Simulación de phishing: forme y evalúe a sus empleados durante todo el año
En la primera prueba de phishing, el 40% de los empleados introduce sus credenciales de Microsoft en una página de inicio de sesión falsa. Con campañas automatizadas de phishing por email, códigos QR y credential harvest, puede reducir esa cifra de forma estructural. Compatible con NIS2 y ENS.
Más de 600 organizaciones confían en nosotros • Gartner Peer Insights ★★★★★ 5.0
★★★★★5.0
Horizon 2020¿Qué es una simulación de phishing?
Una simulación de phishing es una prueba controlada en la que se envían correos electrónicos falsos realistas a sus propios empleados para medir quién hace clic, quién introduce sus credenciales y quién detecta el ataque — sin riesgo para su organización.
El objetivo no es castigar, sino formar: los empleados que hacen clic reciben formación inmediata en su navegador. La prevención eficaz del phishing no es puntual. Es un programa continuo de simulaciones, e-learning y medición del comportamiento.
A nivel global, el 33% de los empleados sin formación hace clic en un enlace de phishing (fuente: KnowBe4, 67,7 millones de simulaciones, 2025). Tras 90 días de formación, esta cifra se reduce un 40%. Tras 12 meses, un 86%.
Por qué las pruebas de phishing son imprescindibles para PYMEs
Cuatro hechos que no puede ignorar.
40% introduce sus credenciales
En la primera prueba de phishing, el 40% de los empleados introduce sus credenciales de Microsoft en una página falsa. Sin darse cuenta.
Fuente: Lupasafe, datos de plataforma, 600+ organizaciones
NIS2 y ENS lo exigen
La directiva NIS2 (artículo 21, control 2.2) obliga a formar a directivos y empleados. El ENS establece requisitos equivalentes para el sector público español. La Ley de Ciberseguridad entra en vigor en 2026.
Fuente: CCN-CERT
El 91% empieza con phishing
Nueve de cada diez ciberataques comienzan con un correo de phishing. Un solo clic es suficiente para ransomware, filtración de datos o fraude en facturas.
Fuente: Trend Micro / CISA
Una vez al año no funciona
Una prueba puntual solo muestra una instantánea. Las pruebas continuas — mensuales o trimestrales — reducen el riesgo de forma estructural y generan evidencia para su auditor.
“Lupasafe nos permite demostrar a nuestros clientes y auditores que la seguridad de la información es una prioridad real, no solo un documento.”
Eloi Font
Font Advocats, Barcelona
Cómo funcionan las simulaciones de phishing con Lupasafe
Configurar una campaña de phishing lleva 5 minutos. Después, todo funciona automáticamente durante todo el año.
Planificación anual en 5 pasos
Configure la frecuencia (mensual, trimestral o semestral), elija plantillas, seleccione grupos objetivo y active. Los nuevos empleados se añaden automáticamente a las siguientes rondas de prueba vía sincronización con Entra ID (dos veces al día).
Pasos: 1. Frecuencia • 2. Plantillas • 3. Grupo objetivo • 4. Planificación • 5. Revisar y lanzar
Resultados por empleado
Historial completo por persona: enviado, abierto, clic, credenciales introducidas, formación completada. Exportable como evidencia para su auditor o aseguradora.
Incluye detección de enlaces ocultos, filtrado de rangos IP (distingue clics reales de escáneres de correo) y marca temporal en credential harvest.
Cuatro tipos de simulación de phishing
Phishing por email
Plantillas realistas: facturas, avisos de entrega, restablecimiento de contraseñas. Biblioteca estándar o personalización propia.
Phishing con código QR
Códigos QR en correos que redirigen a páginas de inicio de sesión falsas. Pruebe si sus empleados son vulnerables también desde el móvil.
Credential harvest
Páginas de inicio de sesión falsas que miden si los empleados introducen sus credenciales. La prueba más exigente de concienciación en ciberseguridad.
Spear phishing
Ataques dirigidos con {nombre de empresa} y variables personalizadas. Basado en riesgo: pruebe departamentos o funciones específicas.
¿Quiere ver cómo funciona?
Solicite una demo personalizada o empiece con una evaluación gratuita de 30 días. Sin compromiso.
Evaluación gratuita Solicitar demoEjecutar una prueba de phishing — así de rápido
Configurar campaña
Elija plantillas, configure frecuencia, seleccione empleados. Listo con el asistente de 5 pasos.
Formación tras clic
Los empleados que hacen clic reciben formación inmediata en su navegador, en su propio idioma.
Resultado medible
Tasa de clics significativamente reducida. Informe de cumplimiento disponible para auditor o cliente.
Simulaciones de phishing como evidencia de cumplimiento NIS2 y ENS
La directiva NIS2 y el ENS exigen formación demostrable. Las simulaciones de phishing generan esa evidencia — por empleado, por campaña, exportable para su auditor.
NIS2 — Artículo 21, Control 2.2: Formación de directivos y empleados
“La dirección y los administradores de la organización deben recibir formación para poder identificar y evaluar los riesgos de ciberseguridad. Los empleados reciben formación y entrenamiento en seguridad digital adaptados a su función, y son evaluados en su conocimiento de las normas y procedimientos de la organización.”
Cómo Lupasafe satisface este requisito:
- Informes de phishing por empleado: enviado, clic, credenciales, formación completada — evidencia individual
- E-learning con módulos por rol para responsable de seguridad, gestor de incidentes y DPO
- Planificación anual automática — continuidad como evidencia, no solo una instantánea
- Informes exportables en HTML/PDF con su marca corporativa para auditor o cliente
ENS (Esquema Nacional de Seguridad) — Real Decreto 311/2022
El ENS establece requisitos de concienciación y formación en ciberseguridad para todas las entidades del sector público español y sus proveedores tecnológicos. Lupasafe cubre estos requisitos a través del mapeo con ISO 27001 y los 17 controles NIS2, proporcionando un único dashboard de cumplimiento compartido entre su organización, partner IT y auditor.
Privacidad y pruebas responsables
Las simulaciones de phishing requieren un tratamiento cuidadoso de los datos personales. Lupasafe cumple con el RGPD.
Checklist de phishing
Autorización de la dirección requerida por campaña. Responsable y transparente.
Sin contraseñas
Las credenciales de las pruebas de harvest no se almacenan. Nunca.
Datos en la UE
Almacenados en Alemania y Países Bajos. Acuerdo de procesamiento disponible.
PII tras 2FA
Datos personales solo visibles en el portal detrás de autenticación de dos factores.
Empiece hoy con las simulaciones de phishing
Evaluación gratuita de 30 días. Sin tarjeta de crédito. Primera campaña de phishing en una semana. La Ley de Coordinación y Gobernanza de la Ciberseguridad entra en vigor en 2026.
Evaluación gratuita ContactarPreguntas frecuentes sobre simulaciones de phishing
¿Qué es una simulación de phishing?
Una simulación de phishing es una prueba controlada en la que se envían correos electrónicos falsos realistas a sus empleados para medir quién hace clic y quién introduce sus credenciales. Puede realizarse mediante email clásico, códigos QR o páginas de credential harvest. Los empleados que hacen clic reciben formación inmediata.
¿Cómo configuro una campaña de phishing con Lupasafe?
La configuración lleva 5 minutos. Mediante un asistente de 5 pasos, seleccione frecuencia (mensual, trimestral o semestral), elija plantillas de la biblioteca o cree las suyas propias, y active la campaña. Los nuevos empleados se añaden automáticamente vía sincronización con Entra ID.
¿Son obligatorias las pruebas de phishing bajo NIS2 y ENS?
El artículo 21 de la directiva NIS2 (control 2.2) obliga a las organizaciones a formar a directivos y empleados en la identificación de riesgos de ciberseguridad. El ENS (Real Decreto 311/2022) establece requisitos equivalentes para entidades del sector público español. Las simulaciones de phishing son la forma más eficaz y demostrable de cumplir estos requisitos.
¿Cuánto cuesta una prueba de phishing con Lupasafe?
Lupasafe Awareness (incluye simulaciones de phishing, e-learning e informes) empieza desde 3,99 euros por usuario al mes (contrato de 2 años). El paquete NIS2 con los 17 controles — incluyendo monitorización dark web, cumplimiento de endpoints y auditoría Microsoft 365 — cuesta 7,99 euros por usuario al mes. Sin mínimo de usuarios. 30 días de evaluación gratuita.
¿Se almacenan las contraseñas en las pruebas de credential harvest?
No. Las credenciales introducidas por los empleados en páginas falsas no se almacenan. Sólo se registra que se introdujeron credenciales, incluyendo la marca temporal. Los datos personales solo son visibles en el portal con autenticación de dos factores (2FA). Se requiere un checklist de phishing con autorización de la dirección por cada campaña.
¿Qué porcentaje de empleados hace clic en un correo de phishing?
A nivel global, el 33% de los empleados sin formación hace clic en un enlace de phishing (fuente: KnowBe4, 67,7 millones de simulaciones, 2025). En pruebas de credential harvest, Lupasafe registra que el 40% introduce sus credenciales en una página falsa. Tras 90 días de formación continua, esta cifra se reduce un 40%. Tras 12 meses, un 86%.
