Hard2bit

Retail · Riesgo humano

Programa de ingeniería social y riesgo humano en una cadena de retail

Una cadena española de retail con 80 tiendas y unos 1.500 empleados detuvo in extremis un fraude del CEO de 240.000 € — por suerte, no por proceso. Dirección encargó a Hard2bit una evaluación real de ingeniería social autorizada por escrito y, con los datos sobre la mesa, un programa de riesgo humano de seis meses. Los clics en phishing cayeron del 31% al 7% y el ratio de reporte se multiplicó por nueve.

Sector

Retail · distribución

Tamaño

~1.500 empleados · 80 tiendas

Alcance

Phishing · vishing · intrusión física

Plataforma

CortexShield · gestión del riesgo humano

Duración

Evaluación + 6 meses de programa

Resultado

Clics 31%→7% · reporte 4%→38%

El punto de partida

El detonante fue un correo. La oficina financiera recibió una petición urgente de transferencia de 240.000 € firmada, aparentemente, por el director general. La orden estaba ya en circuito de pago cuando una empleada dudó del tono del mensaje y llamó al despacho del director. No existía tal petición. El fraude se detuvo a tiempo, pero el comité de dirección extrajo la conclusión correcta: se habían salvado por la intuición de una persona, no porque hubiera un proceso que lo impidiera.

Dirección encargó a Hard2bit una evaluación real de ingeniería social, autorizada por escrito y con reglas de enfrentamiento pactadas — qué se podía hacer, dónde y hasta dónde. Tres vectores: phishing por email a toda la plantilla en oleadas segmentadas (sede frente a tienda), vishing al equipo de atención al cliente y a tiendas haciéndonos pasar por soporte de TI, e intrusión física con pretexto en cinco tiendas seleccionadas, presentándonos como técnicos del proveedor de TPV.

La línea base fue demoledora: el 31% de la plantilla hizo clic en el phishing y el 14% entregó sus credenciales. En vishing, seis de diez tiendas llegaron a dar información sensible o a ejecutar acciones solicitadas por teléfono. Y en tres de las cinco tiendas visitadas, el pretexto físico logró acceso a la trastienda y a un equipo desbloqueado. Solo el 4% de quienes recibieron el phishing lo reportó.

Cómo lo abordamos

  1. Evaluación autorizada con tres vectores — phishing segmentado por oleadas, vishing con pretexto de soporte de TI e intrusión física en tiendas, todo con autorización escrita de dirección, alcance acotado y sin exponer a ningún empleado individualmente: los datos se trataron de forma agregada.
  2. Microformaciones segmentadas por rol sobre CortexShield — el escenario de un cajero no es el de un técnico de tesorería ni el de TI. Píldoras de menos de cinco minutos, con los pretextos reales que habíamos usado contra cada colectivo, desplegadas y medidas desde CortexShield, la plataforma de gestión del riesgo humano de Hard2bit.
  3. Simulaciones mensuales con dificultad progresiva — de señuelos genéricos a pretextos a medida (proveedor de TPV, campaña interna de RR. HH., incidencia de nóminas), midiendo por rol y por centro para dirigir el refuerzo donde los datos lo pedían.
  4. Procedimiento de verificación de pagos con doble canal — ninguna orden de pago o cambio de cuenta bancaria se ejecuta sin confirmación por un segundo canal (llamada a número conocido, nunca al que figura en el propio correo). Sencillo, obligatorio y sin excepciones por jerarquía: también si lo pide "el director general".
  5. Canal de reporte de un clic con feedback — botón de reporte en el correo, respuesta en minutos y una regla cultural innegociable: se celebra el reporte, no se castiga el clic. Quien reportaba recibía las gracias; nadie fue señalado por caer.

Resultados

31% → 7%

de clics en phishing en la re-evaluación del mes 7; credenciales entregadas: del 14% al 1,2%

4% → 38%

de ratio de reporte de la plantilla — la métrica que de verdad protege

6/10 → 1/10

tiendas que cedieron información o ejecutaron acciones ante el vishing

El epílogo llegó al mes nueve, fuera ya de cualquier simulación: una empleada de tesorería recibió un intento real de fraude del CEO. Aplicó el procedimiento de doble canal, confirmó que la petición era falsa y lo reportó en minutos. Esta vez no fue suerte — fue el proceso funcionando exactamente como se había entrenado.

Claves del caso

  • El clic nunca baja a cero: lo que protege a la organización es el reporte rápido, y esa métrica pasó del 4% al 38%.
  • Formar por rol funciona; el café para todos, no. El escenario de un cajero no tiene nada que ver con el de tesorería o TI.
  • El procedimiento de doble canal salva dinero incluso cuando la persona duda: la verificación decide, no la intuición.

Preguntas frecuentes

¿Es legal hacer pruebas de ingeniería social a los empleados?

Sí, siempre que se haga con autorización escrita de la dirección de la empresa y con reglas de enfrentamiento pactadas de antemano: qué se puede intentar, dónde y hasta dónde. El diseño debe ser ético — sin exponer a ningún empleado individualmente — y los resultados se tratan de forma agregada, por rol o por centro, nunca con nombres y apellidos. El objetivo es medir a la organización, no señalar a personas.

¿Qué vectores se prueban en una evaluación de ingeniería social?

Los tres que usan los atacantes reales: phishing por email en oleadas segmentadas por colectivo, vishing — llamadas telefónicas con pretexto, por ejemplo haciéndose pasar por soporte de TI — e intrusión física con pretexto, como presentarse en una sede o tienda como técnico de un proveedor. Probar solo el email deja fuera precisamente los canales donde muchas organizaciones son más vulnerables.

¿Qué métrica importa de verdad, el ratio de clics?

El clic nunca baja a cero, por mucha formación que haya. La métrica que de verdad protege es el ratio de reporte: cuánta gente avisa, y cómo de rápido, cuando recibe algo sospechoso. Un reporte en minutos permite contener una campaña antes de que haga daño. Por eso el programa combina las simulaciones con un canal de reporte de un clic y una regla cultural clara: se celebra el reporte, no se castiga el clic.

¿Cada cuánto conviene repetir las simulaciones?

Una campaña anual aislada apenas mueve los hábitos. Lo que funciona es un programa continuado con simulaciones mensuales de dificultad progresiva — de señuelos genéricos a pretextos a medida — midiendo por rol y por centro para dirigir el refuerzo donde los datos lo pidan, y una re-evaluación completa a los seis o doce meses para comparar contra la línea base.

Servicios relacionados

¿Sabes cómo respondería tu plantilla hoy?

Una evaluación de ingeniería social autorizada te da la línea base real — sin señalar a nadie — y un programa de riesgo humano convierte esos datos en hábitos que detienen fraudes de verdad.