Volver al blog

Informes de simulación de phishing: 12 características que los equipos de seguridad deberían comparar (paneles de control, métricas y pruebas de auditoría)

Por Equipo de Autophish|Publicado el 2/10/2026
Cover image for Informes de simulación de phishing: 12 características que los equipos de seguridad deberían comparar (paneles de control, métricas y pruebas de auditoría)

Las simulaciones de phishing dependen totalmente de los informes.

No se trata de «gráficos bonitos», sino de informes que te ayuden a:

  • demostrar la mejora a lo largo del tiempo (sin culpar a nadie),
  • identificar dónde hay que cambiar la formación,
  • y presentar pruebas que se mantengan en revisiones y auditorías de seguridad.

Si estás evaluando una solución de simulación de phishing o de formación en concienciación, esta guía desglosa las funciones de informes de simulación de phishing que más importan a los ingenieros de seguridad, administradores de TI, CISO y equipos de cumplimiento normativo.

También verás qué se considera «bueno» en cada función, para que puedas comparar las herramientas de forma coherente.

Para qué sirven los informes de simulación de phishing (y para qué no)

Un programa maduro de simulación de phishing utiliza los informes para responder a tres preguntas:

  1. Riesgo y comportamiento: ¿Están los usuarios reconociendo y notificando los mensajes sospechosos más rápido?
  2. Calidad del programa: ¿Estamos formando en lo que realmente importa (por rol, región y patrón de amenaza)?
  3. Gobernanza y evidencia: ¿Podemos demostrar qué hemos ejecutado, por qué lo hemos hecho y qué hemos cambiado en función de los resultados?

En qué no deben convertirse los informes:

  • Una tabla de clasificación para «pegar la bronca»
  • Un mecanismo de castigo
  • Una métrica vanidosa (por ejemplo, obsesionarse con la tasa de clics sin tener en cuenta la tasa de notificación o la formación de seguimiento)

Cuando los informes se usan correctamente, se convierten en el nexo entre la seguridad, las operaciones de TI y el cumplimiento normativo.

Haz clic aquí si quieres ver cómo gestiona los informes AutoPhish: Informes de AutoPhish

Las 12 características de los informes de simulación de phishing que debes comparar

1) Indicadores clave de rendimiento (KPI) claros a nivel de campaña (no solo eventos a nivel de usuario)

Como mínimo, tus informes deberían facilitar la visualización, por campaña, de:

  • tasa de entrega (enviados vs entregados vs rebotados)
  • tasa de apertura (opcional, dependiendo de los clientes de correo y las limitaciones de privacidad)
  • tasa de clics
  • tasa de denuncias (cuántos usuarios denunciaron la simulación como sospechosa)
  • tasa de finalización de la formación de seguimiento

Por qué es importante: los KPI a nivel de campaña te permiten comparar ejecuciones comparables (por ejemplo, «tema de facturas» en el primer trimestre frente al tercer trimestre) y evitar perseguir ruido.

2) Segmentación por función, departamento y ubicación (con medidas de seguridad)

Los equipos de seguridad necesitan la segmentación para adaptar la formación:

  • finanzas frente a RR. HH. frente a TI frente a ejecutivos
  • regiones/idiomas
  • empleados de oficina frente a teletrabajadores

Pero la segmentación también genera riesgos de privacidad. Busca:

  • visibilidad configurable (quién puede ver qué)
  • vistas agregadas por defecto
  • la capacidad de minimizar o anonimizar resultados individuales cuando sea apropiado

Si la privacidad es una prioridad en tu organización, revisa el enfoque de AutoPhish aquí: https://autophish.io/anonymization

3) Informes de entregabilidad y estado del correo electrónico

Muchos programas «fracasan en silencio» debido a la entregabilidad:

  • los mensajes acaban en la carpeta de spam o en cuarentena
  • se bloquean los dominios o la infraestructura de envío
  • se elimina el seguimiento

Unos informes sólidos incluyen:

  • clasificación y tendencias de rebotes
  • señales de reputación del dominio o del remitente (cuando estén disponibles)
  • resultados por dominio del destinatario (p. ej., Microsoft 365 frente a Google Workspace)

Consejo: antes de culpar a los usuarios o a las plantillas, comprueba tu DNS y la alineación. AutoPhish ofrece una comprobación previa rápida: https://autophish.io/dns-check

4) Exportaciones aptas para pruebas (PDF) con definiciones coherentes

Los informes de cumplimiento y para la dirección suelen requerir documentos físicos.

Busca:

  • Exportaciones a PDF para paquetes de la junta directiva o de auditoría
  • definiciones de métricas coherentes a lo largo del tiempo (p. ej., qué se considera exactamente un «clic»)
  • identificadores estables para campañas y plantillas

Si no puedes exportar de forma coherente, no podrás demostrar mejoras de forma creíble.

5) Vistas de tendencias que apoyen la mejora continua

Una sola campaña es una instantánea. Un buen informe muestra tendencias a lo largo de:

  • trimestres y años
  • cohortes basadas en roles
  • temas de plantillas (señuelos de credenciales frente a avisos de entrega frente a compartir documentos)

Busca:

  • medias móviles
  • comparaciones de cohortes
  • vistas que tengan en cuenta la estacionalidad (evita comparar periodos festivos con operaciones normales)

7) Informes sobre el flujo de trabajo de formación (lo que pasa después del evento)

Una simulación de phishing no debería terminar en «hacerse clic».

Los mejores programas hacen un seguimiento de lo que ocurre a continuación:

  • microformación asignada automáticamente
  • seguimiento de la finalización
  • patrones repetidos (por ejemplo, usuarios que pasan por alto repetidamente las mismas señales de alerta)

Si tu plataforma incluye una experiencia de formación, debería ser posible generar informes de principio a fin. Consulta: https://autophish.io/training-platform

8) Puntuación y señales de riesgo (con cuidado, pero útiles)

Algunas herramientas crean una «puntuación de riesgo». Esto puede ser útil si:

  • es transparente (cómo se calcula la puntuación)
  • no se utiliza con fines punitivos
  • está respaldada por mejoras en el comportamiento y la finalización de la formación

Evita las puntuaciones de «caja negra» que no se puedan explicar a la dirección o a los comités de empresa.

9) Señales de integración (sistema de tickets, SIEM/SOAR, identidad)

Aunque no te integres desde el primer día, los informes deberían hacer que la integración sea plausible:

  • disponibilidad de webhooks/API (para extraer resultados de campañas)
  • mapeo de identidades (para que puedas segmentar con precisión)
  • pruebas de que la plataforma se adapta a tu flujo de trabajo de notificación de incidentes

Los informes que no pueden salir de la herramienta se convierten en un callejón sin salida. ¡Ponte en contacto con nosotros para obtener acceso a la API de AutoPhish!

10) Controles de privacidad e informes de retención

Los datos sobre concienciación en materia de seguridad pueden ser sensibles.

Busca funciones que permitan un manejo responsable:

  • períodos de retención configurables
  • control de acceso basado en roles
  • informes agregados por defecto
  • opciones de anonimización o minimización de datos

Si necesitas una base de referencia que priorice la privacidad, empieza por aquí: https://autophish.io/anonymization

11) «Explicabilidad» para las partes interesadas ajenas a la seguridad

Los CISO y los responsables de cumplimiento suelen tener que responder a:

  • ¿Qué hemos hecho?
  • ¿Qué ha cambiado?
  • ¿Está el programa mejorando el riesgo?

Los informes deben incluir una vista lista para explicar:

  • resumen de la campaña
  • cambios clave desde la última campaña
  • próximos pasos recomendados en función de los resultados

Esta es una de las mayores carencias de los programas «hazlo tú mismo» y de las primeras fases.

12) Comparativas (internas > externas)

Las comparativas externas pueden ser engañosas porque las organizaciones difieren en:

  • el perfil de amenazas del sector
  • el nivel de seguridad del correo electrónico
  • la composición de la plantilla

Prefiere las comparativas internas:

  • «Nuestra tasa de notificación mejoró del X % al Y % tras los cambios en las políticas y la formación»
  • «El tiempo de notificación p90 se redujo en Z días»

Eso es defendible y realmente aplicable.

Una lista de verificación práctica para puntuar (copiar/pegar)

Puntaje cada elemento del 0 al 2 (0 = falta, 1 = parcial, 2 = sólido):

  • Los KPI de la campaña incluyen la tasa de notificación y el tiempo de notificación
  • Existe segmentación con controles de acceso
  • Los informes de entregabilidad son útiles (rebotes, tendencias)
  • Los formatos de exportación admiten auditorías (CSV/PDF)
  • Existe un registro de auditoría (cambios y aprobaciones)
  • Las vistas de tendencias permiten comparaciones a lo largo del tiempo
  • Existen informes de formación de seguimiento
  • El riesgo/puntuación es explicable (o no existe por elección)
  • Existe una vía de integración (API/webhooks)
  • Los controles de privacidad y retención son configurables
  • Existe una vista de resumen ejecutivo
  • La evaluación comparativa interna es fácil

Una herramienta con una tasa de clics más baja pero una tasa de notificación más alta, mejor gobernanza y mejores pruebas suele ser la mejor opción en la práctica.

Preguntas frecuentes

¿Cuál es la métrica más importante en los informes de simulación de phishing?

No hay una única métrica, pero la tasa de informes y el tiempo de notificación suelen correlacionarse mejor con la resiliencia de la organización que la tasa de clics por sí sola.

¿Deberíamos hacer un seguimiento de las tasas de apertura?

Las tasas de apertura pueden ser poco fiables debido a las protecciones de privacidad de los clientes de correo y al bloqueo de imágenes. Úsalas con precaución; céntrate en la entrega, los clics (cuando sean medibles), el comportamiento de notificación y la finalización de la formación.

¿Pueden los informes de simulación de phishing ayudar con la rendición de cuentas de ISO 27001, NIS2 o el RGPD?

Los informes pueden apoyar la recopilación de pruebas y la mejora continua, pero no «te hacen cumplir con la normativa». El cumplimiento depende de tus políticas, gobernanza, base legal, controles de acceso y cómo gestionas el programa.

¿Cómo evitamos que los informes se conviertan en una herramienta para culpar a alguien?

Utiliza por defecto los informes agregados, mantén el acceso limitado, céntrate en los resultados de la formación y evita las clasificaciones públicas individuales.

Siguiente paso

Si estás comparando plataformas y quieres informes que sean útiles desde el punto de vista operativo, respetuosos con la privacidad y fáciles de convertir en pruebas listas para una auditoría, AutoPhish está diseñado para equipos de seguridad que necesitan un programa repetible.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →