Casi todas las organizaciones que arrancan un programa de awareness empiezan por lo mismo: enviar una simulación de phishing, contar cuántas personas hicieron clic y guardar el número. Un mes después repiten el ejercicio, comparan los dos porcentajes y declaran que el programa “está funcionando” o que “la gente no aprende”. En la mayoría de los casos no es ni una cosa ni la otra. Lo que suele fallar no es la gente, sino el diseño de la campaña.
El Verizon DBIR 2026 muestra que el phishing dejó de concentrarse en el correo: los atacantes se desplazaron al móvil, donde las tasas de clic en mensajes de texto y llamadas son más altas. El factor humano sigue en el centro, solo que ahora repartido en más canales. Entrenar esa respuesta es exactamente para lo que sirve una simulación, pero solo si está pensada para cambiar conducta y no para producir un porcentaje. Veamos qué separa a una campaña que mueve la aguja de una que solo genera un reporte.
¿Qué es una simulación de phishing?
Una simulación de phishing es un envío controlado que reproduce un ataque de ingeniería social (por correo, SMS, código QR o voz) con el objetivo de medir y entrenar la respuesta de las personas frente a ese ataque, sin exponerlas a un riesgo real. Funciona como un ensayo, no como una trampa para “atrapar” a quien se equivoca, y su valor está en lo que se aprende después, no en el resultado del primer intento.
De esa definición se desprende el criterio que ordena todo lo demás. Una buena campaña es la que produce un cambio de comportamiento medible y sostenido, no la que baja la tasa de clics una vez. Si una decisión de diseño no contribuye a ese cambio, sobra.
¿Por qué la tasa de clics no alcanza para diseñar la campaña?
La tasa de clics es fácil de medir y por eso domina los reportes. El problema es que dice muy poco. Una organización puede bajar su porcentaje de clics simplemente repitiendo la misma plantilla hasta que todos la reconozcan, sin que nadie haya aprendido a detectar un ataque nuevo.
Lo que conviene observar es otra cosa: cuántas personas reportan el correo sospechoso, en cuánto tiempo llega el primer reporte y cómo evoluciona el mismo grupo a lo largo de los meses. Hay un análisis más extenso sobre qué debería medir de verdad un programa de awareness, pero la idea central es simple: la simulación se diseña hacia atrás, empezando por la conducta que se quiere ver, no por el número que se quiere bajar.
¿Qué tan parecido al ataque real tiene que ser el escenario?
Una simulación entrena solo si se parece a algo que podría llegar mañana. Si las personas ven siempre una plantilla genérica con el logo de un banco que no usan, aprenden a reconocer esa plantilla y nada más. Cuando el escenario no se parece a lo que la organización recibe de verdad, lo aprendido se queda en la simulación y nunca llega al correo real. Por eso el realismo es la primera decisión de diseño de una campaña.
Diseñar realismo implica tres decisiones concretas:
- Localización por contexto, no por idioma. Un aviso de una entidad fiscal argentina no entrena a una empresa española, aunque ambos estén en español. El señuelo tiene que pertenecer al entorno real de quien lo recibe.
- Vectores actuales. Hoy los ataques combinan canales: correo, SMS (smishing), códigos QR (quishing) y voz (vishing). Una campaña que solo simula email entrena para la mitad del problema.
- Dificultad progresiva. Empezar por señuelos evidentes y subir el nivel a medida que el grupo madura. Arrancar con el correo más sofisticado posible solo genera frustración y refuerza la idea de que “es imposible darse cuenta”.
Hay un detalle operativo que condiciona todo lo anterior: si las simulaciones necesitan que TI agregue excepciones en el filtro de correo, los mensajes llegan “marcados como seguros” y la respuesta se distorsiona. Vale la pena entender por qué entregar la simulación sin pedir whitelist cambia la calidad del dato, y cómo los falsos positivos de sandboxes y scanners pueden contaminar las métricas si la herramienta no los filtra.
¿Cada cuánto conviene enviar simulaciones?
La frecuencia es donde más programas se desbarrancan, por exceso o por defecto. Una sola campaña al año es un examen sorpresa: mide, pero no enseña. Una campaña por semana satura, y la saturación produce el efecto contrario al buscado, porque la gente deja de prestar atención a lo que se vuelve rutina.
El equilibrio razonable para la mayoría de las organizaciones es una cadencia regular y espaciada, sostenida en el tiempo, ajustada al nivel de madurez de cada grupo. Lo desarrollamos en detalle en cuánto duran las campañas de phishing, pero el principio es que el aprendizaje vive en la repetición espaciada, no en el evento único ni en el bombardeo.
¿Qué pasa en el momento del clic?
Aquí se decide si una campaña enseña o solo califica. Cuando una persona hace clic en una simulación, está en el instante de máxima atención: sabe que algo pasó y quiere entender qué. Desperdiciar ese momento con una pantalla que dice “te equivocaste” es tirar a la basura la mejor oportunidad de aprendizaje de todo el programa.
Una campaña diseñada para cambiar conducta dispara en ese instante un momento educativo: contenido breve, inmediato y sin tono punitivo que muestra qué pistas había en el correo y cómo reconocerlas la próxima vez. Funciona porque el aprendizaje se fija cuando el error está fresco, no semanas después en una capacitación agendada. Es la misma lógica de cómo los nudges y los momentos educativos moldean el comportamiento: intervenir en el momento justo, con la dosis justa.
¿Cómo se sostiene una cultura sin culpa?
Ninguna campaña cambia comportamiento si las personas la viven como una cacería. Si caer en una simulación se traduce en exposición pública o en una sanción, las personas aprenden a esconder el error en lugar de reportarlo, y un incidente escondido es mucho más caro que uno reportado a tiempo. El objetivo es construir un reflejo de reporte, y ese reflejo solo crece en un entorno donde reportar (incluso después de haber hecho clic) es fácil, seguro y se reconoce. Cuanto menos fricción tenga el gesto, mejor: un botón de reporte integrado en la propia bandeja convierte el aviso en un solo clic y devuelve retroalimentación inmediata a la persona.
Por eso la métrica más valiosa de una campaña madura no es cuánta gente cae, sino cuánta gente reporta y qué tan rápido. Una organización donde el primer reporte llega en dos minutos tiene una ventana real de defensa; una donde nadie reporta, tiene un riesgo silencioso.
¿Cómo lo resuelve SMARTFENSE?
SMARTFENSE es una plataforma de awareness presente en más de 30 países de LATAM y España, y su herramienta de simulación de ataques de phishing está construida sobre estos principios. El catálogo de plantillas está localizado por país y se actualiza con las campañas reales que se observan en la región; cubre los cuatro vectores (email, smishing, quishing y vishing); se integra por API con Microsoft 365 y Google Workspace para entregar las simulaciones en la bandeja sin requerir whitelist; y, en el momento del clic, dispara un momento educativo que refuerza el aprendizaje cuando la atención está alta. Las métricas no se quedan en la tasa de clics: incluyen tasa de reporte, tiempo hasta el primer reporte y evolución longitudinal por usuario, alimentadas por un botón de reporte que registra cada aviso en la auditoría y refuerza el hábito con retroalimentación al instante.
Una simulación de phishing bien diseñada no es la que pesca a más gente. Es la que logra que, la próxima vez, frente a un correo real, una persona se detenga un segundo antes de hacer clic. Ese segundo es todo el programa. Si quieres ver cómo se diseña una campaña así de punta a punta, una demo de SMARTFENSE es un buen lugar para empezar.
Deja un comentario