Contactar

Pruebas de phishing e ingeniería social

Diseñamos campañas de phishing en torno a su organización real — sus personas, procesos y herramientas — para medir cómo responde su equipo ante un ataque dirigido realista, no una plantilla genérica que detectarían en un segundo.

Contactar

Confían en nosotros

¿Le suena?

Exposición desconocida

No tiene una cifra real de cómo responde su equipo.

Se hizo la formación, se colgaron carteles — pero nunca ha medido qué ocurre cuando un mensaje convincente y a medida llega de verdad. Está adivinando cuál es su mayor riesgo.

Genérico ≠ realista

Su último test de phishing fue demasiado obvio para significar nada.

Un correo masivo de «actualice su contraseña» que todos ignoraron no demuestra nada. Los atacantes reales investigan primero su empresa — un test que no lo hace no está probando la amenaza a la que realmente se enfrenta.

Tras un incidente

Alguien hizo clic, y ahora la dirección quiere respuestas.

Un correo de phishing real pasó. Necesita entender cómo tuvo éxito, quién está expuesto y si el próximo también llegará — respaldado por una evaluación independiente, no por conjeturas internas.

Compliance

Una auditoría o un marco exige una prueba de ingeniería social.

SOC 2, ISO 27001 o un regulador del sector espera ahora evidencia de pruebas de resiliencia ante el phishing. Necesita una campaña y un informe documentados e independientes que satisfagan el requisito.

Requisito de un cliente

Un cliente quiere pruebas de que no se puede engañar a su gente para llegar a sus datos.

Como su proveedor, usted tiene acceso a su entorno o sus datos. Su equipo de seguridad quiere evidencia de que su personal resiste el phishing dirigido — antes de confiárselo.

Respuesta, no solo clics

No sabe si su equipo reportaría un ataque.

Hacer clic es la mitad de la foto. La pregunta que importa es si alguien da la alarma lo bastante rápido para que su SOC reaccione — y nunca lo ha puesto a prueba.

El coste de no actuar

68%

de las brechas implican un elemento humano — el phishing sigue siendo la vía más común de entrada a una organización, en todos los sectores y tamaños.

Under 60 sec

es el tiempo medio que tarda un usuario en hacer clic en un enlace de phishing y entregar credenciales una vez que llega un mensaje convincente y bien sincronizado.

1 reply

es suficiente. Basta una persona, un mensaje a medida, una credencial — y la fortaleza de sus firewalls deja de importar.

Qué debería probar

Campañas dirigidas construidas en torno a cómo trabaja realmente su gente — para medir tanto quién cae como quién lo reporta.

Spear-phishing dirigido

Mensajes elaborados para personas o equipos concretos usando contexto real — nombres, herramientas, proyectos y momentos que un atacante investigaría — para probar la resiliencia ante un ataque creíble y personalizado.

Escenarios con pretexto de negocio

Escenarios completos que reflejan sus procesos reales (la aprobación de una factura, una migración de TI, una solicitud de RR. HH. o de un proveedor) para probar si una historia de negocio plausible elude la sospecha.

Técnicas y vectores

  • Recolección de credenciales (login falso)
  • Dominios falsificados / similares
  • Suplantación del nombre mostrado
  • Adjunto malicioso
  • Enlace malicioso
  • Compartición de documentos / portal falso
  • Phishing de consentimiento OAuth
  • MFA-fatigue / push bombing
  • Interceptación de MFA (relay)
  • Suplantación de marca
  • Suplantación de remitente interno
  • Suplantación de directivo / CEO
  • Suplantación de proveedor
  • Pretexto de TI / helpdesk
  • Pretexto de RR. HH. / nóminas
  • Pretexto de factura / pago
  • Señuelos de calendario e invitaciones a reuniones
  • Presión por urgencia y autoridad
  • Secuestro de cadena de respuestas
  • Phishing por código QR (quishing)
  • Señuelos de verificación de cuenta
  • Señuelos de restablecimiento de contraseña
  • Payloads condicionales / por etapas

A quién y qué atacamos

  • Directivos y alta dirección
  • Finanzas / cuentas por pagar
  • RR. HH. y nóminas
  • Personal de TI y helpdesk
  • Ingeniería / desarrolladores
  • Ventas y equipos de cara al cliente
  • Compras / gestores de proveedores
  • Nuevas incorporaciones
  • Titulares de acceso privilegiado
  • Cuentas de admin y soporte
  • Buzones compartidos / de rol
  • Departamentos concretos por riesgo
  • Gateway de correo y filtrado
  • Detección de enlaces/adjuntos maliciosos
  • Comportamiento al introducir credenciales
  • Comportamiento de aprobación de MFA
  • Reporte de incidentes y vía de escalado
  • Tiempo de respuesta del SOC / monitorización
  • Eficacia de la concienciación en seguridad
  • Flujo de respuesta de extremo a extremo

Qué significa manual de verdad

La mayoría de los tests de phishing se detienen en una tasa de clics. Para nosotros eso es solo el punto de partida.

Ejemplo: recolección de credenciales

Nivel 1 — Superficial

Envío genérico

Resultado típico de herramientas de phishing prefabricadas

Una herramienta de phishing genérica envía a todos un correo de plantilla de «restablezca su contraseña» y cuenta quién hace clic.

Nivel 2 — Estándar

Test estándar

Resultado típico de la mayoría de proveedores de tests de phishing

Un test estándar levanta una página de login creíble y captura las credenciales de los usuarios que las introducen, luego reporta una tasa de clic/envío — y se detiene ahí, sin usar nunca lo que capturó.

Nivel 3 — Profundo

Cadena dirigida e impacto

Resultado típico de XRAY CyberSecurity

Investigamos a su gente y sus herramientas, elaboramos un spear-phish suplantando un sistema que su equipo de finanzas o TI usa realmente, capturamos credenciales, las retransmitimos para derrotar el MFA en tiempo real, accedemos al buzón o al SSO, pivotamos hacia sistemas internos — y demostramos el camino completo desde un correo hasta el acceso real, además de si alguien lo detectó o lo reportó.

Ejemplo: pretexto de negocio (proveedor / factura)

Nivel 1 — Superficial

Envío genérico

Resultado típico de herramientas de phishing prefabricadas

Una campaña genérica envía un señuelo de «factura adjunta» válido para todos a una lista amplia.

Nivel 2 — Estándar

Test estándar

Resultado típico de la mayoría de proveedores de tests de phishing

Un test estándar consigue que unos pocos destinatarios abran el adjunto o respondan para demostrar que el señuelo funciona, registra las cifras — y se detiene antes de que siga ninguna acción real.

Nivel 3 — Profundo

Cadena dirigida e impacto

Resultado típico de XRAY CyberSecurity

Construimos un pretexto en torno a un proveedor, proyecto y persona reales, lo sincronizamos con sus procesos reales, implicamos a finanzas en un hilo creíble, los llevamos hacia un pago fraudulento o una entrega de datos y demostramos el impacto de negocio paso a paso — mientras medimos con qué rapidez lo detectan su equipo y su SOC.

Cadenas propias

Cada organización tiene su propia vía de entrada

La suya se construye con sus personas, procesos, herramientas y el contexto que un atacante puede investigar sobre usted.

A veces el pretexto tiene éxito de principio a fin. A veces un empleado atento o un control lo rompe a mitad de camino — y le informamos exactamente dónde y por qué.

En cualquier caso: usted ve lo que realmente ve un atacante.

¿No está seguro de cómo afrontaría su equipo un ataque dirigido? Averigüémoslo — de forma segura.

Un pentester senior (no un comercial) le responderá con una valoración honesta de qué valdría realmente la pena probar.

Contactar Reservar una llamada
Casos de éxito

De proyectos reales

Algunos proyectos que muestran cómo es trabajar con nosotros — a escala, durante años, en distintos sectores.

Manufactura · FMCG

Múltiples proyectos de pentesting para una empresa global de alimentación y bebidas en más de 120 mercados.

Pruebas Blackbox y Greybox en múltiples servicios de TI — garantizando una alta protección para consumidores, empleados, contratistas y accionistas, y cumpliendo los controles de compliance a nivel de grupo.

Leer caso de éxito
B2B SaaS · LMS

Pentest integral de aplicación web en apoyo de la certificación ISO 27001 para una plataforma LMS corporativa.

Pruebas Blackbox y Graybox alineadas con OWASP — seguidas de un re-test de remediación y un informe final que validó la postura de seguridad para la auditoría ISO 27001.

Leer caso de éxito
Ver todos los casos

Qué recibirá

Cinco entregables — diseñados para quienes realmente los van a usar: sus ingenieros, su C-level, sus auditores y sus clientes Enterprise.

Muestra de los entregables de XRAY CyberSecurity: Informe Técnico, Resumen Ejecutivo, Informe de Re-test y, encima, el Certificado de Seguridad

¿Quiere ver cómo son realmente?

Solicitar un informe de muestra

Estructura real, hallazgos reales, formato real. Los mismos documentos que verán su equipo y sus auditores.

Informe urgente intermedio

Cuando encontramos algo crítico, usted lo sabe el mismo día.

Si durante el trabajo descubrimos una vulnerabilidad de severidad crítica que requiere atención inmediata, recibe una alerta con pasos de reproducción y acciones recomendadas. Nosotros seguimos probando, usted empieza a remediar en paralelo. Sin esperar al informe final.

Para Su equipo de ingeniería, su CTO

Informe técnico

Hallazgos priorizados sobre los que sus ingenieros pueden actuar el mismo día.

Cada vulnerabilidad con pasos de reproducción, prueba de concepto, impacto de negocio y un roadmap de remediación priorizado. Sin falsos positivos. Sin paja. Pensado para que sus desarrolladores sepan exactamente qué arreglar y en qué orden.

Para Sus ingenieros, su CTO, su equipo de seguridad

Resumen ejecutivo

Lo que el consejo y los inversores realmente necesitan saber.

Un informe en lenguaje de negocio sobre la postura de seguridad de su producto, los riesgos identificados, su impacto de negocio potencial y el camino hacia la remediación. Redactado para CEOs, consejos, inversores y equipos de compras de Enterprise — no para ingenieros.

Para Su CEO, su consejo, inversores, contrapartes M&A y sus clientes

Informe de re-test

Evidencia verificada de que las correcciones funcionan.

Tras la remediación por parte de su equipo, re-testamos cada hallazgo y confirmamos que la corrección resiste los mismos intentos de explotación. El informe actualizado es su prueba de que las vulnerabilidades están realmente cerradas — no solo parcheadas sobre el papel.

Para Sus auditores, sus clientes Enterprise

Certificado de seguridad

Un documento público para compartir con clientes y prospectos.

Tras la remediación y el re-test emitimos un certificado oficial que acredita que su producto ha superado un pentest manual profundo. Úselo en su web, en cuestionarios de seguridad, en conversaciones de venta Enterprise — el documento que sus prospectos y compras quieren ver.

Para Su equipo comercial, su marketing, sus prospectos Enterprise

Cómo cumplimos con sus objetivos

Metodologías estándar de la industria, ejecutadas por ingenieros senior.

Estándares

Metodologías que seguimos

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Requisitos de pentest de cumplimiento que satisfacemos

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Los principios detrás de ello

Hacking manual

Los escáneres solo se usan como línea base. Cada hallazgo se construye a mano y lo verifica un ingeniero senior — explotado y encadenado manualmente, teniendo en cuenta el contexto de su plataforma.

Cíclico, no lineal

Cada hallazgo alimenta al siguiente. Cada nuevo acceso revela nueva superficie de ataque. Volvemos atrás, profundizamos y encadenamos — hasta alcanzar el mayor impacto que su arquitectura permita.

Impacto de negocio, no una lista de bugs

Una lista de CVEs no le dice lo que un atacante haría realmente con su negocio. Traducimos cada hallazgo a un escenario real — qué se compromete, quién pierde qué y cómo se desarrolla la cadena.

Solo ingenieros senior

Sin juniors aprendiendo con su producto, sin subcontrataciones, sin cambios de ingenieros a mitad del trabajo. Cada engagement lo dirige ingeniería ofensiva senior con experiencia profunda en B2B SaaS.

Calidad antes que velocidad

No somos una cadena de montaje optimizando volumen. Tomamos menos proyectos simultáneos y profundizamos en cada uno — esa es la decisión.

