Volver al blog

Concienciación sobre seguridad según la norma ISO 27001: dónde encajan las simulaciones de phishing en el anexo A 6.3

La norma ISO 27001 no exige una plataforma de phishing, pero unas simulaciones de phishing bien gestionadas pueden hacer que los controles de concienciación sean más medibles, repetibles y fáciles de defender durante las revisiones.

Por Equipo de Autophish|Publicado el 5/7/2026
Cover image for Concienciación sobre seguridad según la norma ISO 27001: dónde encajan las simulaciones de phishing en el anexo A 6.3

Si estás evaluando simulaciones de phishing según la norma ISO 27001, la respuesta práctica es sencilla: las simulaciones de phishing pueden respaldar los objetivos de concienciación del Anexo A 6.3, pero solo cuando se ejecutan como un control documentado y repetible con límites claros, informes y seguimiento. Por sí solas, no hacen que una organización «cumpla con la norma ISO 27001», y cualquier proveedor que diga lo contrario está exagerando.

Esa distinción es importante porque la duda que subyace a este tema suele surgir de una pregunta real de compra o auditoría: ¿qué lugar ocupan las simulaciones de phishing dentro de un programa de concienciación de seguridad conforme a la norma ISO 27001, y qué pruebas debemos conservar?

Esta guía responde a esa pregunta para ingenieros de seguridad, administradores de TI, CISO y responsables de cumplimiento normativo.

Nota de seguridad: este artículo trata sobre simulaciones defensivas de phishing y formación en concienciación. No incluye instrucciones para el phishing real, el robo de credenciales, la entrega de cargas maliciosas ni eludir controles de seguridad.

Qué significa realmente el Anexo A 6.3 para las simulaciones de phishing

Según la ISO/IEC 27001, la concienciación, la educación y la formación son temas de gobernanza, no ejercicios puntuales de contenido.

Esto es importante porque muchos equipos siguen llevando a cabo la sensibilización de una de estas dos formas poco eficaces:

  • formación anual sin más evaluación que la asistencia
  • campañas ocasionales de phishing sin un objetivo documentado, un proceso de revisión ni seguimiento

Ninguno de estos enfoques genera pruebas sólidas.

Un programa de simulación de phishing resulta útil en el contexto de la norma ISO 27001 cuando te ayuda a demostrar que la sensibilización es:

  • planificada
  • recurrente
  • relevante para los riesgos del trabajo
  • revisada a lo largo del tiempo
  • vinculada a la corrección o el refuerzo

Ese es el verdadero valor. No «enviamos correos falsos», sino «llevamos a cabo un control de concienciación gestionado y podemos explicar cómo funciona».

Dónde ayudan realmente las simulaciones de phishing a un programa de concienciación conforme a la norma ISO 27001

1. Convierten la concienciación en un control repetible

Un programa repetible es más fácil de defender que una actividad puntual.

En lugar de demostrar que se llevó a cabo una campaña, puedes mostrar un ciclo estructurado:

  1. programa campañas con una cadencia definida
  2. selecciona usuarios o roles de forma intencionada
  3. registra los resultados de forma sistemática
  4. ofrece asesoramiento o formación de seguimiento
  5. revisa las tendencias y mejora el siguiente ciclo

Ese tipo de ritmo operativo encaja mucho mejor con la forma en que la mayoría de los equipos explican la responsabilidad de los controles durante las revisiones internas, los cuestionarios a clientes o la preparación para la certificación.

2. Te proporcionan pruebas más allá de los registros de asistencia

Las pruebas de concienciación pierden fuerza rápidamente cuando el único indicio es que «los empleados completaron la formación».

Las simulaciones de phishing pueden aportar información más útil, como:

  • historial y calendario de las campañas
  • cobertura por unidad de negocio o rol
  • comportamiento a la hora de informar
  • seguimiento tras acciones de riesgo
  • datos de tendencias a lo largo de varios ciclos
  • aprobaciones y cambios administrativos

Si quieres un punto de referencia concreto sobre cómo debería ser un buen informe, la guía de AutoPhish sobre funciones de informes de simulaciones de phishing es un buen punto de partida.

3. Apoyan la concienciación basada en roles en lugar de la concienciación genérica

No todos los equipos se enfrentan a la misma presión de phishing.

Los equipos de finanzas, RR. HH., administradores de TI, ejecutivos, compras y soporte técnico se enfrentan a flujos de trabajo, señuelos y consecuencias diferentes. Un programa de concienciación más sólido, conforme a la norma ISO 27001, refleja esa realidad en lugar de fingir que una campaña genérica enseña a todo el mundo por igual.

Por eso es importante el diseño basado en roles:

  • los escenarios pueden ajustarse al contexto real de la toma de decisiones
  • la formación puede reflejar el riesgo de los procesos de negocio
  • los informes se pueden revisar a nivel de equipo
  • la concienciación se vuelve más fácil de explicar como un control empresarial

El artículo de AutoPhish sobre simulaciones de phishing basadas en roles muestra cómo se traduce esa madurez en la práctica.

4. Te permiten medir la corrección, no solo el fallo

La tasa de clics por sí sola no dice mucho.

En la mayoría de las conversaciones sobre seguridad y cumplimiento, la pregunta más acertada es: ¿qué pasó después de la acción de riesgo?

Una plataforma madura debería ayudarte a mostrar cosas como:

  • formación de seguimiento asignada de forma automática o deliberada
  • seguimiento de la finalización a lo largo del tiempo
  • reducción de los comportamientos de riesgo repetidos tras el coaching
  • mejora en el comportamiento de notificación, no solo un cambio en el comportamiento de clics

Esto aleja la conversación de la culpa y la orienta hacia la mejora del control.

Dónde las simulaciones de phishing no resuelven tu problema con la ISO 27001

Esta es la parte que vale la pena dejar clara.

No garantizan la certificación

Ninguna plataforma de phishing puede hacer que una organización obtenga la certificación ISO 27001.

La certificación depende del sistema de gestión en su conjunto, del tratamiento de riesgos, de la gobernanza, de las pruebas, del alcance y de cómo se aplican realmente los controles. Un producto de simulación de phishing puede apoyar una parte de ese panorama relacionada con la concienciación. No puede sustituir al resto.

No sustituyen a los controles técnicos

La concienciación ayuda a reducir el riesgo. No sustituye a:

  • la autenticación y el filtrado del correo electrónico
  • los controles de terminales e identidades
  • los flujos de trabajo de notificación
  • la respuesta a incidentes
  • las revisiones de acceso
  • decisiones sobre políticas y gobernanza

Si tus bases técnicas son débiles, las simulaciones pueden poner de manifiesto las deficiencias, pero no las solucionarán por sí solas.

No justifican un realismo imprudente

Algunos equipos se exceden y dan por sentado que un programa «serio» debe parecer duro.

Normalmente, eso genera nuevos problemas:

  • la confianza de los empleados disminuye
  • la calidad de los informes se ve distorsionada
  • aumentan las fricciones con RR. HH. o el comité de empresa
  • la dirección ve más ruido que valor

Un enfoque mejor son las simulaciones seguras, explicables y proporcionadas, con reglas claras, opciones de retención y visibilidad limitada de los resultados cuando sea apropiado. Para entornos con fuerte presencia de la UE, la guía de AutoPhish sobre formación en phishing respetuosa con la privacidad es el modelo adecuado.

Qué pruebas conservar para las simulaciones de phishing según la norma ISO 27001

Si quieres que las simulaciones de phishing respalden las conversaciones del Anexo A 6.3, conserva pruebas que sean claras, coherentes y fáciles de reproducir.

Carta del programa

Documenta:

  • el propósito del programa de simulaciones de phishing
  • quién es el responsable
  • quién aprueba las campañas
  • cómo se mide el éxito
  • para qué no se utiliza explícitamente el programa
  • cualquier tema excluido o límites de escenarios sensibles

Frecuencia y alcance de las campañas

Mantén un registro de:

  • cuándo se llevaron a cabo las campañas
  • qué grupos se incluyeron
  • qué grupos se excluyeron y por qué
  • si los escenarios eran generales o basados en roles
  • quién aprobó el lanzamiento

Registros de resultados y seguimiento

Las pruebas útiles suelen incluir:

  • resúmenes de entrega e interacción
  • tasas de notificación o tendencias en el tiempo de notificación
  • tareas de formación o coaching
  • registros de finalización
  • patrones de riesgo repetidos a lo largo del tiempo

Configuración de acceso, privacidad y retención

También deberías poder explicar:

  • quién puede ver los resultados a nivel individual
  • quién solo ve vistas agregadas
  • cuánto tiempo se conservan los datos
  • si las exportaciones están restringidas
  • cómo se gestionan los casos sensibles

Registro de mejoras

Después de cada ciclo, anota qué ha cambiado.

