Programa · NG-C07 Phishing simulado 30 días (ampliable 60 / 90) Empleados ilimitados Dashboard en vivo
§00 — Curso 07 · Campañas

Concienciación medida,
no diapositivas olvidadas.

§01
Para quién

Para organizaciones que necesitan evidencia auditable.

Especialmente útil para empresas bajo NIS2, RGPD o renovación de seguros cyber. Cubre desde plantilla pequeña hasta corporaciones con varios miles de empleados.

Perfil del cliente

  • A.01PYME de 50–500 empleadosEncaja
  • A.02Corporativos +500 empleadosIdeal
  • A.03Entidades NIS2 esenciales o importantesIdeal
  • A.04Sector financiero / sanidad / públicaIdeal
  • A.05Empresas que renuevan seguro cyberEncaja

Requisitos previos

  • R.01Autorización formal de RRHH y direcciónObligatorio
  • R.02Whitelist en pasarela y antispam corporativoTécnico
  • R.03Listado de empleados + departamentoDatos
  • R.04Comunicación previa al comité de empresaLegal
  • R.05Buzón seguro de reporte ya operativoRecomendado
§02
Programa

Treinta días. Cinco fases.

De la preparación confidencial al debrief ejecutivo. Cada fase produce una métrica concreta y un entregable accionable.

SEMANA -1 · Diseño

Kickoff y autorizaciones

Trabajo previo invisible pero decisivo. Coordinación con RRHH, IT y legal: alcance, consentimiento, mensaje interno y segmentación por departamento. Tres plantillas personalizadas al sector.

SEMANA 1 · Baseline

Campaña ciega nivel 1

Envío a toda la organización de plantilla de dificultad media. Seguimiento en tiempo real sin avisos. Métricas de apertura, clic, credenciales y reporte. Landing de formación 2–3 min al caer.

SEMANA 2 · Análisis

Segmentación y diseño

Informe parcial con heatmap preliminar por departamento, identificación de roles de alto riesgo y diseño de plantilla nivel 2 con pretextos dirigidos por puesto.

SEMANA 3 · Dirigida

Campaña nivel 2

Plantilla nivel 2 con pretexto específico. Ampliación a smishing en móvil corporativo y vishing a cinco perfiles seleccionados, con autorización firmada. Campañas cruzadas email ↔ llamada.

SEMANA 4 · Avanzada

Nivel 3 y debrief ejecutivo

Plantilla nivel 3: simulación de BEC o fraude CEO refinado. Entrega del informe ejecutivo final con comparativa baseline-benchmark, heatmap por departamento y plan a 12 meses.

CONTINUO · Reactiva

Formación remedial sin culpa

Quien hace clic aterriza en página de 3–5 min explicando las señales perdidas (urgencia, autoridad, contexto). Quiz de 3 preguntas y retest a 7 días. La pieza clave del programa.

§03
Qué te llevas

Evidencia auditable, no titulares.

Entregable 01Baseline

Métrica inicial medible

MétricaLínea base ciega antes de cualquier formación: tasa de clic, envío de credenciales y reporte al buzón seguro.
Entregable 02Dashboard

Dashboard en vivo

AccesoPanel para dirección con métricas en tiempo real durante toda la campaña y series temporales por departamento.
Entregable 03Informe

Informe ejecutivo 25–40 páginas

ComparativaResultados frente a baseline propio y benchmark sectorial. Heatmap por departamento y antigüedad, top 10 errores y top 5 aciertos.
Entregable 04Formación

Formación remedial activada

ReflejoCada caída activa landing personalizada con explicación, quiz y retest a 7 días. Sin culpabilización, con métricas individuales.
Entregable 05Plantillas

Plantillas personalizadas al sector

CustomTres plantillas escaladas por dificultad, con jerga, proveedores y procesos del sector real, no plantillas genéricas.
Entregable 06Auditoría

Evidencia NIS2 / RGPD / seguro

ValidezDocumentación auditable lista para auditorías NIS2, exigencias RGPD y suscripción o renovación de seguro cyber.
§04
Formato

Treinta días, empleados ilimitados, todos los canales.

Detalle operativo

  • F.01Duración30 / 60 / 90 días
  • F.02AlcanceEmpleados ilimitados
  • F.03CanalesEmail · SMS · Teams · Slack
  • F.04DashboardEn vivo
  • F.05IdiomaES / EN

Tipos de campaña incluidos

  • T.01Phishing por correo (credential harvesting)Core
  • T.02Smishing por SMS
  • T.03Quishing con códigos QR físicos o digitales
  • T.04Vishing con autorización y DPO firmados
  • T.05Campañas cruzadas email ↔ llamadaAvanzado
§05
Preguntas

Dudas frecuentes.

¿Es legal hacer phishing simulado a los empleados?

Sí, siempre que exista autorización formal de la dirección, comunicación al comité de empresa cuando aplique y un encargado del tratamiento de datos. Aportamos las plantillas legales y un addendum estándar.

¿No es un programa que culpabiliza al empleado?

Lo contrario: la pieza clave es el aterrizaje sin culpa. Quien cae recibe una explicación corta de qué señales se perdieron y un quiz breve. No publicamos rankings ni nombres en los informes.

¿Qué métricas se entregan?

Tasa de clic objetivo a 30 días < 15 %, tasa de envío de credenciales < 5 %, tasa de reporte al buzón seguro > 30 % y tiempo medio del primer reporte < 30 min. Más comparativa baseline-benchmark sectorial.

¿Vale como evidencia auditora para aseguradoras o NIS2?

Sí. El informe ejecutivo, el dashboard exportado y la trazabilidad por empleado son piezas habitualmente exigidas en suscripción de seguro cyber y como evidencia de cumplimiento NIS2.

§06 — Siguiente paso

Pide presupuesto o reserva 30 min para definir alcance.

Cuéntanos tamaño de plantilla, sector y prioridad temporal (auditoría, seguro, NIS2). Te respondemos con propuesta cerrada en 48 h o lo definimos en una llamada corta.

Solicitar presupuesto Reservar 30 min