Una simulación de phishing es un ejercicio de ciberseguridad que prueba la capacidad de una organización para reconocer y responder a un ataque de phishing.

Un ataque de phishing es un mensaje de correo electrónico, de texto o de voz fraudulento diseñado para engañar a la gente para que descargue programas maliciosos (como ransomware), revele información confidencial (como nombres de usuario, contraseñas o datos de tarjetas de crédito) o envíe dinero a personas equivocadas.

Durante una simulación de phishing, los empleados reciben correos electrónicos que simulan phishing (o mensajes de texto o llamadas telefónicas) que imitan los intentos de phishing en el mundo real. Los mensajes usan las mismas tácticas de ingeniería social (por ejemplo, hacerse pasar por alguien que el destinatario conoce o en quien confía, creando una sensación de urgencia) para ganar la confianza del destinatario y manipularlo para que tome medidas desaconsejadas. La única diferencia es que los destinatarios que muerden el anzuelo (por ejemplo, al hacer clic en un enlace malicioso, descargar un archivo adjunto malicioso, ingresar información en una página de destino fraudulenta o procesando una factura falsa) simplemente no pasan la prueba, pero no hay un impacto adverso para la organización.

En algunos casos, los empleados que hacen clic en el enlace malicioso simulado son dirigidos a una página de destino que indica que fueron víctimas de un ataque de phishing simulado, con información sobre cómo detectar mejor las estafas de phishing y otros ataques cibernéticos en el futuro. Luego de la simulación, las organizaciones también reciben datos sobre el porcentaje de clics de los empleados y, a menudo, realizan un seguimiento con formación adicional de concienciación sobre el phishing.

Las estadísticas recientes muestran que las amenazas de phishing continúan aumentando. Desde 2019, la cantidad de ataques de phishing creció un 150 % por año ; el Grupo de Trabajo Anti-Phishing (APWG) informó un máximo histórico de phishing en 2022, registrando más de 4.7 millones de sitios de phishing. Según Proofpoint, el 84 % de las organizaciones en 2022 experimentaron al menos un ataque de phishing exitoso.

Debido a que incluso las mejores puertas de enlace de correo electrónico y herramientas de seguridad no pueden proteger a las organizaciones de todas las campañas de phishing, las organizaciones recurren cada vez más a las simulaciones de phishing. Las simulaciones de phishing bien elaboradas ayudan a mitigar el impacto de los ataques de phishing de dos maneras importantes. Las simulaciones proporcionan que los equipos de seguridad de la información necesitan entrenar a los empleados para que reconozcan mejor y eviten los ataques de phishing en la vida real. También ayudan a los equipos de seguridad a identificar vulnerabilidades, mejorar la respuesta general a incidentes y reducir el riesgo de filtraciones de datos y pérdidas financieras causadas por intentos de phishing exitosos.

Las pruebas de phishing suelen formar parte de una capacitación más general de conocimientos sobre seguridad dirigida por los departamentos de TI o los equipos de seguridad.

El proceso generalmente consta de cinco pasos:

1. Planeación: las organizaciones comienzan por definir sus objetivos y establecer el alcance, decidiendo qué tipo de correos electrónicos de phishing usar y la frecuencia de las simulaciones. También determinan el público objetivo, incluida la segmentación de grupos o departamentos específicos y, a menudo, ejecutivos. 
2. Redacción: luego de elaborar un plan, los equipos de seguridad redactan correos electrónico de phishing simulados y realistas que se asemejan mucho a las amenazas de phishing reales, a menudo modelados en plantillas de phishing y kits de phishing disponibles en la dark web. Prestan mucha atención a detalles como líneas de asunto, direcciones de remitentes y contenido para hacer simulaciones de phishing realistas. También incluyen tácticas de ingeniería social, incluso suplantar (o "falsificar la identidad" o "spoofing") a un ejecutivo o colega de trabajo como remitente, para aumentar la probabilidad de que los empleados hagan clic en los correos electrónicos.
3. Envío: una vez que finalizan la redacción del contenido, los equipos de TI o los proveedores externos envían los correos electrónicos de phishing simulados a la audiencia objetivo a través de medios seguros, teniendo en cuenta la privacidad.
4. Monitoreo: después de enviar los correos electrónicos maliciosos simulados, los líderes rastrean y registran de cerca cómo los empleados interactúan con los correos electrónicos simulados, monitoreando si hacen clic en enlaces, descargan archivos adjuntos o proporcionan información confidencial.
5. Análisis: luego de la prueba de phishing, los líderes de TI analizan los datos de la simulación para determinar tendencias, como tasas de clics y vulnerabilidades de seguridad. Luego, hacen un seguimiento con los empleados que fallaron la simulación con retroalimentación inmediata, explicando cómo podrían identificar correctamente el intento de phishing y cómo evitar ataques reales en el futuro.

Una vez que completan estos pasos, muchas organizaciones compilan un reporte completo que resume los resultados de la simulación de phishing para compartir con los stakeholders relevantes. Algunos también usan los insights para mejorar su capacitación en conocimientos sobre seguridad antes de repetir el proceso de manera regular para mejorar los conocimientos sobre ciberseguridad y mantener a la vanguardia de las amenazas cibernéticas en evolución.

Al ejecutar una campaña de simulación de phishing, las organizaciones deben tener en cuenta lo siguiente.

• Frecuencia y variedad de las pruebas: muchos expertos sugieren realizar simulaciones de phishing de manera regular durante todo el año con diferentes tipos de técnicas de phishing. Esta mayor frecuencia y variedad puede ayudar a reforzar los conocimientos de ciberseguridad, al tiempo que garantiza que todos los empleados permanezcan atentos a las amenazas de phishing en evolución.
• Contenido y métodos: en relación con el contenido, las organizaciones deben desarrollar correos electrónicos de phishing simulados que se parezcan a intentos de phishing realistas. Una forma de hacerlo es mediante el uso de plantillas de phishing basadas en tipos populares de ataques de phishing para atacar a los empleados. Por ejemplo, una plantilla podría enfocarse en el compromiso de correo electrónico empresarial (BEC) , también llamado fraude del CEO, un tipo de phishing en el que los cibercriminales emulan un correo electrónico de un alto ejecutivo de la organización para engañar a los empleados a fin de que divulguen información confidencial o transfieran grandes sumas de dinero a un supuesto proveedor. Al igual que los delincuentes cibernéticos que lanzan estafas BEC en la vida real, los equipos de seguridad que diseñan la simulación deben investigar cuidadosamente al remitente y los destinatarios para que el correo electrónico sea creíble.
• Momento de la simulación: El momento ideal para que las organizaciones realicen una simulación de phishing sigue siendo un tema continuo de debate. Algunos prefieren implementar una prueba de phishing antes de que los empleados completen cualquier capacitación de conocimientos sobre phishing para establecer un punto de referencia y medir la eficiencia de futuras soluciones de simulación de phishing. Otros prefieren esperar hasta después de la capacitación de conocimientos sobre phishing para probar la efectividad del módulo y ver si los empleados reportan adecuadamente los incidentes de phishing. El momento en que una organización decide ejecutar una simulación de phishing depende de sus necesidades y prioridades.
• Seguimiento educativo: no importa cuándo las organizaciones decidan realizar una prueba de phishing, generalmente es parte de un programa de capacitación de conocimientos sobre seguridad más amplio y completo. La capacitación de seguimiento ayuda a los empleados que no pasaron la prueba a sentir apoyados en lugar de simplemente engañados, y proporciona conocimientos e incentivos para identificar emails sospechosos o ataques reales en el futuro.
• Seguimiento de avances y tendencias: Luego de las simulaciones, las organizaciones deben medir y analizar los resultados de cada prueba de simulación de phishing. Esto puede identificar áreas de mejora, incluidos empleados específicos que pueden necesitar capacitación adicional. Los equipos de seguridad también deben mantener informados de las últimas tendencias y tácticas de phishing para que la próxima vez que ejecuten una simulación de phishing, puedan probar a los empleados con las amenazas más relevantes de la vida real.

Las simulaciones de phishing y las capacitaciones de conocimientos sobre seguridad son medidas preventivas importantes, pero los equipos de seguridad también necesitan capacidades de detección y respuesta a amenazas de última generación para mitigar el impacto de las campañas de phishing exitosas.