PLAN DE EJERCICIO DE VISHING
PLAN DE EJERCICIO DE VISHING
Nota importada desde Inbox durante consolidacion bulk.
PLAN DE EJERCICIO DE VISHING
Evaluación de Resiliencia del Equipo de Helpdesk ante Ataques de Ingeniería Social Telefónica
Control del Documento
| Campo | Detalle |
|---|---|
| Título | Plan de Ejercicio de Vishing — Evaluación Helpdesk |
| Versión | 1.0 |
| Clasificación | CONFIDENCIAL — Uso interno exclusivo |
| Autor | [NOMBRE] — Equipo CTI / Ciberseguridad |
| Revisado por | [NOMBRE] — Director de Managed Services |
| Aprobado por | [NOMBRE] — [CARGO] |
| Fecha | DD/MM/AAAA |
| Distribución | Dirección de Managed Services, Equipo CTI, CISO |
Historial de Cambios
| Versión | Fecha | Autor | Descripción |
|---|---|---|---|
| 1.0 | DD/MM/AAAA | [NOMBRE] | Versión inicial del plan de ejercicio |
Índice
PARTE I — RESUMEN EJECUTIVO
- Contexto y Justificación
- Objetivo del Ejercicio
- Alcance
- Cronograma de Alto Nivel
- Riesgos y Consideraciones
- Entregables
PARTE II — ANEXO TÉCNICO-OPERATIVO
A. Metodología Detallada
B. Escenarios de Ataque
C. Matriz de Evaluación y Métricas (KPIs)
D. Reglas de Enfrentamiento (Rules of Engagement)
E. Árbol de Decisión del Operador
F. Plantilla de Registro por Llamada
G. Criterios de Éxito / Fracaso
PARTE I — RESUMEN EJECUTIVO
1. Contexto y Justificación
A raíz de hallazgos recientes derivados de actividades de evaluación de seguridad realizadas en el entorno de uno de nuestros clientes, se identificaron debilidades significativas en los procesos de verificación de identidad aplicados por los equipos de soporte telefónico (Helpdesk) durante procedimientos críticos como el restablecimiento de contraseñas.
Estos hallazgos evidenciaron que un atacante con información básica obtenida mediante técnicas de OSINT (Open Source Intelligence) — nombres de empleados, formatos de correo electrónico corporativo, estructuras organizativas — podría, mediante una llamada telefónica convincente (vishing), conseguir que un operador de Helpdesk ejecute un restablecimiento de credenciales sin verificación robusta de la identidad del solicitante.
Las debilidades observadas incluyen la ausencia de verificación multifactor durante el proceso de reset, la confirmación directa de datos del usuario por parte del agente (facilitando la suplantación), y la falta de protocolos estandarizados de validación de identidad en el canal telefónico.
Ante esta situación, la Dirección de Managed Services ha solicitado la ejecución de un ejercicio controlado de vishing sobre nuestro propio equipo de Helpdesk. Este ejercicio complementará las acciones formativas ya planificadas (charlas de concienciación y cursos específicos) con una evaluación práctica que permita medir el nivel real de resistencia de los operadores frente a técnicas de ingeniería social telefónica.
2. Objetivo del Ejercicio
El objetivo principal es evaluar de forma controlada y medible la capacidad de los operadores del equipo de Helpdesk para detectar, resistir y gestionar adecuadamente intentos de ingeniería social realizados a través del canal telefónico. Los objetivos específicos son:
- Medir la línea base de resiliencia: Determinar el porcentaje de operadores que cumplen los protocolos de verificación de identidad ante solicitudes sospechosas.
- Identificar vectores de debilidad: Detectar qué técnicas de manipulación, pretextos o presiones resultan más efectivas contra el equipo, para priorizar la formación.
- Validar la eficacia de los procedimientos actuales: Comprobar si los protocolos de seguridad vigentes son conocidos, comprendidos y aplicados de manera consistente.
- Generar evidencia para la mejora continua: Producir datos cuantitativos y cualitativos que alimenten la actualización de procedimientos, políticas y planes de formación.
- Establecer una métrica de referencia: Crear un baseline medible que permita comparar resultados en futuros ejercicios y demostrar evolución.
3. Alcance
| Parámetro | Descripción |
|---|---|
| Objetivo | Operadores del equipo de Helpdesk de [EMPRESA] |
| Nº de operadores | [N] operadores (totalidad del equipo / muestra representativa) |
| Canal de ataque | Exclusivamente telefónico (vishing) |
| Escenarios | Entre 3 y 5 escenarios de complejidad progresiva (ver Anexo B) |
| Llamadas estimadas | [N] llamadas totales ([X] por escenario) |
| Ejecutores | Mínimo 2 operadores del equipo CTI (voces diferentes para reducir sesgo) |
| Período de ejecución | [FECHA INICIO] — [FECHA FIN] (ventana de [X] días hábiles) |
| Exclusiones | No se realizarán accesos reales a sistemas, no se exfiltrará información real, no se comprometerán credenciales reales |
4. Cronograma de Alto Nivel
| Fase | Actividad | Duración | Responsable |
|---|---|---|---|
| 1 — Preparación | Diseño de escenarios, validación legal, preparación de infraestructura de llamada | 1 semana | Equipo CTI |
| 2 — Ejecución | Realización de llamadas según matriz de escenarios | [X] días | Equipo CTI |
| 3 — Análisis | Evaluación de resultados, scoring por operador, análisis de patrones | 3-5 días | Equipo CTI |
| 4 — Informe | Elaboración de informe final con hallazgos, métricas y recomendaciones | 3-5 días | Equipo CTI |
| 5 — Presentación | Presentación de resultados a Dirección y sesión de feedback con Helpdesk | 1 día | CTI + Dir. MS |
5. Riesgos y Consideraciones
- Impacto en la moral del equipo: Los operadores podrían sentirse evaluados negativamente. Se mitigará comunicando el ejercicio post-ejecución como una herramienta de mejora colectiva, no como una evaluación individual punitiva. Los resultados se presentarán de forma agregada.
- Aspectos legales y de privacidad: Las llamadas serán grabadas exclusivamente como evidencia del ejercicio. Se requerirá autorización previa de la Dirección y del departamento legal/RRHH. Las grabaciones se almacenarán de forma segura y se destruirán según la política de retención acordada.
- Filtración del ejercicio: Si los operadores son alertados antes de la ejecución, los resultados quedarán invalidados. El conocimiento del ejercicio se limitará estrictamente al personal autorizado definido en la distribución de este documento.
- Falso positivo operativo: Existe el riesgo de que un operador escale una llamada del ejercicio como un incidente real de seguridad. Se definirá un protocolo de "abort" y un punto de contacto interno para desescalar en tiempo real.
6. Entregables
- Informe ejecutivo de resultados: Resumen de hallazgos principales, tasa de éxito/fracaso global, comparativa por escenario y recomendaciones priorizadas.
- Informe técnico detallado: Desglose por llamada con scoring individual, transcripciones anonimizadas, análisis de patrones de comportamiento y vectores más efectivos.
- Evidencias: Grabaciones de audio de cada llamada ejecutada, almacenadas según protocolo de cadena de custodia.
- Plan de remediación: Propuesta de mejoras a procedimientos, formación específica y calendario de re-evaluación.
- Métricas baseline: Dashboard de KPIs que servirá como referencia para futuros ejercicios.
PARTE II — ANEXO TÉCNICO-OPERATIVO
A. Metodología Detallada
El ejercicio seguirá una metodología estructurada inspirada en los frameworks de evaluación de ingeniería social reconocidos (NIST SP 800-115, PTES, OWASP Testing Guide) adaptada al contexto específico de evaluación de Helpdesk telefónico. La ejecución se dividirá en las siguientes fases:
Fase 1 — Reconocimiento (OSINT): Recopilación de información pública sobre la organización y sus empleados que un atacante real utilizaría para construir pretextos creíbles. Esto incluye nombres, cargos, estructura organizativa, formatos de email, números de teléfono internos y cualquier dato expuesto en fuentes abiertas (LinkedIn, web corporativa, filtraciones).
