Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos que envíe una prueba de phishing simulada sin previo aviso a todos los usuarios. Esta prueba le ayudará a establecer una base de referencia para su organización.

Los resultados de esta prueba inicial de phishing mostrarán el porcentaje de propensión al phishing inicial de su organización. El porcentaje de propensión al phishing le muestra el porcentaje de usuarios que, probablemente, hagan clic en un correo electrónico de phishing. Considere que este porcentaje inicial de propensión al phishing es la base de referencia, o el punto de partida, para su organización. El porcentaje de Phish-prone (propensión al riesgo) global de su organización o el porcentaje de Phish-prone promedio de la cuenta se basan en el porcentaje de Phish-prone de todos los usuarios registrados en dicha cuenta, incluidos aquellos que no han recibido ninguna prueba de seguridad contra el phishing (PST). A medida que realice pruebas de phishing continuas, compare el porcentaje de propensión al phishing de su organización con el porcentaje de propensión al phishing inicial para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.

¿Por qué no debo avisar de la prueba?

Recomendamos realizar una prueba de phishing inicial sin previo aviso para que los resultados sean lo más precisos posible. Al no avisar acerca de la prueba, puede ver lo vulnerable que sería su organización si un ataque real de phishing lograra atravesar sus filtros de correo electrónico. Esta información puede ayudarle a conseguir la aprobación de las partes interesadas. Para obtener más información, consulte lo siguiente: ¿Cómo puedo involucrar a las partes interesadas en mi plan de formación sobre concienciación en materia de seguridad?

Configuración recomendada para la campaña de prueba inicial

Consejo:Después de la inclusión en la lista y antes de crear una campaña de phishing de referencia, le recomendamos ejecutar al menos una campaña de prueba limitada a un pequeño grupo de usuarios. Para obtener más información, consulte la sección Campaña de prueba preliminar de nuestra Guía rápida de implementación.

Para crear su campaña inicial, vaya a Phishing > + Crear campaña de phishing. Recomendamos utilizar la siguiente configuración para su campaña de prueba inicial:

Nota: Todas las campañas de phishing se localizarán de forma predeterminada.

1. Nombre de la campaña: ponga un nombre a su campaña con algo descriptivo, como «Prueba inicial».
2. Enviar a: seleccione Todos los usuarios.
3. Frecuencia: seleccione Una vez.
4. Hora de inicio: en los menús desplegables, seleccione la fecha y hora deseadas para su prueba inicial. La hora que seleccione debe ser durante el horario laboral de su organización, ya que es cuando sus usuarios revisan activamente sus correos electrónicos.
5. Período de envío: seleccione Enviar todos los correos electrónicos al comienzo de la campaña. Al seleccionar esta configuración, los correos electrónicos comenzarán a enviarse tan pronto como comience la campaña. El momento del envío y la entrega variará según la cantidad de usuarios que participen en la campaña. En la mayoría de las campañas, todos los correos electrónicos se enviarán dentro del plazo de una hora después del inicio de la campaña.
6. Realizar seguimiento de la actividad: le recomendamos que realice un seguimiento de los fallos de las pruebas de phishing durante al menos tres días. Para obtener más información sobre los períodos de envío y seguimiento, consulte el artículo Cómo supervisar y revisar las campañas de phishing.
7. Realizar seguimiento de las respuestas a los correos electrónicos de phishing: puede activar esta opción si desea hacer un seguimiento de las respuestas de los usuarios a los correos electrónicos de prueba de phishing. Para obtener más información sobre el phishing de respuesta, consulte el artículo Phishing de respuesta.
8. Temas de plantillas: seleccione la categoría Phishing para obtener información confidencial en el menú desplegable.
9. Establecer idioma de la plantilla: si se habilita esta configuración, se anulará el idioma de phishing establecido en los perfiles de los usuarios. Para obtener más información sobre la configuración de idioma, consulte la Guía de localización.
10. Grado de dificultad: esta configuración estima lo sofisticada que es una plantilla y la probabilidad de que engañe a sus usuarios. Para los fines de esta campaña, mantenga el Grado de dificultad establecido en Todos los grados.
11. Selección de la plantilla: en el menú desplegable, seleccione Plantilla específica (elija una plantilla).
12. Plantilla específica: seleccione la plantilla de phishing TI: comprobación de contraseña requerida inmediatamente. 
    1. Vista previa: al hacer clic en Vista previa, se mostrará la plantilla de phishing que va a enviar a los usuarios.
13. Dominio de enlace de phishing: seleccione el dominio que va a utilizar en el enlace de phishing. Esta opción representa el dominio que los usuarios verán cuando pasen el cursor sobre el enlace de phishing, así que escoja uno que parezca seguro para hacer clic.
14. Página de aterrizaje: mantenga seleccionadas las páginas de aterrizaje predeterminadas.
15. Añadir usuarios que han hecho clic a: para los fines de esta campaña, no necesita hacer ninguna selección.
16. Enviar un informe de correo electrónico a los administradores de cuentas después de cada prueba de phishing: seleccione esta casilla para que se envíe un correo electrónico a todos los administradores de su cuenta una vez finalizada la prueba. Este informe por correo electrónico se enviará a los administradores una vez finalizado el período de Seguimiento de la actividad.

Después de la prueba inicial

Después de la prueba de phishing inicial, sus usuarios pueden estar confundidos o preocupados por el correo electrónico que han recibido. Para ayudar con esta confusión, le recomendamos que envíe un correo electrónico explicando en qué consistía la prueba de phishing, e incluso puede compartir el porcentaje de propensión al phishing de su organización para subrayar la importancia de la formación sobre concienciación en materia de seguridad. Disponemos de una plantilla que puede utilizar para este correo electrónico y puede consultar el artículo: Plantilla para la prueba posterior a la prueba de phishing de referencia.

Le recomendamos que inscriba a sus usuarios en una formación sobre concienciación en materia de seguridad poco después de realizar su prueba de phishing inicial. Para obtener más información, consulte la Guía de prácticas recomendadas: creación de su primera campaña de formación.

Una vez que los usuarios hayan completado su tarea de formación inicial sobre concienciación en materia de seguridad, le recomendamos que realice pruebas de phishing continuas para que sus usuarios puedan poner en práctica las habilidades que han aprendido como parte de su formación. Para obtener más información sobre las pruebas de phishing continuas, consulte nuestra Guía de prácticas recomendadas.