Factor humano
La mayoría de los incidentes no empiezan con una vulnerabilidad técnica, sino con alguien que hace clic donde no debe, atiende una llamada que no era o abre un adjunto que parecía de un compañero. Simulamos esos ataques de forma controlada, por correo, por teléfono y por mensaje, para ver cómo responde tu gente ante el engaño real. No para señalar a nadie, sino para saber por dónde entrarían de verdad y entrenar justo ahí.
Ejercicios acordados y controlados, en toda España.
Por qué
Puedes blindar la tecnología hasta el último puerto, pero el correo, el teléfono y la confianza siguen abiertos. Por ahí entra el atacante que tiene prisa, y por ahí empiezan casi todos los incidentes.
La gran mayoría de las intrusiones arrancan con un engaño, no con un exploit. Es, sencillamente, el camino más corto para entrar.
Puedes tener el mejor filtro de correo y el mejor segundo factor, y aun así basta un mensaje convincente en el momento justo.
Antes de escribir, investiga tu organización: quién es quién, de qué proveedores te fías y qué tono usáis entre vosotros.
Caer en una simulación no es un fallo personal: es justo el dato que necesitamos para reforzar a quien lo necesita.
Qué probamos
No usamos un cebo genérico: elegimos el canal y la excusa según cómo entraría de verdad un atacante a tu organización. Estos son los frentes que ponemos a prueba.
Correos que imitan a un servicio, un proveedor o un compañero, con un enlace o un adjunto que no es lo que parece.
Lo mismo, pero dirigido: a una persona o un departamento concretos, con un cebo hecho a su medida tras estudiarlos.
Llamadas en las que alguien se hace pasar por soporte, por un banco o por un directivo para sacar información o accesos.
Mensajes al móvil y códigos QR (qrishing), donde se baja la guardia y se actúa deprisa porque parece algo cotidiano.
Hacerse pasar por quien no se es, con una excusa creíble, para que alguien abra una puerta que debería estar cerrada.
Colarse en una sede, dejar un dispositivo tentador o seguir a alguien por una puerta de acceso, cuando el alcance lo incluye.
Y cuando tiene sentido, incorporamos lo que ya usan los atacantes de hoy: cebos redactados con IA generativa y voces clonadas para una llamada más creíble. El engaño moderno es difícil de distinguir a ojo, y de eso se trata.
Cómo
Realista por fuera, controlado por dentro. El alcance, los límites y a quién avisar se acuerdan contigo de antemano, para que el negocio nunca se lleve un susto de verdad.
Como haría un atacante, estudiamos tu organización en abierto: nombres, roles, proveedores y tono. Cuanto más creíble, más realista la prueba.
Montamos la campaña a tu medida, eligiendo canal y pretexto según por dónde entrarían de verdad.
Ejecutamos el ataque simulado en el alcance acordado y registramos cada paso: quién abrió, quién hizo clic, quién entregó datos y quién dio la alarma.
Te entregamos la foto completa y, donde alguien cayó, convertimos ese momento en aprendizaje en lugar de en reproche.
Qué te llevas
Nada de sensaciones: datos concretos y accionables sobre cómo reacciona tu organización ante un engaño real, y por dónde empezar a reforzarla.
Cuántas personas abrieron, hicieron clic o entregaron sus datos, por área y por tipo de cebo, sin nombres en la picota.
Igual de importante: quién detectó el ataque y lo reportó, que es justo el comportamiento que queremos reforzar.
El tiempo entre que llega el cebo y alguien avisa dice mucho de tu capacidad real de respuesta.
Si el filtro de correo, el segundo factor o los avisos internos hicieron su trabajo, o se quedaron cortos.
Las áreas y los pretextos más peligrosos para ti, para que la formación vaya a lo que duele y no a lo genérico.
El punto de partida con el que comprobar si, después de formar, la próxima vez se cae menos.
Cómo lo planteamos
Un ejercicio de ingeniería social no sirve para hacer una lista de culpables. Si publicas quién cayó, lo único que consigues es que la próxima vez nadie reporte por miedo. Nosotros trabajamos al revés: los datos van agregados, el foco está en aprender y el comportamiento que premiamos es el de quien levanta la mano y avisa. Cualquiera puede caer en el mensaje correcto en el momento equivocado; de eso va, precisamente, entrenar.
Y tiene premio fuera del propio ejercicio: demostrar que pruebas y formas a tu gente es parte de lo que esperan marcos como NIS2 y los esquemas de cumplimiento. La concienciación deja de ser una casilla marcada y pasa a tener evidencia detrás.
Encaja con
Un ejercicio de ingeniería social rinde de verdad cuando lo que descubre se convierte en acción. Por eso alimenta directamente la concienciación y formación, para entrenar justo donde se cayó. Es además una de las piezas de un Red Team, donde el engaño a las personas se combina con la intrusión técnica para emular a un adversario completo. Y mientras formas, Sondriva, nuestro SOC, vigila los intentos de phishing reales que van llegando a tu organización.
Dudas
Es un ataque que no va contra tus máquinas, sino contra tus personas. En vez de buscar un fallo técnico, el atacante manipula a alguien para que haga clic, entregue una contraseña, abra un adjunto o dé acceso, normalmente jugando con la urgencia, la confianza o la autoridad. El phishing es el caso más conocido, pero no el único.
El phishing es una parte, la más habitual, pero no todo. Una simulación de phishing se queda en el correo; un ejercicio de ingeniería social abarca también llamadas (vishing), mensajes de móvil (smishing) y códigos QR, suplantación de identidad e incluso intrusión física. Elegimos los canales según cómo entraría de verdad un atacante a tu organización.
No, y es importante. Los datos van siempre agregados, por área y por tipo de cebo, nunca como una lista de culpables. Si publicas quién cayó, lo único que consigues es que la próxima vez nadie reporte por miedo. El objetivo es medir y entrenar, y el comportamiento que premiamos es el de quien detecta el ataque y avisa.
Phishing y spear phishing por correo, vishing por teléfono, smishing y códigos QR por móvil, suplantación de identidad y pretexting, y cuando el alcance lo incluye, intrusión física: colarse en una sede, dejar un dispositivo o seguir a alguien por una puerta. Adaptamos el canal y el pretexto a tu contexto real.
La gracia del ejercicio es que la gente no sepa la fecha ni el cebo concreto, porque así medimos la reacción real. Lo que sí acordamos de antemano contigo es el alcance, los límites y a quién avisar dentro de la organización, para que nadie del negocio se lleve un susto de verdad y el ejercicio sea siempre controlado.
La foto de cómo responde tu gente: cuántos entraron al engaño y por dónde, cuántos lo detectaron y reportaron, cuánto se tardó en reaccionar y qué controles aguantaron. Y, sobre todo, dónde formar primero, para que la concienciación vaya a lo que de verdad te expone y no a lo genérico.
Sí, cuando el alcance lo incluye. La ingeniería social no siempre es digital: a veces el camino más corto es presentarse en recepción con una excusa creíble, dejar un USB tentador en el aparcamiento o seguir a alguien por una puerta de acceso. Lo hacemos siempre dentro de lo acordado y de forma controlada.
Cuando tiene sentido, sí, porque los atacantes ya lo hacen. La IA generativa permite redactar cebos casi perfectos y clonar voces para una llamada de vishing más creíble. Incorporar estas técnicas en el ejercicio mide si tu gente está preparada para la siguiente generación de engaños, no solo para los de hace años.
Ayuda. Marcos como NIS2 y los esquemas de cumplimiento esperan que formes y conciencies a tu plantilla, y un ejercicio de ingeniería social te da la evidencia de que esa formación se prueba y funciona. La concienciación deja de ser una casilla marcada y pasa a tener un dato detrás.
¿Hablamos?
Cuéntanos cómo se comunica tu organización y a quién quieres poner a prueba, y diseñamos un ejercicio de ingeniería social a tu medida, controlado y sin sorpresas para el negocio.
Ponte en contacto