El phishing de RR. HH. consiguió engañar al Parlamento federal belga en 2025

Los mensajes de RR. HH. funcionan tan bien porque apelan a algo muy personal. Un asunto como "Solicitud de vacaciones rechazada" o "Actualización en la política de teletrabajo" genera de inmediato una reacción emocional. La sensación de miedo, estrés o confusión puede anular los reflejos de seguridad y hacer que la gente haga clic sin pensárselo dos veces. Temas como multas o impuestos también son terreno fértil para el phishing.

Gracias a la inteligencia artificial, los atacantes pueden generar estos mensajes de forma masiva, personalizada y sin errores. Abordan temas sensibles y se envían de forma completamente automatizada. Desde la llegada de ChatGPT, el volumen de correos de phishing se ha duplicado a nivel mundial.

1. Actualizaciones sobre vacaciones o salario (31,5 %)
2. Cambios en políticas de empresa (24,7 %)
3. Documentos o información de RR. HH. (18,1 %)
4. Multas e impuestos (16,7 %)
5. Firmas de documentos internos (9,2 %)

Muchas empresas siguen confiando en simulaciones de phishing para "formar" a su equipo. Si haces clic en un enlace sospechoso, te sale un aviso diciendo que te has equivocado y que la próxima vez tengas más cuidado. Este modelo de click & blame sigue siendo la opción preferida por muchos responsables de IT.

Pero los datos dicen otra cosa. Un estudio reciente de la Universidad de California en San Diego*** confirma lo que ya hemos visto: las simulaciones, por sí solas, no funcionan. ¿Por qué? Porque solo reciben formación quienes cometen errores. La gran mayoría nunca recibe orientación real.

Y encima, pillas a la gente en el peor momento posible: cuando están ocupados, en mitad de una tarea, intentando avanzar con su correo. Ese no es un momento de aprendizaje, es una interrupción.

Si de verdad quieres que tu equipo aprenda, hay que darles oportunidades regulares para formarse y no solo hacerlo después de que se hayan equivocado. Lo mínimo: dos formaciones cortas al mes.

Y no vale con cualquier formación. Tiene que ser interactiva, útil y centrada en crear conciencia: cómo identificar señales de alerta, qué hacer si algo genera dudas y cómo mantener la calma ante correos con carga emocional.

Una persona formada de esta manera no va a dar por válida una solicitud de cambio de cuenta bancaria. Sabrá revisar el remitente, confirmar la petición por otro canal y proteger tanto sus datos como los de la empresa.

Nuestros datos demuestran que las empresas que apuestan por una formación continua en ciberseguridad reducen drásticamente el riesgo de incidentes por error humano.

Y no es para menos. En 2025, la ciberdelincuencia le costó al mundo 15 billones de dólares. Para finales de 2026, esa cifra podría llegar a los 20 billones, acercándose al tamaño de la economía china. En este contexto, pensar que unas cuantas simulaciones al año son suficientes es ser peligrosamente ingenuo.

*Fuente: Análisis de simulaciones de Phished, 2025.
** Porcentaje de personas que hacen clic en un enlace, abren un archivo adjunto o comparten datos personales o de empresa en un mensaje de phishing
*** Fuente: Understanding the Efficacy of Phishing Training in Practice — Resultados de un estudio aleatorizado de 8 meses llevado a cabo por la Universidad de California en San Diego y UC San Diego Health.

Manon Vandebergh
COO Phished