¿Cómo tratar a empleados que fallan en simulaciones de phishing?
Ciberseguridad IT Management y Seguridad Infraestructura Empresas AI Innovación & Emprendimiento Entrevistas Transformación digital Analytics & Big Data Gobierno Cloud Telecomunicaciones & Redes Centro de datos

CIBERSEGURIDAD

¿Cómo tratar a los empleados que fallan repetidamente en simulaciones de phishing?

Home Ciberseguridad
Dirección copiada

Comprenda los problemas que se esconden tras las repetidas respuestas a las simulaciones de phishing y los pasos para abordarlos.

Publicado el 17 sep 2025
Electronic,Mail,Security,Software,Monitors,Warning,Signs,Of,Phishing,Scam,
Crédito: Archivo ShutterStock

En la mayoría de las organizaciones, un pequeño porcentaje de empleados falla repetidamente en las simulaciones de phishing. Estos “repetidores” deben tratarse mediante ejercicios frecuentes para desarrollar la memoria muscular y así identificar estos ciberataques.

El equipo de ciberseguridad debe trabajar para identificar qué otros recursos se necesitan para reducir la tendencia de los repetidores; es decir, identificar actualizaciones de procesos o tecnología que cambien la forma en que operan.

El refuerzo positivo, incluyendo recompensas y reconocimiento público para quienes denuncian intentos de phishing, puede ser eficaz para motivar a otros en la empresa a participar activamente.

Finalmente, adaptar la capacitación para incluir gamificación e historias específicas sobre las consecuencias del phishing puede aumentar la concienciación cibernética de todos los empleados.

Fracasos de las simulaciones de phishing

El Principio de Pareto, o regla 80/20, establece que 80% de las consecuencias (o fallos de phishing) provienen de 20% de las causas (o usuarios).

Investigadores de la University of Central Florida (Orlando, Estados Unidos) demostraron que 6% de los usuarios evaluados fueron responsables de más de 29% de los fallos de phishing, y la mayoría de ellos falló más de cuatro intentos de phishing en 18 meses.

En 2025, 80% de los incidentes de seguridad reportados fueron causados ​​por phishing, alrededor de 57% de las organizaciones experimentaron ataques de phishing a diario o semanalmente, y 60% de las brechas de seguridad se debieron a errores humanos o ingeniería social.

Sin embargo, existen varias maneras de abordar a estos “reincidentes” (que es el término recomendado y más positivo para “infractores reincidentes”).

7 maneras de reducir los fallos de simulación de phishing

El phishing es una herramienta importante en el programa de ciberseguridad de una empresa. Inevitablemente, la dirección solicitará los resultados de la campaña de phishing, junto con preguntas sobre los reincidentes y qué está haciendo el equipo para abordarlos.

Para garantizar que la menor cantidad posible de usuarios fallen repetidamente en las simulaciones de phishing:

1. Adoptar una métrica de “cuatro strikes”

Algunas investigaciones demuestran que clasificar a un empleado como reincidente antes de completar cuatro campañas de phishing puede ser prematuro. Considere no clasificar a un empleado como reincidente a menos que falle cuatro simulaciones de phishing en un corto período de tiempo. Esto no pretende ocultar ni falsificar los datos, sino permitir una intensificación gradual de la capacitación y la concienciación antes de aplicar una etiqueta negativa.

2. Proporcionar el contexto adecuado

Su organización debe definir y documentar los objetivos de su programa de phishing, las métricas específicas y los planes de remediación antes de lanzar una serie de campañas.

Considere que una serie de eventos de phishing en un corto período de tiempo puede ser una forma de brindar capacitación y abordar a los reincidentes.

Una página de destino que ofrezca información y pistas sobre por qué un correo electrónico es un phishing (errores ortográficos, saludos genéricos, etcétera) puede ser una excelente manera de capacitar a los usuarios.

Sin embargo, también es importante prever consecuencias que expliquen el impacto potencial si un usuario cae en una trampa de phishing y proporciona información de inicio de sesión o hace clic en un enlace para descargar algo.

Usar ejemplos reales de ataques de phishing exitosos es una excelente manera de destacar dichas consecuencias. Se recomienda intensificar la información y los detalles, en lugar de una capacitación formal, para tratar a los usuarios que responden repetidamente.

3. Identificar y abordar la causa raíz

Esta es una oportunidad para que los equipos de ciberseguridad conozcan los procesos de trabajo y los hábitos de los usuarios. ¿Pertenecen sus usuarios que responden repetidamente a un departamento o equipo específico? ¿Utilizan herramientas o realizan trabajos similares?

Esto no pretende perfilar a los usuarios que responden repetidamente, sino identificar oportunidades de capacitación, procesos y tecnología/herramientas que se pueden proporcionar para reducir el riesgo de un phishing real exitoso.

Dedicar tiempo a comprender los objetivos laborales, los flujos de trabajo y las actividades diarias puede ser una tarea difícil, pero los impactos positivos probablemente perduren mucho más allá del plazo de cuatro a seis meses de efectividad de la capacitación sobre phishing.

Por ejemplo, su equipo de reclutamiento recibe docenas, cientos o incluso miles de currículums a la semana, y los candidatos se esfuerzan por diferenciarse, incluyendo enlaces a proyectos o sitios web.

Ubicar al equipo de reclutamiento en una red local virtual independiente para aislar el impacto de un enlace malicioso puede ayudar a mantener la productividad del reclutamiento y, al mismo tiempo, proteger a la empresa.

4. Considerar el refuerzo positivo

De acuerdo con Proofpoint, 82% de las organizaciones estadounidenses utilizan un modelo de consecuencias, lo que significa que existen sanciones para los usuarios que caen repetidamente en ataques de phishing, ya sean reales o simulados.

Sin embargo, colectivamente, seguimos viendo ataques de phishing exitosos, por lo que es evidente que debemos ajustar nuestro enfoque.

En la mayoría de los casos, la capacitación sobre phishing se imparte una o dos veces al año, y muchos empleados silencian el video o saltan diapositivas sin pensar. Cuando se envía un phishing, quienes fallan reciben retroalimentación inmediata de que han hecho algo mal, mientras que los usuarios que lo denuncian rara vez reciben retroalimentación.

La gran mayoría de las personas se motivan por las normas sociales o incluso la presión social. Los estudios demuestran que es mucho más probable que una persona compre un producto o cambie su comportamiento si sus compañeros o amigos también lo compran o se comportan de cierta manera.

Si se les dice a los usuarios que están fallando en las simulaciones de phishing más que sus compañeros, es probable que se sientan motivados a cambiar.

Esto se puede transmitir de forma positiva informando el porcentaje de personas que denuncian un phishing, ¡y puede motivar a otros a hacer lo mismo!

5. Probar la gamificación

Dependiendo de la cultura de tu empresa, la gamificación o la competencia pueden ser una motivación muy positiva para los empleados. Esto ha funcionado en otras áreas, como la seguridad, colocando carteles con el “número de días desde el último accidente”. De igual forma, una cuenta regresiva del “número de días desde la última infección de malware exitosa” puede ser muy motivadora para todos.

Otras estrategias positivas pueden incluir recompensar al departamento o equipo con el mayor número de phishings reportados en la campaña. Esto anima a todos no solo a estar atentos a un phishing, sino también a reportarlo. Ofrecer felicitaciones inmediatas y comentarios positivos es una excelente manera de animar a los empleados a ser diligentes. A veces, recompensas visibles tan simples como una pegatina por reportar un phishing pueden ser motivadoras.

6. Ofrecer capacitación grupal

La capacitación grupal mediante una sala de escape en línea o un ejercicio de mesa centrado en el phishing puede ser otra forma muy divertida de fomentar el espíritu de equipo y crear conciencia. Por ejemplo, un ejercicio de mesa puede guiar al equipo a través de un ataque de phishing, desde la recepción del phishing hasta sus impactos, la respuesta y la recuperación.

Esta es una excelente manera de dedicar una o dos horas a impartir capacitación sobre:

  • Cómo detectar un phishing
  • Cómo denunciar un phishing
  • Acciones que se deben tomar al hacer clic o proporcionar información
  • Consecuencias de un phishing exitoso
  • Cómo responderán y se recuperarán el equipo de ciberseguridad y la empresa

7. Adaptar la capacitación a su organización

Si su empresa cuenta con los recursos necesarios, también es recomendable proporcionar información y ejemplos dirigidos a los departamentos o equipos entre campañas de phishing.

Publique breves noticias o artículos sobre ataques de phishing en su sector o en una disciplina específica (como finanzas o contratación) para visibilizar el impacto real del phishing en una empresa.

Cuente cómo un correo electrónico de phishing dirigido al equipo de finanzas provocó un ataque de ransomware que provocó el cierre de una empresa durante semanas. Hable sobre la empresa que sufrió una infección masiva de malware después de que un reclutador hiciera clic en un enlace de su currículum. Las historias específicas tienen mucho más impacto que una capacitación genérica anual.

Abordar los fallos recurrentes en las simulaciones de phishing

Desafortunadamente, a veces los mejores esfuerzos para capacitar a los empleados no son suficientes. Si bien quienes responden repetidamente pueden representar un porcentaje muy pequeño de empleados, ponen en riesgo a toda la empresa, y no podemos ignorar este hecho.

Si todo lo demás falla y quienes responden repetidamente aún caen en las simulaciones de phishing, considere:

  • Reducir sus privilegios para que una cuenta comprometida no les permita acceder a datos o sistemas críticos de la empresa.
  • Aislar su acceso, reduciendo la posibilidad de descargar o hacer clic en enlaces.

Como último recurso, considere la degradación o el despido. Sin embargo, asegúrese de colaborar con los equipos de recursos humanos (RR. HH.) y legal para garantizar que las políticas se apliquen de forma coherente en toda la organización en lo que respecta a todas las medidas correctivas (¡y gratificantes!).

En definitiva, el equipo de ciberseguridad no es RR. HH, pero debe brindar recomendaciones sobre las acciones que deben tomarse en función del riesgo para la empresa.

¿Cómo mejorar un programa de capacitación sobre phishing?

La forma en que trabajamos y aprendemos evoluciona con el tiempo, y nuestros programas de capacitación y concientización también deben evolucionar.

Para mejorar su capacitación sobre phishing y reducir el número de personas que responden repetidamente:

Comprenda que quienes responden repetidamente pueden estar siendo etiquetados demasiado pronto. Las investigaciones demuestran que muy pocas personas fallan una cuarta simulación de phishing si se les proporciona una capacitación sencilla que les muestre cómo identificar un phishing.

Dedique tiempo a comprender por qué los usuarios se convierten en personas que responden repetidamente. Identifique oportunidades para ajustar las políticas y la tecnología para reducir su tendencia a hacer clic o proporcionar información en un phishing.

Identifique maneras de brindar refuerzo positivo mediante la gamificación o el reconocimiento público. Esto animará a otros a participar.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil…

¡Síguenos en nuestras redes sociales!

Equipo editorial IT Masters Mag

IT Masters Mag es producido por el equipo periodístico de Netmedia, editorial mexicana con más de dos décadas de experiencia especializada en tecnologías de la información, innovación empresarial y transformación digital. Fundada por la periodista Mónica Mistretta, la compañía se distingue por su compromiso con el rigor informativo, la objetividad y el valor práctico para tomadores de decisiones en México y América Latina. El contenido es desarrollado por profesionales del periodismo y la comunicación con trayectoria en medios digitales e impresos, bajo la dirección editorial de Francisco Iglesias, experto en tecnología B2B y negocios. Todos los artículos siguen estándares internacionales de calidad, incluyendo verificación de fuentes, entrevistas con especialistas y un enfoque claro en aportar análisis útiles para CIOs, CTOs y líderes empresariales. IT Masters Mag forma parte de Nextwork360, la mayor red latinoamericana de medios B2B sobre innovación y cultura digital.

Sígame en

Canales

Artículos relacionados

  • patrones de diseño

  • software

    Patrones de diseño, descripciones estandarizadas para problemas repetitivos

    29 Nov 2024

    por Marcela Padua

    Compartir
  • Estrategia CRM

  • Estrategia CRM: ¿qué es, para qué sirve y qué ventajas ofrece?

    21 Nov 2024

    por

    Compartir
  • Mexico,City,,Mexico,-,Jan,28,2025,:,Deepseek,App

  • INTELIGENCIA ARTIFICIAL

    Alemania pide a Apple y Google bloquear DeepSeek por transferir datos a China

    27 Jun 2025

    por Equipo editorial IT Masters Mag

    Compartir
  • Manos escribiendo en una laptop con visualizaciones de datos y gráficos digitales, representando el trabajo de un científico de datos en análisis empresarial.

  • big data

    Científico de datos: ¿Por qué es imprescindible para las empresas?

    15 Jul 2025

    por Gonzalo Castillo

    Compartir

Artículo 1 de 5