Un simulacro de phishing es un ejercicio de ciberseguridad que pone a prueba la capacidad de una organización para reconocer un ataque de phishing y responder a él.

Un ataque de phishing es un mensaje de correo electrónico, texto o voz fraudulento diseñado para engañar a las personas para que descarguen malware (como ransomware), revelen información confidencial (como nombres de usuario, contraseñas o datos de tarjetas de crédito) o envíen dinero a las personas equivocadas.

Durante un simulacro de phishing, los empleados reciben correos electrónicos (o mensajes de texto o llamadas telefónicas) de phishing simulados que imitan los intentos de phishing del mundo real. Los mensajes emplean las mismas tácticas de ingeniería social (p. ej., hacerse pasar por alguien a quien el destinatario conoce o en quien confía, crear una sensación de urgencia) para ganarse la confianza del destinatario y manipularlo para que emprenda una acción imprudente. La única diferencia es que los destinatarios que muerden el anzuelo (p. ej., haciendo clic en un enlace malicioso, descargando un archivo adjunto malicioso, introduciendo información en una página de destino fraudulenta o tramitando una factura falsa) simplemente no superan la prueba, sin repercusiones negativas para la organización.

En algunos casos, los empleados que hacen clic en el enlace malicioso simulado son llevados a una página de destino en la que se les indica que han sido presa a un ataque de phishing simulado, con información sobre cómo detectar mejor estafas de phishing y otros ciberataques en el futuro. Después del simulacro, las organizaciones también reciben métricas sobre las tasas de clics de los empleados y, a menudo, hacen un seguimiento con formación adicional en concienciación sobre el phishing.

Las estadísticas recientes muestran que las amenazas de phishing siguen aumentando. Desde 2019, el número de ataques de phishing ha crecido un 150 % por año, y el Anti-Phishing Working Group (APWG) ha informado de un máximo histórico de phishing en 2022, con el registro de más de 4,7 millones de sitios de phishing. Según Proofpoint, el 84 % de las organizaciones en 2022 experimentaron al menos un ataque de phishing con éxito.

Dado que ni siquiera las mejores pasarelas de correo electrónico y herramientas de seguridad pueden proteger a las organizaciones de todas las campañas de phishing, las empresas recurren cada vez más a los simulacros. Los simulacros de phishing bien elaborados ayudan a mitigar el impacto de los ataques de dos formas importantes. Los simulacros proporcionan la información que los equipos de seguridad necesitan para educar a los empleados con el fin de que reconozcan y eviten mejor los ataques de phishing de la vida real. También ayudan a los equipos de seguridad a detectar vulnerabilidades, mejorar la respuesta general ante incidentes y reducir el riesgo de vulneraciones de datos y pérdidas financieras derivadas de intentos de phishing culminados con éxito.

Las pruebas de phishing suelen formar parte de una formación más amplia en concienciación sobre seguridad dirigida por los departamentos de TI o los equipos de seguridad.

El proceso generalmente implica cinco pasos:

1. Planificación: las organizaciones comienzan por definir sus objetivos y establecer el alcance, decidiendo qué tipo de correos electrónicos de phishing utilizar y la frecuencia de los simulacros. También determinan el público objetivo, incluyendo la segmentación de grupos o departamentos específicos y, a menudo, los ejecutivos. 
2. Elaboración: después de trazar un plan, los equipos de seguridad crean simulacros realistas de correos electrónicos de phishing que se asemejan mucho a las amenazas reales, a menudo siguiendo el modelo de las plantillas y los kits de phishing disponibles en la dark web. Prestan mucha atención a detalles como las líneas de asunto, las direcciones del remitente y el contenido para realizar simulaciones de phishing realistas. También incluyen tácticas de ingeniería social (incluso hacerse pasar por un ejecutivo o compañero de trabajo como remitente, táctica denominada spoofing) para aumentar la probabilidad de que los empleados hagan clic en los correos electrónicos.
3. Envío: una vez que finalizan el contenido, los equipos de TI o los proveedores externos envían los correos electrónicos de phishing simulados al público objetivo a través de medios seguros, teniendo en cuenta la privacidad.
4. Monitorización: después de enviar los correos electrónicos maliciosos simulados, los responsables siguen de cerca a los empleados y registran cómo interactúan con ellos, vigilando si hacen clic en los enlaces, descargan archivos adjuntos o facilitan información confidencial.
5. Análisis: tras la prueba de phishing, los responsables de TI analizan los datos del simulacro para determinar tendencias como las tasas de clics y las vulnerabilidades de seguridad. Después, hacen un seguimiento de los empleados que no superaron la prueba con comentarios inmediatos, explicándoles cómo podrían haber identificado correctamente el intento de phishing y cómo evitar ataques reales en el futuro.

Una vez que completan estos pasos, muchas organizaciones compilan un informe exhaustivo que resume los resultados del simulacro de phishing para compartirlo con las partes interesadas pertinentes. Algunas también utilizan los conocimientos adquiridos para mejorar su formación en materia de concienciación sobre la seguridad antes de repetir el proceso con regularidad para mejorar dicha concienciación y adelantarse a las ciberamenazas en evolución.

Al realizar una campaña de simulacro de phishing, las organizaciones deben tener en cuenta lo siguiente.

• Frecuencia y variedad de las pruebas: muchos expertos sugieren realizar simulacros de phishing con regularidad a lo largo del año utilizando diferentes tipos de técnicas. Esta mayor frecuencia y variedad puede ayudar a reforzar la concienciación en materia de ciberseguridad, a la vez que garantiza que todos los empleados permanezcan alerta frente a las amenazas de phishing en constante evolución.
• Contenido y métodos: en lo que respecta al contenido, las organizaciones deben desarrollar correos electrónicos de phishing simulados que se asemejen a intentos de phishing realistas. Una forma de hacerlo es utilizando plantillas de phishing modeladas a partir de tipos populares de ataques para dirigirse a los empleados. Por ejemplo, una plantilla podría centrarse en el correo electrónico empresarial comprometido o BEC (también llamado fraude del CEO), un tipo de spear phishing en el que los ciberdelincuentes emulan los correos electrónicos de uno de los altos ejecutivos de la organización para engañar a los empleados para que divulguen información confidencial o transfieran grandes sumas de dinero a un supuesto proveedor. Al igual que los ciberdelincuentes que lanzan estafas de BEC en la vida real, los equipos de seguridad que diseñan el simulacro deben investigar cuidadosamente al remitente y a los destinatarios para que el correo electrónico resulte creíble.
• Momento oportuno: el momento ideal para que las organizaciones realicen un simulacro de phishing sigue siendo una fuente continua de debate. Algunos prefieren implementar una prueba de phishing antes de que los empleados completen cualquier formación en concienciación sobre esta práctica para establecer un punto de referencia y medir la eficiencia de las futuras soluciones de simulacro de phishing. Otros prefieren esperar hasta después de la formación en concienciación sobre el phishing para comprobar la efectividad del módulo y ver si los empleados informan correctamente de los incidentes de phishing. El momento en que una organización decide realizar un simulacro de phishing depende de sus necesidades y prioridades.
• Seguimiento educativo: independientemente del momento en que las organizaciones decidan realizar una prueba de phishing, esta suele formar parte de un programa de formación en concienciación en materia de seguridad más amplio y exhaustivo. La formación de seguimiento ayuda a los empleados que no superaron la prueba a sentirse respaldados y no solo engañados, y les proporciona conocimientos e incentivos para identificar correos electrónicos sospechosos o ataques reales en el futuro.
• Seguimiento del progreso y las tendencias: tras los simulacros, las organizaciones deben medir y analizar los resultados de cada prueba de phishing. Esto permite identificar las áreas de mejora, incluidos los empleados específicos que pueden necesitar formación adicional. Los equipos de seguridad también deben mantenerse al corriente de las últimas tendencias y tácticas de phishing para que la próxima vez que realicen un simulacro puedan poner a prueba a los empleados con las amenazas más relevantes de la vida real.

Los simulacros de phishing y las formaciones en concienciación sobre seguridad son medidas preventivas importantes, pero los equipos de seguridad también necesitan capacidades de detección y respuesta ante amenazas de última generación para mitigar el impacto de las campañas de phishing realizadas con éxito.