4La simulación ética de campañas de ingeniería social (phishing, smishing, etc.) es clave para fortalecer la ciberseguridad humana. Este informe analiza las principales plataformas profesionales de simulación de phishing (Hoxhunt, Proofpoint, KnowBe4, Cofense/PhishMe, Phished, NINJIO, Mimecast, Infosec IQ, Barracuda PhishLine, entre otras), comparando sus características, métricas, enfoques formativos, controles éticos (consentimiento, manejo de datos, políticas de captura de credenciales) y modelos de precios. Los datos provienen de documentación oficial de los proveedores y estudios relevantes.
A continuación se compara cada plataforma en términos de funcionalidades, métricas, formación y controles éticos. La Tabla 1 resume las características clave de cada solución, citando fuentes oficiales:
| Plataforma | Funcionalidades clave y enfoque formativo | Métricas/Informes | Controles éticos / Privacidad | Precio (publicado) | Fortalezas / Debilidades | Casos recomendados |
|---|---|---|---|---|---|---|
| Hoxhunt | Simulaciones adaptativas de phishing (email, SMS, voz) con IA, feedback inmediato y gamificación (medallas, tablas de líderes). Formación mediante micro-lecciones personalizadas según rol y nivel de riesgo. | Monitorea tasa de clics, descargas, envíos de credenciales falsas y reportes, así como velocidad de reporte. Dashboard de tendencias y progresión por empleado/equipo. | Requiere consentimiento explícito previo (opt-in) y contratos legales para SMS. No captura datos sensibles reales: las páginas falsas sólo registran el clic o envío sin guardar credenciales. La app móvil reduce al mínimo permisos (no accede a datos ajenos). | No público; licenciamiento empresarial personalizado. | Fortaleza: Alto grado de personalización y enfoque en cambio de conducta (premios por comportamiento positivo). Gran soporte multicanal (email, SMS, deepfakes). Debilidad: Enfoque muy completo puede ser complejo de implementar inicialmente; enfoque gamificado puede no gustar en todos los entornos. | Empresas grandes y distribuidas que requieran formación continua y gamificada, con enfoque en métricas de comportamiento. |
| Proofpoint (Security Awareness Training) | Simulaciones de email (y opcionalmente SMS/USB) con plantillas basadas en inteligencia de amenazas reales. Formación integrada (módulos web, videos interactivos) y cultura de seguridad. Incluye botón de reporte (PhishAlarm). | Reportes detallados de clics, descargas, envíos de datos e indicadores de reporte. Métricas tipo “click-through rate”, “report rate”, etc. Dashboard con tendencias globales y por campaña. | Los datos personales procesados son mínimos (nombre, email desde AD) y se retienen sólo por el término del contrato. Se pueden anonimizar informes. Políticas corporativas para no almacenar contraseñas reales ingresadas (páginas falsas alertan al usuario sin conservar credenciales). Cumple estándares (ISO27001, SOC2). | No público; parte de oferta de Proofpoint SaaS. | Fortaleza: Integración con solución de email security, análisis de riesgos humanos integrado con detección de ataques reales. Debilidad: Menor enfoque en gamificación; las páginas de “corrección” tras fallos suelen ser breves y poco educativas. | Organizaciones que ya usan seguridad de correo Proofpoint o requieren informes detallados de riesgo humano y cumplimiento normativo (p.ej. finanzas reguladas). |
| KnowBe4 | Biblioteca vasta (+3.000 simulaciones) con múltiples vectores: phishing por enlace, archivos adjuntos, phishing de datos (página de login falsa), QR, USB, spear-phishing, etc.. Formación continua mediante videos breves y “nanolecciones”. Integra botón “Phish Alert” para reporte fácil. | Métricas clave: “Phish-prone Percentage” (porcentaje de usuarios susceptibles) tanto por individuo como global. Reportes de campañas (fallos, reportes, usuarios vulnerables) y seguimiento de progreso. | Se adhiere a normativas globales (GDPR, CCPA). Datos de usuario y resultado se mantienen confidenciales para la empresa cliente. Por política, los simulacros se anuncian a nivel organizacional; se asume consentimiento tácito por convenio laboral. No se extraen credenciales reales; los sitios falsos descartan la info ingresada y redirigen a material educativo. | Precios basados en usuarios (por año); escala corporativa. | Fortaleza: Gran variedad de plantillas y personalización; sistema de reporte fácil y métricas útiles (phish-prone). Debilidad: Enfoque muy formal; menor innovación en presentación de feedback. | Entornos de todo tamaño que buscan un programa de concienciación “llave en mano” con contenido extensivo y métricas estándares. |
| Cofense (PhishMe SAT) | Simulaciones dinámicas basadas en ataques reales, multicanal (email, SMS, QR, voz). Emplea inteligencia de amenazas de Cofense para lures actualizados. Refuerzo inmediato mediante lecciones breves al detectar fallos. Botón de reporte integrado (Reporter). | Reportes en tiempo real de comportamiento: clics, descargas, reportes, tiempos de detección. Analítica centrada en rapidez de reporte y mejora de la resiliencia. | Plataforma corporativa madura; datos de simulación accesibles sólo para cliente. Políticas “activos”: no almacenar contraseñas, solo registrar si se hizo clic. Ofrece asesoría en cumplimiento (por ej. requisitos legales para consentir empleados). | No público; licencias empresariales de Cofense. | Fortaleza: Contenido “humanizado” (basado en datos reales), integración con detección de amenazas; gran énfasis en reportes y colaboración entre usuarios y SOC. Debilidad: Puede ser redundante si no se usa resto del ecosistema Cofense; menos personalización “gamificada”. | Grandes organizaciones orientadas a la inteligencia humana (departamentos de seguridad dedicados). Útil donde hay alta regulación y se requieren métricas de cumplimiento. |
| Phished | Simulaciones automatizadas impulsadas por IA, generando campañas hiperrealistas y personalizadas. Plataforma integral con “nanolecciones” (micro-feedback tras un clic). Botón de reporte para fomentar identificación de phish. | Puntuaciones de riesgo individual, tasa de clic/report, velocidad de respuesta. Seguimiento de usuarios vulnerables («quienes fallan más») y reportes de tendencias de seguridad. | Firma políticas de privacidad estrictas (confidencialidad, cifrado). No almacena datos sensibles (sitios falsos no recopilan info válida). Enfoque en reforzar positivamente las buenas prácticas (elogia reportes). | Modelos SaaS; precios según usuarios y características (incluso hay planes con AI). | Fortaleza: Alto grado de automatización e IA, facilitando campañas sin esfuerzo IT; retroalimentación inmediata y positiva (gamificación ligera). Debilidad: Plataforma más reciente (menor madurez), menos presencia histórica. | Organizaciones innovadoras o con recursos para IA, que buscan automatizar masivamente la simulación y el entrenamiento continuo. |
| NINJIO PHISH3D | Simulación basada en “vectores de ataque” (fraude por email, llamadas, SMS) y perfiles de susceptibilidad emocional. Implementa niveles de dificultad adaptativa por usuario. Formación con microvideos estilo Hollywood, adaptados al perfil psicológico de cada empleado. | Mide tasas de compromiso (clics/reportes) por segmento emocional, nivel de riesgo individual y cambios a lo largo del tiempo. Reportes de mejora conductual (p.ej. reducción de clics tras entrenamiento). | Enfocado a empresas conscientes de privacidad: no captura contraseñas reales, solo detecta clics en links falsos. Su modelo exige opt-in informado (contrato) y permite anonimato en informes agregados. | Paquetes corporativos por usuarios; “Prodigy Plus” incluye simulación avanzada (precio a consultar). | Fortaleza: Contenido muy atractivo (producción de alta calidad) y altamente personalizado, lo que impulsa el engagement; reconocida por análisis Gartner. Debilidad: Costo elevado; menos flexible para escenarios fuera de su enfoque psicográfico. | Empresas que valoran el storytelling y la personalización psicológica (p.ej. educación, empresas creativas). Ideal para reforzar cultura de seguridad de forma divertida. |
| Mimecast (Engage) | Simulaciones realistas derivadas de phishing reales (plantillas precargadas). Formación basada en vídeos de alta calidad y microlearning con enfoque humorístico. Plataforma integrada (Gateway + Awareness). | Métricas de cambio de comportamiento: clics/reportes, niveles de “riesgo humano” antes y después. Dashboards de tendencias globales. Analiza cultura de seguridad y puntos débiles. | Forma parte de un ecosistema con centro de confianza (Trust Center). Registra datos de simulación mínimos (correo, timestamp) para informes. No captura contraseñas. Cumple estándares (SOC2, GDPR). | Licenciamiento por usuario integrado en Mimecast Email Security (sin precio público; demo disponible). | Fortaleza: Contenido creativo y audiovisual (enfoque “TV quality”), adaptación cultural (microlecciones). Debilidad: Enfoque de humor/microlearning puede no ajustarse a todos los públicos; menor notoriedad en métricas específicas comparado con líderes del sector. | Organizaciones que buscan cultura de seguridad innovadora y ya usan servicios de Mimecast. Bueno para programas donde la gamificación clásica no es prioridad. |
| Infosec IQ (PhishSim) | Campañas ilimitadas con 1.000+ plantillas realistas, varios tipos de ataque y escenarios internacionales. Formación basada en roles e industria, con actualizaciones semanales de contenido. Plataforma con gestor de campañas fácil. | Métricas de “phish-prone percentage” global e individual, tendencias por departamento/región. Informes comparativos entre campañas, niveles de cumplimiento y brechas de conocimiento. | Cumple regulaciones internacionales. Datos de entrenamiento manejados por la empresa; informes de resultados anónimos. No se almacena información sensible ingresada (sólo si ocurrió clic o report). | Planes por usuario (prueba gratuita disponible, luego anual por escalas de empleados). | Fortaleza: Amplia biblioteca de contenido educativo y de simulación, soporte analítico sólido (incluye scorecards). Debilidad: Marca menos conocida en SaaS, interfaz tradicional. | Equipos TI que desean una plataforma consolidada con certificaciones de cumplimiento (PCI, HIPAA, etc.) y soporte en formación formal (pedestales). |
| Barracuda (PhishLine) | Simulaciones de amenazas de correo basadas en su Threat Intelligence (plantillas reales actualizadas). Formación opcional con videos e infografías (“ClickThinking™”). Configuración sencilla (“Quick Launch”). | Recopila miles de puntos de datos: tasa de clics, reportes, tendencias y benchmarking por industria. Paneles personalizables y comparativas. | Parte de Barracuda Email Protection; datos encriptados en tránsito/descanso. No retiene credenciales; solo métricas de usuario. Dispone de políticas de privacidad corporativas. | Incluido en Barracuda Email Protection (arancel por usuario). Precios escalados por niveles (p.ej. <50 usuarios). | Fortaleza: Integración completa con solución de correo (inbox defense + awareness); enfoque en gráficos y análisis (incluye métricas de cumplimiento). Debilidad: Menos extensible fuera del ecosistema Barracuda. Interfaz menos moderna que competidores nativos SaaS. | Organizaciones que usan Barracuda email security o MSPs; ideal donde se desea solución integrada “todo en uno” sin proveedor adicional. |