Volver al blog

Herramientas SaaS de pruebas de phishing para el cumplimiento normativo: lo que los compradores deberían preguntar realmente

La mayoría de las guías de compra de esta categoría comparan plantillas y tasas de clics. Eso no es lo que buscan los auditores, y tampoco es por lo que queremos que los compradores nos evalúen.

Por Equipo de Autophish|Publicado el 5/22/2026
Cover image for Herramientas SaaS de pruebas de phishing para el cumplimiento normativo: lo que los compradores deberían preguntar realmente

A los pocos meses de empezar a desarrollar AutoPhish, empezó a surgir un patrón en las llamadas de ventas. Los compradores preocupados por el cumplimiento normativo —la gente de SOC 2, la de ISO 27001, los europeos conscientes de los comités de empresa— no preguntaban por plantillas ni por tasas de clics. Preguntaban algo mucho más aburrido: ¿cómo es realmente la evidencia cuando un auditor la revisa?

Esa es la pregunta correcta. Y es la que falta en la mayoría de las comparativas públicas de herramientas SaaS de pruebas de phishing para el cumplimiento normativo.

Esta publicación es una guía de compra escrita desde dentro de la categoría. Es la conversación que nos gustaría que más compradores plantearan a más proveedores —incluidos, en algunos casos, a nosotros mismos—. Si estás evaluando herramientas SaaS de pruebas de phishing para el cumplimiento normativo y quieres filtrar tu lista de candidatos más rápido, estas son las preguntas que te ayudarán a hacerlo.

Deja de puntuar a los proveedores por las tasas de clics

El error más común que vemos en esta categoría —y lo vemos incluso en equipos de seguridad bien gestionados que deberían saberlo mejor— es tratar la «tasa de clics de la campaña a lo largo del tiempo» como la métrica principal.

Es un diagnóstico útil. Es una prueba de cumplimiento pésima.

Una clara tendencia a la baja en la tasa de clics no le dice prácticamente nada al auditor sobre si tu programa de concienciación está regulado. No les dice quién aprobó la campaña, quién pudo ver los resultados concretos, qué pasó con las personas que hicieron clic, si se volvió a formar a alguien o si los datos se conservaron durante más tiempo del que permite tu propia política.

La prueba interna a la que siempre volvemos cuando desarrollamos funciones en AutoPhish es: si un auditor de SOC 2 o un revisor de compras de un cliente nos pidiera que demostráramos esto en quince minutos, ¿podríamos hacerlo? Ese listón —quince minutos, sin hilos de Slack en pánico, sin capturas de pantalla de capturas de pantalla— es un criterio para priorizar funciones mucho mejor que «lo que quedaría bien en una demostración».

Así que: cuando un proveedor te muestra paneles de control de tasas de clics, eso no es exactamente una señal de alarma. Pero es una señal de que tendrás que hacerte tú mismo la siguiente pregunta, porque ellos no lo harán.

Qué significa realmente «listo para el cumplimiento normativo»

La frase se usa en exceso. Esto es lo que significa en la práctica, y lo que cualquier herramienta SaaS seria de pruebas de phishing para el cumplimiento normativo debería facilitar más de lo que sería sin ella:

  1. Operaciones recurrentes. Campañas programadas con regularidad, no organizadas heroicamente cada trimestre por una sola persona a punto de quemarse.
  2. Pruebas claras. Exportaciones que un auditor pueda leer sin que tengas que interpretarlas, que cubran el alcance, las aprobaciones, los resultados y las medidas correctivas.
  3. Gobernanza defendible. Separación de funciones, registros de aprobación, pistas de auditoría de administración. La maquinaria poco glamurosa que te permite responder «quién hizo qué y cuándo» sin pestañear.
  4. Gestión de datos proporcionada. Anonimización cuando sea necesario, retención que puedes configurar, eliminación que puedes demostrar, visibilidad de resultados concretos que puedes defender.

Fíjate en lo que no está en esa lista: plantillas, señuelos generados por IA, tablas de clasificación de gamificación, mapas de calor para ejecutivos. Esas cosas están bien. Algunas incluso son útiles. Ninguna de ellas es la razón por la que un comprador preocupado por el cumplimiento normativo debería elegir una plataforma en lugar de otra.

Para ver la versión más extensa de cómo vemos específicamente los informes, Informes de simulación de phishing es lo más parecido que tiene AutoPhish a una especificación pública de cómo debería ser una buena prueba.

Las preguntas que debes hacer en una demostración

Olvídate de la solicitud de propuesta estándar. Si tienes treinta minutos con un proveedor y te preocupan las pruebas de cumplimiento, aquí es donde debes invertirlos.

«Muéstrame una campaña que ya se haya ejecutado y guíame por cada elemento que un auditor podría extraer».

Fíjate en lo que pasa. Los buenos proveedores te mostrarán una exportación clara: fechas, alcance, quién la aprobó, quién tomó qué medidas, qué seguimiento se asignó, qué se cerró. Los más flojos se limitarán a desplazarse por un panel de control señalando cosas y diciendo «podrías hacer una captura de pantalla de esto».

Las capturas de pantalla no son pruebas. O mejor dicho, lo son, pero son pruebas malas. Fácilmente rebatibles, difíciles de reproducir un año después cuando vuelva el auditor.

«¿Quién en nuestra organización puede ver que Sarah, de contabilidad, hizo clic en el enlace?»

La mayoría de las plataformas pueden responder a esto. Pocas pueden hacerlo de forma configurable, con una visibilidad basada en roles que realmente se ajuste a cómo una organización real gestiona la concienciación. Y casi ninguna facilita demostrar ante un comité de empresa o un revisor de privacidad que el acceso a resultados nominativos está restringido por diseño y no solo por buenas intenciones.