Ejemplos:

  • instrucciones de notificación actualizadas
  • ajuste de la segmentación por roles
  • refino de los límites de los escenarios
  • nuevo contenido de coaching
  • cambios en los permisos de administrador o en el flujo de revisión

Ese registro de mejoras es a menudo lo que convierte la concienciación de una simple «actividad» en un control defendible.

Qué comparar en una plataforma de simulación de phishing para equipos que cumplen con la norma ISO 27001

Si este tema forma parte de la evaluación de proveedores, haz preguntas que pongan de manifiesto la madurez operativa en lugar del pulido de la demostración.

1. ¿Puede el programa funcionar de forma continua sin una gran carga de trabajo administrativo?

Busca:

  • programación recurrente
  • segmentación reutilizable
  • captura de pruebas predecible
  • importaciones o sincronizaciones sin complicaciones
  • aprobaciones manejables

Si el control solo funciona cuando un ingeniero motivado se acuerda de ejecutarlo, es frágil.

2. ¿Puedes generar pruebas fuera de la interfaz de usuario de la plataforma?

Pregunta si la herramienta admite:

  • informes exportables
  • vistas de tendencias a lo largo del tiempo
  • historial de campañas
  • registros de administración o auditoría
  • seguimiento de las medidas correctivas

Un panel de control bonito es menos útil que unas pruebas claras y explicables.

3. ¿Son los controles de privacidad lo suficientemente sólidos para tu entorno?

Comprueba si hay:

  • acceso a los resultados basado en roles
  • opciones de informes agregados
  • retención configurable
  • exportaciones restringidas
  • límites claros para los revisores

No se trata solo de una cuestión legal. A menudo es lo que hace que el programa de concienciación mantenga la confianza suficiente para sobrevivir.

4. ¿Admite la plataforma flujos de trabajo basados en roles y de seguimiento?

Una herramienta decente debería permitir adaptar la concienciación según la función y mostrar qué ocurrió después de un fallo o un informe. Sin eso, el programa suele quedarse estancado en plantillas genéricas y métricas de vanidad.

5. ¿Puede el equipo explicar exactamente lo que la plataforma no hace?

Esta es una prueba de compra que se subestima.

La respuesta más prudente del proveedor suele ser algo así como:

  • apoyamos las operaciones de concienciación
  • ayudamos a documentar los resultados y el seguimiento
  • no hacemos declaraciones de certificación por ti

Ese tipo de moderación es una buena señal.

Preguntas frecuentes

¿La norma ISO 27001 exige simulaciones de phishing?

No específicamente. La norma ISO 27001 espera que las organizaciones apliquen controles adecuados, incluidos los relacionados con la concienciación, dentro de un sistema de gestión más amplio. Las simulaciones de phishing pueden apoyar ese trabajo, pero son una opción, no un requisito universal.

¿Pueden las simulaciones de phishing ayudar con el Anexo A 6.3?

Sí, cuando fomentan la concienciación, la formación, el refuerzo y un seguimiento cuantificable. Son más útiles cuando se documentan como un control recurrente, en lugar de utilizarse como pruebas aisladas.

¿Cuál es la métrica más útil para las simulaciones de phishing de la norma ISO 27001?

Normalmente, no es solo la tasa de clics. El comportamiento en los informes, la finalización del seguimiento, la reducción del riesgo de repetición, la cadencia de las campañas y las pruebas revisables a lo largo del tiempo suelen ser más útiles.

¿Deberían los auditores o los responsables ver cada fallo individual?

Normalmente no, por defecto. El acceso controlado, los informes agregados y las excepciones claramente definidas suelen ser más fáciles de defender que una amplia visibilidad de los resultados concretos.

¿Puede una plataforma de phishing demostrar el cumplimiento de la norma ISO 27001?

No. Puede aportar pruebas de las actividades de concienciación y los flujos de trabajo de corrección, pero la certificación depende del sistema de gestión completo y de cómo se gestionan los controles en toda la organización.

Conclusión práctica

Las mejores simulaciones de phishing para la ISO 27001 no son las más espectaculares. Son aquellas que tu equipo puede ejecutar de forma segura, explicar con claridad, revisar de manera coherente y mejorar con el tiempo.

Si eso es lo que necesitas, elige la plataforma que te ofrezca repetibilidad, pruebas, seguimiento y medidas de seguridad sensatas, no la que haga promesas exageradas de cumplimiento.

Si quieres una forma de realizar simulaciones de phishing con bajos costes y respetuosa con la privacidad, y documentar los resultados de forma clara, Regístrate.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →