Higiene del correo electrónico y formación en concienciación sobre phishing

Puede configurar SPF, DKIM y DMARC a la perfección. Puede desplegar la mejor pasarela de seguridad de correo electrónico. Y aun así alguien de su equipo hará clic en un enlace de phishing porque el correo parecía exactamente un restablecimiento de contraseña de Slack.

Los controles técnicos detectan mucho. Pero la última línea de defensa siempre es el criterio humano. Este capítulo trata de desarrollar ese criterio en todo su equipo, sin que todo el mundo odie la formación en seguridad.

Por qué la mayoría de la formación en seguridad fracasa

La formación tradicional en concienciación sobre seguridad tiene este aspecto: una vez al año, todos ven un vídeo de 45 minutos sobre contraseñas y phishing, hacen clic por unas diapositivas, superan un cuestionario y lo olvidan todo en una semana.

Esto no funciona porque:

Es abstracta — Los ejemplos genéricos no se sienten relevantes. «Alguien podría enviarte un correo falso» no prepara a las personas para un correo convincente que parece venir exactamente de su CEO.

Es infrecuente — Una formación al año significa 364 días sin refuerzo. Las habilidades se deterioran rápido.

Es pasiva — Ver vídeos no desarrolla instintos. Las personas necesitan práctica.

Se siente como castigo — La formación de cumplimiento obligatoria que interrumpe el trabajo real simplemente molesta a las personas.

El objetivo no es marcar una casilla de cumplimiento. Es cambiar realmente el comportamiento.

Los fundamentos: lo que todos necesitan saber

Antes de entrar en los métodos de formación, aquí está el conocimiento básico que necesita cada empleado.

¿Qué es el phishing?

Explíquelo con sencillez: «El phishing es cuando alguien se hace pasar por otra persona para engañarle y que les dé acceso o información. Pueden hacerse pasar por IT, su banco, un proveedor o incluso su CEO.»

El objetivo suele ser:

• Robar credenciales de inicio de sesión (mediante páginas de inicio de sesión falsas)
• Instalar malware (mediante archivos adjuntos o descargas)
• Obtener dinero (mediante facturas falsas o solicitudes de transferencia bancaria)
• Robar datos (mediante solicitudes disfrazadas de legítimas)

¿Por qué alguien nos atacaría a nosotros?

Las empresas pequeñas a menudo piensan que no vale la pena atacarlas. Explique la realidad:

«Los atacantes no siempre atacan de forma específica. Las campañas de phishing se envían a miles de empresas. Si el 1% de los empleados del 1% de las empresas hace clic, eso sigue siendo miles de víctimas. No nos están atacando personalmente: nos están barriendo en campañas masivas.»

Y a veces sí le atacan específicamente: «Nuestros proveedores, nuestros clientes y cualquier persona con quien hagamos negocios podría usarse contra nosotros. Si alguien compromete nuestro correo electrónico, puede suplantarnos ante nuestros clientes.»

Las reglas básicas

Dé a las personas reglas simples y procesables:

1. Verifique las solicitudes inesperadas

Cualquier correo electrónico que le pida:

• Enviar dinero o cambiar datos de pago
• Compartir datos sensibles
• Hacer clic en un enlace e introducir credenciales
• Descargar y ejecutar algo

...debe verificarse a través de un canal separado. Llame a la persona usando un número conocido. Vaya a su escritorio. Envíele un mensaje por Slack. No responda al correo electrónico.

2. Compruebe el remitente cuidadosamente

Mire la dirección de correo electrónico real, no solo el nombre para mostrar. Los atacantes usan:

• [email protected] (cero en lugar de 'o')
• [email protected] (TLD incorrecto)
• [email protected] (dominio diferente por completo)
• [email protected] (correo personal suplantando el corporativo)

3. Pase el ratón antes de hacer clic

Antes de hacer clic en cualquier enlace, pase el ratón sobre él para ver adónde va realmente. El texto puede decir «Haga clic aquí para ver su factura» pero el enlace va a sitio-malicioso.com/factura.

4. Desconfíe de la urgencia

Los correos de phishing crean pánico: «¡Su cuenta será suspendida!» «¡Responda inmediatamente!» «¡Es urgente!» Los problemas reales de IT no requieren que haga clic en un enlace en los próximos 10 minutos.

5. Cuando tenga dudas, informe

Si algo parece raro, informe. Es mejor informar sobre 10 correos legítimos que perderse un intento de phishing. Haga que informar sea fácil y nunca castigue a las personas por informar.

Cómo reconocer el phishing: la guía detallada

Profundice para quienes quieran entender los mecanismos.

Señales de alerta en el remitente

El nombre para mostrar no coincide con la dirección de correo

From: "Microsoft Support" <[email protected]>

El nombre dice Microsoft, pero la dirección es un Gmail aleatorio.

Dominios similares

From: [email protected]  (rn parece m)
From: [email protected]  (1 en lugar de l)
From: [email protected]  (palabras añadidas)

Correo gratuito para asuntos de empresa Las empresas legítimas no envían comunicaciones oficiales desde @gmail.com o @yahoo.com.

Señales de alerta en el contenido

Saludos genéricos «Estimado cliente» o «Estimado usuario» en lugar de su nombre. Los servicios legítimos generalmente conocen su nombre.

Errores ortográficos y gramaticales No siempre presentes en ataques sofisticados, pero habituales en campañas masivas.

URLs que no coinciden El texto del enlace dice una cosa, la URL real es diferente:

<a href="http://malicious-site.com/fake-login">https://accounts.google.com/login</a>

Amenazas y urgencia «Su cuenta será cancelada en 24 horas a menos que verifique su identidad inmediatamente.»

Solicitudes que evitan el proceso normal «Necesito que compre tarjetas regalo para una reunión con un cliente» — ¿desde cuándo hacemos eso?

Archivos adjuntos que no esperaba Facturas, contratos o documentos inesperados de personas que no conoce.

Señales de alerta en el contexto

Momento El phishing a menudo llega en momentos de mucho trabajo (fin de trimestre, tarde del viernes) cuando las personas están apuradas y menos atentas.

Solicitudes fuera de lo normal ¿El CEO de repente le pide a un becario que realice una transferencia bancaria? ¿El departamento de IT enviando desde una dirección de Gmail? Confíe en sus instintos.

Respuestas a correos que no envió «Tal como solicitó, aquí está el documento» — pero usted nunca hizo ninguna solicitud.

Realización de simulaciones de phishing eficaces

Las simulaciones son la mejor manera de desarrollar habilidades reales. Leer sobre phishing no se compara con experimentarlo.

Configuración de simulaciones

Elija una herramienta:

Gratuitas/Código abierto:

• Gophish — La más popular, autohospedada
• King Phisher — Rica en funciones

Comerciales:

• KnowBe4 — El proveedor más grande, tiene prueba gratuita
• Cofense
• Proofpoint

Para la mayoría de las empresas pequeñas, Gophish es suficiente y gratuito.

Cree escenarios realistas:

No los haga obvios. Use escenarios que encajen en su entorno:

• Restablecimiento de contraseña falso de herramientas que realmente usa (Slack, GitHub, Google)
• Notificación de envío falsa (todo el mundo compra cosas online)
• Documento compartido falso de un nombre de compañero
• Solicitud falsa de IT que suena plausible

Empiece fácil, aumente la dificultad:

Primera simulación: señales de alerta obvias (remitente incorrecto, errores ortográficos) Segunda simulación: más sutil (marca correcta, contenido plausible) Simulaciones posteriores: muy dirigidas (referencia a proyectos reales, compañeros reales)

Qué medir

Tasa de clics — ¿Qué porcentaje de personas hizo clic en el enlace?

Tasa de informes — ¿Qué porcentaje informó el correo como sospechoso?

Tiempo hasta el clic — ¿Con qué rapidez hicieron clic las personas? (Más rápido = menos reflexión)

Tasa de envío de datos — Si usó una página de inicio de sesión falsa, ¿cuántos introdujeron credenciales?

Haga un seguimiento a lo largo del tiempo. Busque:

• Tasa de clics bajando
• Tasa de informes subiendo

Gestión de los resultados

No avergüence públicamente a quienes hacen clic.

Esto destruye la confianza y hace que las personas oculten los errores en lugar de informarlos. La seguridad requiere seguridad psicológica.

Proporcione formación inmediata:

Cuando alguien hace clic, rediríjale a una página de formación que explique:

• Qué se le escapó
• Cómo reconocer ataques similares
• Que esto fue una prueba y no hubo daños
• Cómo informar correos sospechosos en el futuro

Haga seguimiento con personas que necesitan ayuda:

Si alguien hace clic repetidamente, proporcione formación individual. Algunas personas necesitan más ayuda: eso está bien, ayúdeles.

Frecuencia

Realice simulaciones trimestralmente como mínimo. Mensualmente es mejor si su herramienta lo facilita.

Varíe los escenarios. Si las personas esperan «restablecimiento de contraseña falso» cada vez, lo identificarán. Mezcle los tipos de ataque.

Formatos de formación que funcionan

Puntos de contacto cortos y frecuentes

En lugar de un maratón anual, pruebe:

• Consejos de 5 minutos mensuales en las reuniones de equipo
• «Phishing Friday» semanal con un ejemplo real
• Recordatorios breves antes de periodos de alto riesgo (temporada de impuestos, vacaciones)

Muestre ejemplos reales

Recopile correos de phishing que realmente se dirigieron a su empresa. Anonimice si es necesario y luego muestre:

• Así es como era el ataque
• Esto es lo que lo delató
• Esto es lo que habría ocurrido si alguien hubiera hecho clic

Los ejemplos reales se recuerdan mejor que los hipotéticos.

Talleres interactivos

Olvídese de las diapositivas. Pruebe:

• Mostrar un correo en la pantalla, preguntar «¿Real o phishing?» — que la gente vote
• Analizar cabeceras juntos
• Practicar el paso del ratón sobre los enlaces
• Juegos de rol en el proceso de verificación

Hágalo un juego. La competencia mantiene a las personas comprometidas.

Formación justo a tiempo

Imparta la formación cuando sea relevante:

• Incorporación de nuevos empleados: cubra los conceptos básicos de phishing
• Después de un fallo en la simulación: proporcione orientación específica
• Después de un intento de phishing real: «Esto es lo que vimos esta semana»
• Antes de eventos importantes: «Esté atento al phishing relacionado con impuestos en abril»

Construcción de una cultura de informes

El objetivo no es cero clics: es el 100% de informes. Las personas cometerán errores. Lo que importa es que los reconozcan y los informen rápidamente.

Haga que informar sea trivialmente fácil

Botón de correo electrónico:

• Google Workspace: Active «Report phishing» en Gmail
• Microsoft 365: Añada el botón «Report Message» a Outlook

Un clic. Sin fricción.

Dirección de correo electrónico dedicada: Configure [email protected] o [email protected]. Dígale a todo el mundo: «Si no está seguro, reenvíelo aquí.»

Canal de Slack/Teams: Cree #security-reports donde las personas puedan publicar capturas de pantalla de correos sospechosos. Esto también educa a otros que ven las publicaciones.

Responda a los informes

Confirme cada informe. «¡Gracias por informar! Esto era efectivamente un intento de phishing» o «Gracias por comprobarlo: este era legítimo.»

Si no responde, la gente deja de informar.

Celebre a quienes informan. En las reuniones de equipo: «Sara detectó un intento de phishing esta semana que podría haber sido grave. ¡Gracias, Sara!» Convierta el informar en algo positivo.

Nunca castigue los falsos positivos. Si alguien informa un correo legítimo, agradézcaselo de todos modos. «Más vale prevenir que curar» debería ser la cultura.

Haga seguimiento de las métricas de informes

Monitorice:

• Número de informes por semana
• Porcentaje de informes que son amenazas reales
• Tiempo desde la recepción hasta el informe
• Quién informa y quién no

Si ciertos equipos nunca informan de nada, puede que necesiten formación adicional (o puede que no sepan cómo).

Comunicación con los empleados

Cómo habla sobre seguridad importa tanto como lo que dice.

Evite el miedo y la culpa

Malo: «Si hace clic en un enlace de phishing, podría destruir la empresa.» Bueno: «El phishing es habitual y cada vez más sofisticado. Aquí está cómo nos protegemos.»

El miedo hace que las personas oculten los errores. Quiere que las personas se sientan seguras informando.

Sea práctico, no sermoneador

Malo: «La seguridad es responsabilidad de todos y debemos estar vigilantes en todo momento.» Bueno: «Aquí hay tres cosas que comprobar antes de hacer clic en cualquier enlace de un correo.»

El consejo específico y procesable supera a los principios vagos.

Explique el porqué

Malo: «Debe verificar las solicitudes de transferencia bancaria por teléfono.» Bueno: «El fraude por transferencia bancaria le cuesta millones a las empresas. Los atacantes son buenos suplantando a los ejecutivos. Una llamada de 2 minutos lo previene.»

Cuando las personas entienden por qué existe una regla, la siguen.

Admita que la seguridad es difícil

«Los correos de phishing están mejorando. Algunos son realmente convincentes. Si le engañan, no significa que sea estúpido: significa que los atacantes son buenos en su trabajo. Lo que importa es que lo informe de inmediato.»

Esto es honesto y reduce la vergüenza.

Plantilla de materiales de formación

Aquí hay contenido que puede adaptar para su propia formación.

Sesión informativa de seguridad del correo electrónico para nuevos empleados (15 minutos)

Introducción (2 min): «El correo electrónico es como comienzan la mayoría de los ataques. Usted recibirá correos de phishing: todo el mundo los recibe. Así es como gestionarlos.»

Los conceptos básicos (5 min):

• Qué aspecto tiene el phishing
• Las tres preguntas antes de hacer clic en cualquier enlace:
  1. ¿Esperaba este correo?
  2. ¿La dirección del remitente parece correcta?
  3. ¿Tiene sentido la solicitud?

Nuestro proceso de informes (3 min):

• Cómo informar correos sospechosos (muestre el botón/dirección)
• Qué ocurre cuando informa (investigamos y respondemos)
• Siempre es mejor informar y equivocarse que no informar y tener razón

Demostración (5 min):

• Muestre 3 correos: 2 de phishing, 1 legítimo
• Explique qué buscar
• Pídales que identifiquen cuál es cuál

Correo electrónico de recordatorio de seguridad mensual

Subject: Security tip: [specific topic]

Hi team,

This month's security tip: [topic]

[2-3 paragraphs with specific, actionable advice]

Example: [real or realistic example of the threat]

What to do: [specific action items]

Questions? Reply to this email or message me directly.

— [Security Champion name]

Sea conciso. La gente no leerá correos largos.

Comunicación post-simulación

Para quienes hicieron clic:

Subject: About the email you clicked earlier...

That was a simulated phishing email from our security team. No harm was done — this was just training.

Here's what the email looked like: [screenshot]

The red flags were:
- [specific red flag 1]
- [specific red flag 2]

For future emails like this:
- [specific advice]

Questions? I'm happy to walk through this with you.

Para toda la empresa (después de la simulación):

Subject: Results from this month's phishing simulation

Hi team,

We ran a phishing simulation this week to test our awareness and help everyone practice spotting attacks.

Results:
- X% of people clicked the link (down from Y% last time)
- Z people reported it as suspicious (great job!)

The simulated email was: [brief description]

Here's what gave it away:
- [red flag 1]
- [red flag 2]

Remember: if you're ever unsure about an email, forward it to [email protected] or click the "Report phishing" button.

— [Security Champion]

Qué hacer cuando alguien hace clic en un enlace de phishing real

Esta es la sección que todos esperan no necesitar nunca. Alguien hizo clic en un enlace, introdujo credenciales o abrió un archivo adjunto, y no era una simulación.

Para los empleados: la respuesta inmediata

Si hizo clic en un enlace sospechoso o introdujo su contraseña:

1. No entre en pánico. La acción rápida importa más que el pánico.

2. Desconéctese de la red (si es posible). Desactive el WiFi, desenchufe el cable ethernet. Esto limita lo que puede hacer el malware.

3. Informe inmediatamente. Envíe un mensaje o llame a su Security Champion, IT o manager. No espere. No intente arreglarlo usted mismo.

   • Slack/Teams: envíe un mensaje al canal de seguridad o directamente al Security Champion
   • Correo electrónico: envíe desde su teléfono (no desde el ordenador posiblemente comprometido) a [email protected]
   • Teléfono: llame a IT o al Security Champion

4. Anote lo que ocurrió:

   • ¿Qué decía el correo?
   • ¿En qué enlace hizo clic?
   • ¿Introdujo alguna credencial?
   • ¿Descargó o abrió algún archivo?
   • ¿A qué hora fue esto?

5. No use ese ordenador para nada más hasta que IT lo revise.

6. Cambie sus contraseñas desde un dispositivo diferente:

   • Empiece por el correo electrónico (la llave maestra de todo)
   • Luego cualquier cuenta en la que pueda haber introducido credenciales
   • Use su gestor de contraseñas en un teléfono u otro ordenador

Si abrió un archivo adjunto sospechoso:

Los mismos pasos, pero asuma que puede estar ejecutándose malware. Desconectarse de la red es aún más importante. No intente cerrar ni eliminar el archivo: podría activar más acciones.

Si envió información sensible:

Informe de inmediato. Si envió datos financieros, credenciales o información personal, la empresa puede necesitar tomar medidas adicionales (restablecer cuentas, notificar a las partes afectadas, monitorizar por fraude).

Para los Security Champions: el manual de respuesta

Cuando un empleado informa que hizo clic en un enlace de phishing, este es su proceso:

Primeros 15 minutos:

1. Agradézcales que hayan informado. En serio: esto es exactamente lo que les formó para hacer. «Gracias por informarme de inmediato. Hiciste lo correcto al informar.»

2. Recopile información:

   • ¿Cuál era el correo? (Consiga una copia si es posible)
   • ¿En qué hicieron clic/descargaron/introdujeron?
   • ¿En qué dispositivo estaban?
   • ¿A qué hora ocurrió esto?
   • ¿Siguen conectados a la red?

3. Aísle el dispositivo:

   • Pídales que se desconecten del WiFi/ethernet si aún no lo han hecho
   • Borrado remoto si es un dispositivo móvil gestionado por la empresa
   • Para portátiles, pida a IT que los recopile físicamente si es necesario

4. Restablezca las credenciales:

   • Fuerce el restablecimiento de contraseña de su cuenta
   • Termine todas las sesiones activas
   • Compruebe si hay omisión de MFA (contraseñas de aplicaciones, tokens OAuth)

La hora siguiente:

5. Analice la amenaza:

   • ¿Cuál era la campaña de phishing? ¿Recolección de credenciales? ¿Malware? ¿BEC?
   • Compruebe la URL/adjunto con VirusTotal
   • Compruebe si otros recibieron el mismo correo

6. Compruebe si se ha propagado:

   • Busque el correo de phishing en los registros de correo
   • Alerte a otros que lo recibieron
   • Bloquee el dominio/URL del remitente si es posible

7. Investigue la cuenta:

   • Compruebe el historial de inicios de sesión para detectar acceso no autorizado
   • Compruebe la carpeta enviados para detectar actividad del atacante
   • Compruebe las reglas de reenvío o de buzón añadidas
   • Compruebe las conexiones OAuth/aplicaciones

8. Limpie el dispositivo:

   • Si se sospecha malware, no intente limpiarlo: reinstale el sistema operativo
   • Para phishing solo de credenciales, cambie contraseñas y monitorice
   • Compruebe las contraseñas guardadas del navegador (puede que necesite rotar más)

Días siguientes:

9. Monitorice el impacto:

   • Vigile los inicios de sesión inusuales
   • Compruebe si hay intentos de exfiltración de datos
   • Monitorice si el atacante usa las credenciales robadas

10. Documente el incidente:

    • Qué ocurrió
    • Cómo se detectó
    • Qué acciones se tomaron
    • Cuál fue el impacto
    • Qué puede prevenir esto la próxima vez

11. Comunique según sea necesario:

    • Al empleado afectado: «Esto es lo que encontramos y lo que hicimos»
    • A la dirección: resumen breve si es significativo
    • A la empresa: si hay una campaña generalizada, alerte a todos

El seguimiento sin culpa

Después de gestionar el incidente, tenga una breve conversación con el empleado:

«Gracias de nuevo por informar rápidamente. Eso es exactamente lo que queremos que haga la gente. Déjeme mostrarle cuáles eran las señales de alerta en este caso, para que pueda reconocer ataques similares en el futuro.»

Explique:

• Qué hizo que este correo fuera convincente
• Cuáles eran las señales de alerta
• Qué hicimos en respuesta
• Cómo prevenir incidentes similares

Esto es formación, no castigo. Si las personas temen el castigo, ocultarán los clics en lugar de informarlos, y eso es mucho peor.

Tarjeta de referencia rápida para empleados

Cree una tarjeta simple (digital o física) que los empleados puedan consultar:

HE HECHO CLIC EN UN ENLACE SOSPECHOSO — ¿QUÉ HAGO AHORA?

1. PARE - No haga clic en nada más
2. DESCONÉCTESE - Apague el WiFi o desenchufe la red
3. INFORME - Envíe un mensaje a [nombre del Security Champion] o [email protected] inmediatamente
4. ESPERE - No use el ordenador hasta que IT lo compruebe
5. CAMBIE LAS CONTRASEÑAS - Desde un dispositivo diferente

NO: Intente arreglarlo usted mismo, ignórelo ni espere hasta mañana

Informe a:
- Slack: #security-reports o @security-champion
- Email: [email protected]
- Teléfono: [Teléfono del Security Champion]

Publique esto en Slack, inclúyalo en la incorporación, póngalo en las paredes de la oficina. Cuando alguien entra en pánico, necesita pasos simples.

Guía de conversación del Security Champion

Cuando necesite hablar con los empleados sobre seguridad del correo electrónico, ya sea en una sesión grupal, individual o después de un incidente, aquí tiene un enfoque estructurado.

Inicio de la conversación (2-3 minutos)

No empiece con reglas o amenazas. Empiece con conexión.

«Quiero hablar de algo que nos afecta a todos. Los ataques por correo electrónico son como empiezan la mayoría de los incidentes de seguridad, no porque la gente sea descuidada, sino porque los atacantes son muy buenos en su trabajo. No estoy aquí para darles una conferencia. Estoy aquí para compartir algunas cosas prácticas que les ayudarán a protegerse personalmente y a proteger nuestra empresa.»

Por qué funciona: No se está posicionando como la policía de seguridad. Es un compañero que ayuda a todos.

Hacerlo real (5-7 minutos)

Comparta un ejemplo concreto. Idealmente algo que le ocurrió a su empresa o sector:

«El mes pasado, una empresa similar a la nuestra fue atacada. Alguien de finanzas recibió un correo que parecía exactamente del CEO, pidiendo que se realizara el pago de una factura urgente de un proveedor. Parecía legítimo: firma correcta, lenguaje profesional, las referencias internas correctas. Transfirieron 40.000 €. Era un fraude.»

Si no tiene un ejemplo real, use un caso bien conocido. Hágalo vívido.

Luego personalícelo:

«Esto nos podría pasar a cualquiera de nosotros. He visto correos de phishing en los que casi hago clic yo mismo. Los atacantes mejoran cada día.»

El conocimiento básico (10-15 minutos)

Cubra las tres preguntas a hacerse antes de cualquier acción con un correo:

«Antes de hacer clic en cualquier enlace, abrir cualquier archivo adjunto o responder a cualquier solicitud, hágase tres preguntas:

1. ¿Esperaba este correo? Si no inició algo, sospeche. Las facturas aleatorias, los documentos compartidos inesperados, los restablecimientos de contraseña que no solicitó: todas son señales de alerta.

2. ¿El remitente parece correcto? No solo el nombre, sino la dirección de correo real. [email protected] es diferente de [email protected] o [email protected].

3. ¿Tiene sentido la solicitud? ¿El CEO le enviaría realmente un correo a un becario sobre una transferencia bancaria? ¿IT le pediría su contraseña por correo? Si algo parece raro, probablemente lo es.»

Explique el proceso de verificación:

«Cuando algo parece sospechoso pero podría ser legítimo:

• No responda al correo
• Contacte a la persona a través de un canal diferente: Slack, teléfono, vaya a su escritorio
• Use un número de teléfono o contacto que ya tenga, no uno del correo sospechoso»

Muestre el proceso de informes:

«Si no está seguro, informe. Reenvíe el correo a [email protected] [o su canal]. Prefiero comprobar 100 correos legítimos que perderme un ataque real. Nunca tendrá problemas por informar algo que resulta ser seguro.»

Práctica interactiva (5-10 minutos)

Muestre 3-5 correos en la pantalla. Para cada uno, pregunte:

«¿Real o phishing? ¿Qué les hace pensar eso?»

Deje que la gente discuta. Explique las señales de alerta juntos. Use correos que mezclen pistas obvias y sutiles.

Ejemplo de conjunto:

1. Phishing obvio (mala gramática, remitente sospechoso)
2. Correo legítimo que parece ligeramente sospechoso
3. Phishing sofisticado (buena marca, problema de dominio sutil)
4. Correo automatizado legítimo (restablecimiento de contraseña que sí solicitaron)
5. Intento de BEC (suplantando a un ejecutivo)

Los puntos de acción (2-3 minutos)

Termine con peticiones específicas:

«Esto es lo que les pido:

1. Antes de hacer clic en cualquier enlace: pase el ratón primero, compruebe la URL
2. Antes de introducir credenciales: verifique que está en el sitio real
3. Cuando algo parece raro: infórmelo a [canal/correo]
4. Si hace clic en algo y se da cuenta de que era malo: dígamelo de inmediato, sin juicios»

Preguntas y cierre (5 minutos)

«¿Qué preguntas tienen? ¿Qué situaciones les resultan confusas?»

Preguntas habituales para las que debe prepararse:

• «¿Qué pasa si tengo prisa?»
• «¿Qué pasa si realmente es de un ejecutivo y lo ignoro?»
• «¿Puedo tener problemas por hacer clic?»
• «¿Cómo sé si el sitio en el que estoy es real?»

Cierre con:

«Recuerde: los atacantes cuentan con que esté ocupado y distraído. Tomarse 10 segundos para verificar puede ahorrarnos problemas enormes. Y si alguna vez comete un error, infórmelo rápido: eso es lo más importante.»

Guía de conversación: referencia rápida

Fase	Duración	Puntos clave
Inicio	2-3 min	Genere conexión, no miedo
Hacerlo real	5-7 min	Ejemplo concreto, personalice
Conocimiento básico	10-15 min	Tres preguntas, verificación, informes
Práctica	5-10 min	Revisión interactiva de correos
Puntos de acción	2-3 min	Peticiones específicas
Preguntas y cierre	5 min	Gestione inquietudes
Total	30-45 min

Prueba de conocimientos de los empleados

Use esta prueba después de la formación para verificar la comprensión. Los empleados que puntúen por debajo del 70% (fallen más de 3 preguntas) deberían recibir formación adicional individual.

La prueba (10 preguntas)

Compártala como un formulario de Google, Typeform o la herramienta de encuestas que use.

---

Prueba de concienciación sobre seguridad del correo electrónico

Responda todas las preguntas. Necesita obtener al menos 7 de 10 correctas.

---

Pregunta 1: Escenario

Recibe un correo del «Soporte de IT» pidiéndole que verifique su cuenta haciendo clic en un enlace e introduciendo su contraseña. La dirección de correo es [email protected]. ¿Qué debe hacer?

• A) Haga clic en el enlace e introduzca su contraseña para verificar su cuenta
• B) Responda al correo preguntando si es legítimo
• C) Informe del correo como sospechoso y contacte a IT a través de un canal conocido (Slack, teléfono)
• D) Ignórelo y espere a que desaparezca

Respuesta correcta: C

---

Pregunta 2: Escenario

El CFO le envía un correo pidiéndole que transfiera urgentemente 15.000 € a un nuevo proveedor. La dirección de correo parece correcta. ¿Qué debe hacer primero?

• A) Procese la transferencia bancaria inmediatamente: es del CFO
• B) Responda al correo pidiendo más detalles
• C) Llame al CFO usando un número de teléfono que ya tenga (no del correo) para verificar
• D) Reenvíe el correo a su manager y deje que decida

Respuesta correcta: C

---

Pregunta 3: Conocimiento

¿Cuál es lo más importante que debe hacer si hace clic accidentalmente en un enlace sospechoso?

• A) Intentar cerrar el navegador y olvidarlo
• B) Ejecutar un antivirus y esperar que detecte algo malo
• C) Informar de ello inmediatamente al Security Champion o IT
• D) Esperar hasta el final del día para mencionarlo

Respuesta correcta: C

---

Pregunta 4: Habilidad

Pasa el ratón sobre un enlace de un correo. El texto del enlace dice «https://drive.google.com/share/document» pero la URL muestra «http://drive-google.malicious-site.com/doc». ¿Qué indica esto?

• A) El enlace es seguro: menciona Google
• B) Es un intento de phishing: la URL real es diferente de lo que se muestra
• C) Este es el comportamiento normal para documentos compartidos
• D) El sistema de correo está teniendo problemas técnicos

Respuesta correcta: B

---

Pregunta 5: Escenario

Recibe un correo de su compañera Sara compartiendo un documento. No lo esperaba. La dirección de correo es [email protected], pero el correo corporativo de Sara es [email protected]. ¿Qué debe hacer?

• A) Abrir el documento: conoce a Sara
• B) Preguntar a Sara por Slack o en persona si envió este correo
• C) Responder al correo preguntando si es realmente Sara
• D) Eliminar el correo sin decirle nada a nadie

Respuesta correcta: B

---

Pregunta 6: Conocimiento

¿Cuál de estas opciones NO es una señal de alerta habitual en los correos de phishing?

• A) Lenguaje urgente que exige acción inmediata
• B) Una dirección del remitente que no coincide con la empresa
• C) Un correo enviado durante el horario laboral
• D) Archivos adjuntos o solicitudes inesperados

Respuesta correcta: C

---

Pregunta 7: Escenario

Hizo clic en un enlace de un correo e introdujo su contraseña en lo que ahora se da cuenta era una página de inicio de sesión falsa. ¿Qué debe hacer? (Seleccione todas las que correspondan)

• A) Informar al Security Champion/IT inmediatamente
• B) Cambiar su contraseña desde un dispositivo diferente
• C) Esperar a ver si ocurre algo malo
• D) Desconectarse de la red si se le indica

Respuestas correctas: A, B, D

---

Pregunta 8: Habilidad

Un correo afirma ser de Microsoft sobre su cuenta. ¿Qué dirección de correo del remitente es más probablemente legítima?

• A) [email protected]
• B) [email protected]
• C) [email protected]
• D) [email protected]

Respuesta correcta: A

---

Pregunta 9: Conocimiento

¿Por qué es importante informar sobre los intentos de phishing, aunque no haya hecho clic en nada?

• A) Para que seguridad pueda bloquear al remitente para todos
• B) Para ayudar a rastrear los patrones de ataque
• C) Otros podrían recibir el mismo correo
• D) Todas las anteriores

Respuesta correcta: D

---

Pregunta 10: Escenario

Recibe lo que parece un correo de restablecimiento de contraseña de un servicio que usa. No solicitó ningún restablecimiento de contraseña. ¿Qué debe hacer?

• A) Hacer clic en el enlace para estar seguro
• B) Ignorar el correo: alguien probablemente escribió la dirección de correo incorrecta
• C) No hacer clic en el enlace, ir directamente al servicio escribiendo la URL usted mismo, comprobar su cuenta
• D) Responder preguntando quién solicitó el restablecimiento

Respuesta correcta: C

---

Puntuación y seguimiento

7-10 correctas (70%+): Aprobado. El empleado entiende los conceptos básicos.

4-6 correctas (40-69%): Necesita formación adicional. Programe 15 minutos individuales para revisar los conceptos fallidos.

0-3 correctas (por debajo del 40%): Requiere atención específica. Programe 30 minutos individuales, trabaje los escenarios en detalle.

Seguimiento individual para los que obtienen puntuaciones bajas

No lo haga punitivo. Enmarque como ayuda:

«Gracias por hacer la prueba. Noté algunas áreas en las que podría necesitar algo más de práctica. Quiero asegurarme de que se sienta seguro manejando estas situaciones. ¿Podemos dedicar 15 minutos a repasar algunos escenarios juntos?»

Durante la sesión:

1. Revise las preguntas que fallaron
2. Explique por qué la respuesta correcta es correcta
3. Deje que practiquen con ejemplos adicionales
4. Pídales que le expliquen: «Entonces, ¿qué haría si...»
5. Programe una prueba de seguimiento en 2 semanas

Para quienes repiten puntuaciones bajas:

Algunas personas genuinamente tienen dificultades con esto. Considere:

• Más reuniones individuales frecuentes
• Materiales de referencia más simples que puedan consultar
• Un sistema de compañero (emparéjelos con un compañero con conciencia de seguridad)
• Limitar su acceso a acciones de alto riesgo (si es apropiado)

Nunca se rinda con nadie. Siga formando, siga practicando.

Formación especial para roles de alto riesgo

Algunas personas necesitan atención adicional.

Equipo de finanzas

Son el objetivo principal del fraude por transferencia bancaria. Forme específicamente en:

• Las solicitudes de cambio de pago deben verificarse por teléfono
• La configuración de nuevos proveedores requiere verificación
• La urgencia es una señal de alerta, no una razón para saltarse la verificación
• Está bien tomarse tiempo para verificar, incluso para los ejecutivos

Realice simulaciones específicamente dirigidas a finanzas con solicitudes de pago falsas.

Ejecutivos

Son suplantados en ataques y objetivo de accesos de alto valor. Forme en:

• Los atacantes les suplantarán para engañar a los empleados
• Sus cuentas son objetivos de alto valor: se necesita precaución adicional
• Dan el tono: si ellos toman atajos, otros también lo harán

Los ejecutivos a menudo se saltan la formación. Hágala breve y relevante.

Nuevos empleados

La incorporación es el mejor momento: están aprendiendo los procesos de todos modos. Incluya:

• Conceptos básicos de seguridad del correo electrónico en la orientación del primer día
• Cómo informar correos sospechosos
• Con quién contactar con preguntas de seguridad
• Primera simulación de phishing dentro del primer mes

IT y administradores

Tienen privilegios elevados y son objetivo específico. Forme en:

• Spear-phishing que hace referencia a sistemas internos
• Los atacantes haciendo reconocimiento (preguntando sobre sistemas, versiones)
• Ingeniería social por teléfono/chat, no solo por correo
• Nunca proporcione credenciales a través de ningún canal, nunca

Medición de la efectividad de la formación

Métricas de simulación de phishing

Haga seguimiento a lo largo del tiempo:

• Tasa de clics por campaña
• Tasa de informes por campaña
• Tiempo hasta el primer clic frente a tiempo hasta el primer informe
• Clicadores repetidos (las mismas personas haciendo clic varias veces)

Busque tendencias, no puntos de datos individuales. Una simulación mala no significa fracaso.

Indicadores cualitativos

• ¿La gente hace preguntas de seguridad? (Buena señal)
• ¿Los informes están aumentando? (Buena señal)
• ¿La gente comparte correos sospechosos entre sí? (Buena señal)
• ¿La gente se queja de la formación en seguridad? (Puede que necesite ajustar el enfoque)

Establecimiento de objetivos

Objetivos razonables para una empresa pequeña:

• Tasa de clics de phishing por debajo del 10% (por debajo del 5% es excelente)
• Tasa de informes por encima del 30% (por encima del 50% es excelente)
• 100% de los nuevos empleados formados en la primera semana
• Simulaciones trimestrales funcionando de forma consistente

Herramientas y recursos

Plataformas de simulación de phishing

Gratuitas/Código abierto:

• Gophish — La mejor opción gratuita, con todas las funciones
• King Phisher — Buena alternativa

Comerciales:

• KnowBe4 — Líder del mercado, extensa biblioteca
• Cofense — Buena integración de informes
• Proofpoint Security Awareness — Orientado a empresas
• Hoxhunt — Enfoque gamificado

Contenido de formación

Recursos gratuitos:

• NIST Phishing Guidance — Recursos gubernamentales
• Google Phishing Quiz — Cuestionario interactivo, bueno para la formación
• SANS Security Awareness Resources — Carteles y consejos gratuitos
• Cofense Free Resources — Infografías y guías

Ejemplos de phishing:

• PhishTank — Base de datos de sitios de phishing reales
• VirusTotal — Compruebe URLs y archivos sospechosos

Herramientas de análisis de correo electrónico

• MXToolbox Header Analyzer
• Google Admin Toolbox

Taller: lance su programa de formación

Reserve de 3 a 4 horas para establecer la base.

Parte 1: Cree materiales de formación (60 minutos)

1. Escriba su sesión informativa de seguridad para nuevos empleados (adapte la plantilla anterior)
2. Cree una plantilla de correo con consejos de seguridad mensual
3. Configure el canal #security-reports de Slack/Teams
4. Documente su proceso de informes

Parte 2: Configure las simulaciones de phishing (60 minutos)

1. Instale Gophish o regístrese en una herramienta comercial
2. Cree 3 plantillas de phishing de dificultad variable
3. Importe su lista de correos de empleados
4. Programe su primera simulación para dentro de 1-2 semanas

Parte 3: Prepare materiales de respuesta (45 minutos)

1. Escriba el correo «hizo clic en un enlace de phishing»
2. Escriba la plantilla de resumen post-simulación para toda la empresa
3. Cree una hoja de cálculo de seguimiento simple para las métricas

Parte 4: Lanzamiento y comunicación (45 minutos)

1. Anuncie el programa de formación en seguridad a la empresa
2. Explique que habrá simulaciones y por qué
3. Comparta cómo informar correos sospechosos
4. Ejecute la primera simulación

Entregables:

• Materiales de formación para nuevos empleados
• Plantilla de correo con consejos mensuales
• Proceso de informes documentado y comunicado
• Primera simulación de phishing programada
• Seguimiento de métricas configurado

Cómo explicárselo a la dirección

Si alguien pregunta por qué dedica tiempo a la formación:

«La seguridad técnica del correo electrónico detecta muchos ataques, pero el phishing sofisticado sigue colándose. Formar a los empleados para detectar e informar el phishing es nuestra última línea de defensa. Estamos ejecutando simulaciones para medir y mejorar. Nuestra tasa de clics actual es del X%, y estamos trabajando para reducirla al 5%. Cada persona que no hace clic es un incidente potencial menos.»

Versión corta: «Estoy formando al equipo para reconocer el phishing: los ataques que nuestros filtros técnicos no detectan.»

Autoevaluación: ¿realmente lo hizo?

Materiales de formación

• Sesión informativa de seguridad para nuevos empleados creada
• Plantilla de consejos de seguridad mensual lista
• Plantillas de comunicación post-simulación creadas
• Proceso de informes documentado

Infraestructura

• Herramienta de simulación de phishing configurada (Gophish o comercial)
• Al menos 3 plantillas de phishing creadas
• Botón de informe activado en el cliente de correo
• Dirección de correo o canal de Slack para informes configurado

Proceso

• Primera simulación programada o completada
• Seguimiento de métricas iniciado
• Calendario de simulaciones establecido (trimestral como mínimo)
• El equipo de finanzas tiene formación específica sobre fraude por transferencia bancaria

Cultura

• Los informes se fomentan y se reconocen
• Política sin culpa comunicada
• La dirección apoya el programa

Si puede marcar al menos 10 de estos 14 elementos, está listo para continuar.

Qué viene después

Ha cubierto el correo electrónico desde todos los ángulos: autenticación técnica, controles de seguridad y formación humana. Ese es uno de los vectores de ataque más importantes cubierto.

Próximo capítulo: estrategia de copia de seguridad, porque no importa lo buena que sea su seguridad, necesita poder recuperarse cuando las cosas salen mal.