Durante 2025 realizamos más de 500 simulaciones de phishing en empresas mexicanas de diversos sectores. Los resultados son reveladores y alarmantes.
Los datos duros
- 68% de los colaboradores hizo clic en al menos un correo malicioso en su primera simulación
- 34% ingresó credenciales en la página de phishing falsa
- Solo el 8% reportó el correo como sospechoso al equipo de TI
- Los departamentos más vulnerables: Contabilidad (82%), RH (76%) y Ventas (71%)
- Los más resistentes: TI (23%) y Legal (35%)
Tipos de phishing que más funcionan
- "Tu contraseña expirará en 24 horas": 73% de clic — El miedo a perder acceso es poderoso
- "Factura pendiente de pago": 64% de clic — Especialmente efectivo en áreas de finanzas
- "Paquete no entregado (DHL/FedEx)": 58% de clic — Apela a la curiosidad personal
- "El CEO necesita que hagas una transferencia urgente": 45% de clic — Business Email Compromise (BEC)
Cómo diseñar un programa efectivo
Mes 1-2: Evaluación base
Ejecutar 2-3 simulaciones de diferentes tipos sin previo aviso. Esto establece la línea base de vulnerabilidad de tu organización.
Mes 3-4: Capacitación intensiva
Sesiones de 30 minutos por departamento con ejemplos reales de phishing. Mostrar las simulaciones que cayeron como casos de estudio. Enseñar las 5 señales universales de phishing:
- Urgencia artificial ("actúa ahora o pierde acceso")
- Errores gramaticales o de formato
- Remitente desconocido o diferente al nombre mostrado
- URL sospechosa (hover antes de hacer clic)
- Solicitud de información sensible
Mes 5-12: Refuerzo continuo
Simulaciones mensuales con complejidad creciente. Reconocimiento público para quienes reportan correctamente. Dashboard de métricas visible para la dirección.
Resultado después de 6 meses
Las empresas que mantuvieron un programa continuo redujeron la tasa de clic del 68% al 12% y aumentaron los reportes de correos sospechosos del 8% al 65%. El ROI es indiscutible.