza el cumplimiento». Un proveedor puede ayudarte a implementar y demostrar los controles (formación, medición, gobernanza). Se te juzgará por tus políticas, registros y operaciones.

¿Necesitamos informes individualizados para obtener valor?

No siempre. Muchos programas obtienen buenos resultados con informes agregados, especialmente al principio o en entornos sensibles en materia de privacidad. La clave está en la medición constante a lo largo del tiempo y en las mejoras específicas.

¿Cuál es la mayor señal de alarma a la hora de evaluar a los proveedores?

Un proveedor que no pueda explicar claramente:

  • sus medidas de seguridad
  • su modelo de gestión y retención de datos
  • cómo los informes respaldan las auditorías y las decisiones de la dirección

Si esas respuestas son confusas, el programa será frágil.

Siguiente paso: pon en marcha una prueba piloto segura

Si quieres una plataforma de simulación de phishing diseñada para una formación segura por defecto, informes sólidos y un funcionamiento respetuoso con la privacidad, AutoPhish está pensada para equipos de seguridad que necesitan un programa que puedan defender.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →