⏱ Tiempo estimado: 20 minutos 🎯 Rama: Líder de equipo, manager, emprendedor o profesional con personas a cargo 💡 ¿Qué vas a lograr? Diseñar y ejecutar un mini-simulacro de phishing o estafa telefónica para tu equipo, usando los patrones reales que enseña el curso, sin necesitar herramientas técnicas.
🛠 Lo que necesitas antes de empezar
- WhatsApp o email para comunicarte con tu equipo
- Acceso a Google Docs o cualquier editor de texto
- Al menos 2 personas en tu equipo (puede ser familiar, colega o socio)
- Opcional: cuenta gratuita en gophish.github.io si quieres ir más allá
📋 Pasos
Paso 1 — Entiende el modus operandi real (5 min)
Antes de simular, interioriza los 3 vectores más comunes del curso:
- Vishing: llamada falsa haciéndose pasar por banco, operador celular o soporte técnico que pide códigos SMS.
- Phishing por WhatsApp: mensaje urgente con link falso ("Tu cuenta será bloqueada, verifica aquí").
- Suplantación con IA: audio o foto clonada de alguien conocido pidiendo dinero o datos.
Estos no son teoría: son los ataques que ocurren hoy en Colombia y LATAM.
Paso 2 — Elige el escenario de tu simulacro
Selecciona uno de estos guiones listos para usar:
- Escenario A (WhatsApp): Mensaje que simula ser RR.HH. avisando que "el sistema de nómina cambió" y pide hacer clic en un link para actualizar datos bancarios.
- Escenario B (Email): Correo que imita a Google diciendo "detectamos acceso sospechoso, confirma tu identidad en las próximas 2 horas".
- Escenario C (Llamada): Alguien de tu equipo llama a otro haciéndose pasar por soporte de IT pidiendo el código de autenticación que "les acaba de llegar por SMS".
Paso 3 — Ejecuta el simulacro sin avisar
Envía el mensaje o realiza la llamada tal como lo haría un atacante real: con urgencia, tono oficial y un detalle personalizado (nombre de la persona, nombre de la empresa). No avises que es un simulacro. Dale máximo 10 minutos para que responda o no.
Paso 4 — Haz el debrief inmediato
Reúne al equipo (presencial o por llamada) y revela que fue un simulacro. Analiza juntos:
- ¿Qué señales de alerta estaban ahí?
- ¿Qué habrían entregado si fuera real?
- ¿Qué hubiera pasado después?
No es para avergonzar a nadie, es para que el aprendizaje quede grabado con emoción real, que es como el cerebro retiene mejor.
Paso 5 — Entrega las 3 reglas de oro anti-ingeniería social
Cierra el ejercicio dejando estas tres reglas escritas y visibles para todos:
- Ningún banco, app ni empresa real te pedirá un código SMS por teléfono o chat. Nunca. Siempre.
- La urgencia es una trampa. Si alguien te presiona con "tienes 2 horas o pierdes acceso", para, respira y verifica por otro canal.
- Verifica por un canal distinto al que llegó el mensaje. Si te llega por WhatsApp algo sospechoso del banco, llama al banco por su número oficial, no respondas por el mismo chat.
✅ Resultado esperado
Tu equipo habrá vivido en carne propia cómo se siente un ataque de ingeniería social, identificará los patrones reales de manipulación, y tendrá 3 reglas concretas internalizadas. Un simulacro de 20 minutos puede evitar una pérdida de miles de dólares o una brecha de datos real.
🔥 Tu reto (siguiente acción)
Convierte esto en un ritual mensual: un simulacro diferente cada mes, rotando los escenarios. Lleva un registro simple de quién cayó, quién detectó el intento y qué mejoró. En 3 meses tendrás un equipo con "músculo" anti-phishing real. Si quieres automatizarlo, investiga GoPhish para simular campañas de phishing por email a escala.
Curso de Ciberseguridad Preventiva
COMPARTE ESTE ARTÍCULO Y MUESTRA LO QUE APRENDISTE