Fase 2 — Diseño de pretextos: Construcción de escenarios de ataque con diferentes niveles de sofisticación y presión psicológica, cada uno diseñado para testear controles específicos del proceso de verificación.
Fase 3 — Ejecución de llamadas: Realización de las llamadas según la matriz definida, con grabación de audio, toma de notas en tiempo real y registro de timestamps para cada punto de decisión del operador.
Fase 4 — Análisis y scoring: Evaluación de cada llamada según la matriz de métricas definida (ver Anexo C), identificación de patrones, cálculo de KPIs y elaboración de conclusiones.
B. Escenarios de Ataque
Se proponen los siguientes escenarios de complejidad progresiva. Cada escenario está diseñado para evaluar aspectos específicos del protocolo de verificación del Helpdesk:
Escenario 1 — "El empleado urgente" (Dificultad: Baja)
| Elemento | Detalle |
|---|---|
| Pretexto | El atacante se identifica como un empleado legítimo que necesita un reset de contraseña urgente porque tiene una reunión importante en 10 minutos y no puede acceder al sistema. |
| Información usada | Nombre real de empleado, departamento (obtenidos por OSINT) |
| Presión psicológica | Urgencia temporal, tono amable pero estresado |
| Control evaluado | ¿El operador solicita verificación de identidad antes de proceder? ¿Sigue el protocolo completo pese a la urgencia? |
| Indicador de éxito (atacante) | Obtención de contraseña temporal sin verificación multifactor |
Escenario 2 — "La autoridad" (Dificultad: Media)
| Elemento | Detalle |
|---|---|
| Pretexto | El atacante se presenta como un directivo o responsable de área que exige un reset inmediato para él o para un miembro de su equipo, utilizando tono de autoridad e impaciencia. |
| Información usada | Nombre de directivo real, estructura jerárquica, nombres de subordinados |
| Presión psicológica | Autoridad jerárquica, amenaza velada ("voy a escalar esto"), impaciencia |
| Control evaluado | ¿El operador mantiene el protocolo ante presión jerárquica? ¿Cede ante la autoridad percibida? |
| Indicador de éxito (atacante) | Reset ejecutado saltando pasos de verificación por intimidación |
Escenario 3 — "El técnico externo" (Dificultad: Media-Alta)
| Elemento | Detalle |
|---|---|
| Pretexto | El atacante se identifica como un proveedor o técnico externo que trabaja con un proyecto activo de [CLIENTE] y necesita acceso urgente a un recurso compartido. Usa jerga técnica y nombres de proyectos reales. |
| Información usada | Nombres de proyectos/clientes, jerga técnica del entorno, nombre de contacto interno |
| Presión psicológica | Credibilidad técnica, name-dropping de responsables internos, impacto en servicio al cliente |
| Control evaluado | ¿El operador verifica la legitimidad de terceros externos? ¿Escala la solicitud? |
| Indicador de éxito (atacante) | Obtención de credenciales o información sensible sobre la infraestructura interna |
Escenario 4 — "El incidente de seguridad" (Dificultad: Alta)
| Elemento | Detalle |
|---|---|
| Pretexto | El atacante llama haciéndose pasar por un miembro del equipo de seguridad/SOC de [EMPRESA] o de un cliente, alegando que se ha detectado actividad sospechosa en la cuenta de un empleado y que necesita una acción inmediata (reset, bloqueo, verificación de datos) para contener el incidente. |
| Información usada | Conocimiento de procedimientos internos de respuesta a incidentes, nombres del equipo de seguridad, terminología SOC |
| Presión psicológica | Miedo ("cuenta comprometida"), urgencia extrema, apelación a la responsabilidad del operador |
| Control evaluado | ¿El operador verifica la identidad del supuesto equipo de seguridad por canal secundario? ¿Sigue el protocolo de escalado ante incidentes reportados verbalmente? |
| Indicador de éxito (atacante) | Operador ejecuta acciones (reset, desbloqueo, revelación de información) sin verificación cruzada |
Escenario 5 — "El compañero simpático" (Dificultad: Variable)
| Elemento | Detalle |
|---|---|
| Pretexto | El atacante se presenta como un compañero de otro departamento/sede con un tono muy amigable y cercano, apelando a la empatía y la camaradería. Puede mencionar eventos internos recientes, el nombre del jefe del operador, etc. |
| Información usada | Eventos internos, cultura corporativa, nombres de personas del entorno del operador |
| Presión psicológica | Rapport, empatía, reciprocidad social ("me harías un gran favor") |
| Control evaluado | ¿El operador mantiene el rigor del protocolo ante un interlocutor agradable y aparentemente legítimo? |
| Indicador de éxito (atacante) | Obtención de información o acción fuera de protocolo por confianza social |
C. Matriz de Evaluación y Métricas (KPIs)
Cada llamada será evaluada según los siguientes indicadores clave. La puntuación de cada operador se calculará como una media ponderada de los controles evaluados:
| KPI | Descripción | Peso | Medición |
|---|---|---|---|
| Verificación de identidad | ¿El operador solicitó verificación según protocolo antes de ejecutar cualquier acción? | 30% | Sí / Parcial / No |
| Resistencia a la presión | ¿Mantuvo el protocolo ante urgencia, autoridad o empatía manipulativa? | 25% | Alta / Media / Baja |
| Detección de anomalías | ¿Identificó señales sospechosas en la solicitud o el comportamiento del llamante? | 15% | Sí / No |
| Escalado apropiado | ¿Escaló la llamada a un supervisor o al equipo de seguridad cuando correspondía? | 15% | Sí / No / N/A |
| Revelación de información | ¿Reveló datos sensibles (nombres de usuario, estructura interna, sistemas) sin necesidad? | 15% | Ninguna / Parcial / Crítica |
Adicionalmente, se registrarán métricas globales como: tasa de compromiso (% de llamadas que resultaron en éxito para el atacante), tiempo medio hasta la revelación de información, escenario con mayor tasa de éxito, y correlación entre turno/hora y susceptibilidad.
D. Reglas de Enfrentamiento (Rules of Engagement)
- Autorización formal: El ejercicio requiere aprobación por escrito de la Dirección de Managed Services y conocimiento del departamento legal/RRHH antes de su inicio.
- Grabación de llamadas: Todas las llamadas serán grabadas como evidencia. Las grabaciones se clasificarán como CONFIDENCIAL y se almacenarán cifradas con acceso restringido al equipo CTI y la Dirección.
- No compromiso real: En ningún caso se ejecutará un acceso real a sistemas con credenciales obtenidas. Si un operador proporciona una contraseña temporal, se documentará el hecho pero no se utilizará.
- Protocolo de abort: Si durante una llamada el operador muestra signos de angustia significativa, o si se activa un escalado real a seguridad, el ejecutor de la llamada abortará el escenario de forma natural y se comunicará con el punto de contacto interno designado.
- Punto de contacto: [NOMBRE] (equipo CTI) actuará como punto de contacto único para gestionar cualquier escalado real o incidencia derivada del ejercicio durante la fase de ejecución.
- Anonimización de resultados: Los resultados individuales se presentarán de forma anonimizada en el informe final. Solo la Dirección tendrá acceso al desglose nominativo si lo solicita.
- Debriefing post-ejercicio: Tras la finalización y presentación de resultados, se realizará una sesión formativa con el equipo de Helpdesk donde se explicarán los escenarios utilizados y las lecciones aprendidas, siempre con enfoque constructivo.
- Ventana temporal: Las llamadas se realizarán durante horario laboral estándar. No se realizarán llamadas fuera de horario, en festivos, ni durante períodos de carga operativa excepcional.
E. Árbol de Decisión del Operador (Referencia)
El siguiente árbol representa el flujo de decisión esperado que un operador de Helpdesk debería seguir ante una solicitud telefónica de restablecimiento de credenciales. Este árbol servirá como referencia para evaluar en qué punto del flujo el operador se desvía del protocolo durante el ejercicio:
| Paso | Acción esperada | Si falla |
|---|---|---|
| 1 | Recibir llamada → Solicitar nombre completo y departamento del llamante | FALLO: Proceder sin identificación básica |
| 2 | Verificar identidad mediante protocolo establecido (pregunta de seguridad, código de empleado, callback a extensión registrada) | FALLO: Aceptar identidad sin verificación formal |
| 3 | Validar la solicitud: ¿Es coherente? ¿Es un procedimiento estándar? ¿Hay señales de urgencia artificial? | FALLO: No cuestionar solicitudes inusuales |
| 4 | Si hay dudas → Escalar a supervisor o equipo de seguridad | FALLO: Resolver dudas internamente sin escalar |
| 5 | Ejecutar la acción solo tras verificación completa → Registrar en sistema (ticket) | FALLO: Ejecutar sin registro o sin verificación completa |
| 6 | Comunicar la nueva credencial por canal seguro (no en la misma llamada si hay dudas) | FALLO: Proporcionar credencial en la llamada sin garantías |
F. Plantilla de Registro por Llamada
Cada llamada ejecutada durante el ejercicio se documentará utilizando la siguiente plantilla. El ejecutor completará el registro inmediatamente después de cada llamada:
| Campo | Valor |
|---|---|
| ID de llamada | VISH-[AÑO]-[NNN] |
| Fecha y hora | |
| Ejecutor | |
| Operador objetivo (anonimizado) | OP-[NNN] |
| Escenario utilizado | Escenario [N] — [Nombre] |
| Duración de la llamada | |
| ¿Se solicitó verificación de identidad? | Sí / Parcial / No |
| ¿Se resistió la presión? | Alta / Media / Baja |
| ¿Se detectaron anomalías? | Sí / No |
| ¿Se escaló la llamada? | Sí / No |
| Información revelada | Ninguna / Parcial / Crítica — Detalle: ... |
| Resultado global | ÉXITO (atacante) / FRACASO (atacante) / PARCIAL |
| Puntuación ponderada | [0-100] |
| Observaciones | |
| Archivo de audio | evidence_vishing_VISH-[AÑO]-[NNN].mp3 |
G. Criterios de Éxito / Fracaso
Para el análisis de resultados se establecen los siguientes umbrales que determinan el nivel de madurez del equipo y la urgencia de las acciones correctivas:
| Nivel | Tasa de compromiso | Interpretación | Acción requerida |
|---|---|---|---|
| Crítico | > 70% | Los controles son insuficientes; la mayoría de operadores no siguen el protocolo | Revisión urgente de procedimientos, formación obligatoria inmediata, re-evaluación en 30 días |
| Alto | 50% - 70% | Existen gaps significativos en la aplicación del protocolo | Formación reforzada, actualización de procedimientos, re-evaluación en 60 días |
| Moderado | 30% - 50% | Algunos operadores son vulnerables, especialmente ante escenarios sofisticados | Formación dirigida a operadores específicos, refuerzo de escenarios complejos, re-evaluación en 90 días |
| Aceptable | 10% - 30% | La mayoría sigue el protocolo; los fallos son puntuales | Mantenimiento formativo, sesiones de concienciación periódicas, re-evaluación semestral |
| Óptimo | < 10% | El equipo demuestra alta resiliencia ante ingeniería social | Mantenimiento del programa, ejercicios anuales, reconocimiento al equipo |
Este documento es propiedad de [EMPRESA] y contiene información confidencial. Su distribución está restringida al personal autorizado indicado en la sección de control.