Si operas en Europa, o en cualquier lugar con una fuerte tradición de protección de datos de los empleados, esta es la pregunta que decide silenciosamente si tu programa supera la revisión. Hay más información sobre ese modo de fallo específico en Formación sobre phishing respetuosa con la privacidad.

«¿Qué pasa después de que alguien haga clic?»

La respuesta sincera para muchas plataformas es «lo registramos». Eso no es un programa, es vigilancia con un módulo de formación añadido.

Una respuesta que cumpla con los requisitos de cumplimiento se vería así: retroalimentación inmediata para el usuario, una tarea de formación de seguimiento automática, una ruta de revisión documentada para comportamientos repetidos y un registro de ciclo cerrado que demuestre que la corrección realmente se llevó a cabo. Si un proveedor no puede describir ese flujo de trabajo sin dar evasivas, la plataforma generará pruebas de fallos sin pruebas de mejora —y eso es realmente peor que no tener ningún programa, porque documenta tu problema sin documentar tu respuesta.

«¿Qué afirmaciones de cumplimiento te niegas a hacer?»

Esta es la pregunta que separa a los proveedores que entienden la categoría de los que simplemente se suben al carro.

La respuesta honesta —la que damos nosotros, y que cualquier proveedor al que valga la pena comprarle también debería dar— es: no te hacemos cumplir con la normativa. Las herramientas SaaS de pruebas de phishing para el cumplimiento te ayudan a generar pruebas que respalden los controles de concienciación y formación dentro de un marco como SOC 2 o ISO 27001, basado en algo como NIST SP 800-50. No te certifican. No pueden hacerlo. Ninguna plataforma puede.

Un proveedor que insinúe lo contrario o bien es descuidado con el lenguaje o bien te está vendiendo una historia. En cualquier caso, esa es la llamada que debes terminar educadamente.

Dónde gana realmente el SaaS y dónde no

Las herramientas SaaS alojadas de pruebas de phishing para el cumplimiento normativo ganan realmente en cuanto a gastos operativos. El trabajo de gestionar la infraestructura de correo, lidiar con la entregabilidad, aplicar parches, actualizar y reunir pruebas en el momento de la auditoría es real —y es en su mayor parte invisible hasta que deja de serlo—. Una plataforma alojada que trata esas cosas como su problema en lugar del tuyo es, estructuralmente, más fácil de defender en una revisión.

Lo que el SaaS no resuelve, y lo que ninguna demostración de un proveedor resolverá por ti:

  • El trabajo político de conseguir que RR. HH., el departamento jurídico y los comités de empresa se pongan de acuerdo sobre lo que es aceptable.
  • Las decisiones sobre políticas relativas a quién en tu organización ve los resultados concretos.
  • La pregunta más difícil de para qué sirve realmente tu programa —reducción de riesgos, formación, cambio de comportamiento, pruebas— porque se trata de programas diferentes y las funciones de la plataforma que los sirven también difieren.
  • Tu respuesta ante incidentes, tu infraestructura de seguridad del correo electrónico, tus controles de identidad. Las simulaciones de phishing son una herramienta de concienciación, no un control compensatorio.

A veces, los compradores se convencen a sí mismos de que la compra de una plataforma ha resuelto problemas que en realidad tenían que ver con la propiedad y las políticas. Nunca es así. Lo mejor que puedes esperar es que la plataforma adecuada deje de añadir problemas a esa pila. La plataforma equivocada creará silenciosamente otros nuevos —normalmente en torno a la retención de datos y el acceso a resultados específicos— que saldrán a la luz dieciocho meses después, cuando ya nadie recuerde la decisión de configuración original.

Si tu ámbito de actuación es más amplio que un solo equipo, cumplimiento normativo empresarial es la versión de esta guía escrita para el departamento de compras en lugar de para los profesionales.

Una breve guía con opiniones

Si tienes que puntuar rápidamente una lista de herramientas SaaS de pruebas de phishing para el cumplimiento normativo, esto es lo que debes usar.

Señales positivas: exportaciones de pruebas que puedas entregar a un auditor sin necesidad de reelaborarlas; visibilidad basada en roles de los resultados específicos; retención y eliminación configurables; un flujo de trabajo automatizado tras un clic; un proveedor que pueda explicar claramente lo que no afirma sobre el cumplimiento normativo.

Señales débiles: paneles centrados en las tasas de clics; respuestas vagas sobre aprobaciones y registros de administración; anonimización que existe en teoría pero no en la configuración; mucho trabajo en cada ciclo; cualquier frase que incluya la expresión «te hace cumplir con la normativa».

Los proveedores aburridos suelen ganar en esta categoría. No es una queja, es todo su argumento de venta.

La prueba del lunes

Si estás al principio de esta evaluación, este es el paso más pequeño pero útil: elige dos proveedores de tu lista de finalistas y pídeles a cada uno que te envíe una exportación de pruebas reales de una campaña real (anonimizada). No un PDF simulado, ni un panel de control de demostración, sino el archivo real que recibiría un auditor.

Aprenderás más de esos dos archivos adjuntos que de seis horas de demostraciones. Es la prueba que nos gustaría que más compradores nos hicieran, porque los proveedores que no la superan son los que hacen que la categoría sea más difícil de vender para todos los demás.

Si quieres ver cómo es la versión de AutoPhish de esa exportación, regístrate: ese es exactamente el artefacto en torno al cual se ha construido el producto.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →