Phishing

Las simulaciones tradicionales de phishing te están engañando: por qué las métricas de tasas de clics son insuficientes

Las simulaciones tradicionales de phishing no revelan el verdadero nivel de preparación de tu empresa. Descubre por qué la simple cuenta de clics es insuficiente y cómo PhishOS ayuda a medir, de verdad, la capacidad de los colaboradores para identificar y reaccionar ante ataques de ingeniería social.

By: Hacker Rangers
phishing

Las simulaciones tradicionales de phishing no revelan el verdadero nivel de preparación de tu empresa. Descubre por qué la simple cuenta de clics es insuficiente y cómo PhishOS ayuda a medir, de verdad, la capacidad de los colaboradores para identificar y reaccionar ante ataques de ingeniería social.

Ya sea por compliance o por preocupación genuina por la ciberseguridad, todos nos hemos encontrado con una simulación tradicional de phishing. Ese típico correo anunciando una promoción o con un mensaje alarmante puede traer graves consecuencias para empresas e instituciones.

Sin embargo, lo que pocos reconocen es que las simulaciones tradicionales de phishing ya no son tan eficaces y rara vez miden lo que realmente importa. En lugar de concienciar, entregan métricas poco relevantes y generan miedo, desmotivación e incluso daños a la reputación de las organizaciones.

Cuando el “entrenamiento” se convierte en problema

Un caso emblemático sobre cómo las simulaciones tradicionales pueden afectar negativamente a las instituciones ocurrió en 2023. Una universidad en California realizó una prueba de phishing cuyo asunto era: “Notificación de Emergencia: Caso de Ébola en el Campus.” El e-mail, que solo era un test, causó pánico entre alumnos y empleados. ¿Y a qué costo?

El problema de las métricas tradicionales

En las pruebas tradicionales, las métricas solo muestran quién hizo clic y quién no en el e-mail de phishing. Pero esta métrica, por sí sola, deja espacio para innumerables dudas e interpretaciones.

Un alto porcentaje de usuarios que no hicieron clic no significa necesariamente que la organización esté segura. Tal vez los empleados estaban demasiado ocupados para revisar el correo, algunos ya sabían que se enviaría el test, o la temática utilizada simplemente no resultaba de interés.

Como ejemplo, Google dejó de aplicar pruebas tradicionales de phishing en los últimos años. En su blog oficial, la compañía explicó: “Educar a los empleados sobre cómo alertar a los equipos de seguridad ante ataques en curso sigue siendo un complemento valioso y esencial para una postura de seguridad integral. Sin embargo, no hay necesidad de convertirlo en un acto confrontativo, y no ganamos nada ‘atrapando’ a personas que ‘fallan’ en la tarea.” (del texto “On Fire Drills and Phishing Tests”).

La raíz del problema

De acuerdo con Vinícius Perallis, fundador y CEO de Hacker Rangers, la raíz está en el alejamiento del propósito original de las simulaciones de phishing: medir el nivel de protección de una empresa frente a ataques de ingeniería social. Las organizaciones comenzaron a utilizarlas para concienciar. “La gran confusión es que la simulación de phishing por correo se usa para un propósito muy diferente del que fue creada y en el que debería encajar,” señaló Vinícius en el Hacker Rangers Podcast.

La evolución: NIST Phish Scale

Ante este escenario, en 2023 el National Institute of Standards and Technology (NIST) publicó la NIST Phish Scale, una guía sobre cómo reconocer señales de que un e-mail es phishing. El documento lista 23 tipos de señales que deben verificarse frente a un e-mail sospechoso.

PhishOS: la nueva generación de simulaciones de phishing

Con todo esto en mente, Hacker Rangers creó PhishOS, un simulador de phishing diseñado íntegramente en base a la NIST Phish Scale. PhishOS va más allá de la simple cuenta de clics: los jugadores deben explicar por qué un e-mail es o no un phishing, con 34 posibles escenarios a identificar.

Con PhishOS, cada simulación se convierte en un momento de educación práctica. Los colaboradores aprenden a reconocer señales de peligro en un entorno seguro, mientras los gestores obtienen métricas precisas sobre el comportamiento y la evolución del equipo.

Es hora de dejar atrás las simulaciones obsoletas y adoptar un enfoque que realmente transforme el comportamiento. Con PhishOS, pasas de la simple “cuenta de clics” a una estrategia inteligente, educativa y atractiva. Pruébalo gratis durante 30 días y descubre cómo transformar las simulaciones en resultados reales para tu empresa.

See also

HR cybersecurity
Concientización

¿Por qué la ciberseguridad debe ser una prioridad para RR.HH.?

Tú que trabajas en la gestión de talentos, ¿necesitas preocuparse por la ciberseguridad de tu empresa? ¡La respuesta es sí! Y las razones son muchas.

Leer artículo
HR cybersecurity awareness programs
Concientización

El papel de RR.HH. en los programas de concienciación en ciberseguridad

En muchas organizaciones, la iniciativa de llevar a cabo un programa de concienciación sobre ciberseguridad proviene del departamento de tecnología de la información (TI) o del equipo responsable por la seguridad corporativa. Sin embargo, enseñar buenas prácticas sobre seguridad y mantener a los colaboradores informados sobre las amenazas es, en última instancia, una cuestión humana, lo que significa que el área de Recursos Humanos tiene mucho para aportar.

Leer artículo
CFO cybersecurity awareness program
Concientización

¿Por qué un CFO debería apoyar un programa de concienciación en ciberseguridad?

Los programas de concienciación sobre ciberseguridad tienen como objetivo ampliar la visión de los colaboradores sobre los riesgos relacionados con los activos de tecnología de la información y comunicación (TIC). Aunque los principales defensores de este tipo de programas suelen ser los profesionales de la seguridad de la información, lo cierto es que casi todos los departamentos pueden beneficiarse con la concienciación.

Leer artículo
newsletter

Recibe las novedades en
tu e-mail

    ¡Misión cumplida!

    You'll receive new cybersecurity updates in your inbox weekly.

    Síguenos en nuestras redes sociales:

    Instagram: @hackerrangers.en
    LinkedIn: linkedin.com/company/hacker-rangers