No causar daño

Todas las pruebas se ejecutan bajo Rules of Engagement firmadas. Las acciones de alto riesgo en producción se coordinan con usted con antelación. Los hallazgos críticos disparan una alerta inmediata — sin sorpresas, sin entornos rotos.

Hallazgos accionables, cero falsos positivos

Cada hallazgo se verifica, prioriza y documenta con pasos de reproducción y guía de remediación. Sus ingenieros saben exactamente qué arreglar primero — y no pierden un día en ruido.

Comunicación de ingeniero a ingeniero

Acceso directo a nuestros ingenieros durante todo el proyecto. Sin intermediarios comerciales, sin project managers filtrando el detalle técnico.

Hacking como oficio

Contratamos ingenieros que hackean en su tiempo libre — para investigar, para CTFs, por amor al oficio. Nuestro equipo trata cada engagement como un reto que resolver, no como un ticket que cerrar.

De su primer mensaje a su certificado final

Un engagement estructurado en torno a su equipo — con ingenieros senior, comunicación directa y cero sorpresas.

  1. Primera conversación

    Qué ocurre
    • Usted nos contacta — por llamada, formulario o email, como prefiera
    • Un ingeniero senior (no un comercial) le responde
    • Definimos juntos sus objetivos y el alcance del trabajo
    • Le damos una lectura honesta sobre si somos el encaje adecuado, y sobre qué merecería realmente la pena probar
    Usted recibe Una respuesta clara sobre la dirección a tomar — y sobre si encajamos — antes de firmar nada.

  2. Alcance y propuesta

    Qué ocurre
    • Una sesión técnica con su equipo para entender su arquitectura, sus roles y la superficie de su aplicación
    • Le mostramos un informe de muestra para que sepa exactamente qué aspecto tienen los entregables
    • Recibe una propuesta detallada: alcance, enfoque, plazos y precio
    Usted recibe Una propuesta completa y un informe de muestra que puede revisar con su CTO, CISO, CEO y compras antes de decidir.

  3. Arranque

    Qué ocurre
    • Contrato y NDA firmados
    • Rules of Engagement firmadas — límites claros sobre qué probamos, cuándo y cómo
    • Provisión de accesos y traspaso de documentación
    • Se asigna un equipo senior de ingeniería al proyecto y se le pone en contexto
    Usted recibe Contrato de engagement firmado, documento Rules of Engagement, resumen de la reunión de arranque.

  4. Reconocimiento y threat modeling

    Qué ocurre
    • Recopilación pasiva de inteligencia sobre su superficie pública
    • Mapeo de arquitectura — cómo está construida su aplicación y dónde están las zonas de mayor riesgo
    • Modelo de amenazas: qué merece la pena atacar y cómo abordaría realmente un atacante su producto
    • Se establece un canal directo de comunicación ingeniero-a-ingeniero para toda la duración del engagement
    Usted recibe Cualquier urgencia que aparezca en esta fase se le notifica de inmediato. En caso contrario, esta fase alimenta directamente las pruebas posteriores.

  5. Explotación activa

    Qué ocurre
    • Hacking manual, descubrimiento y explotación de vulnerabilidades
    • Construcción de cadenas de ataque combinando varios hallazgos
    • Evaluación de impacto de cada hallazgo antes de explotar en producción
    • Bucle continuo: cada nuevo acceso revela nueva superficie de ataque, y profundizamos más
    Usted recibe Si encontramos un camino de ataque crítico fácilmente explotable que exige acción inmediata, recibe un Informe urgente intermedio — una alerta con pasos de reproducción y respuesta recomendada. Nosotros seguimos probando, usted empieza a remediar en paralelo.

  6. Entrega del informe principal

    Qué ocurre
    • Hallazgos consolidados, verificados y documentados
    • Informe Técnico y Resumen Ejecutivo redactados
    • Roadmap de remediación priorizado
    Usted recibe Un Informe Técnico (para sus ingenieros) y un Resumen Ejecutivo (para su consejo, clientes Enterprise y auditores).

  7. Llamada de cierre

    Qué ocurre
    • Repaso de hallazgos con su equipo de ingeniería
    • Repaso del impacto de negocio con su liderazgo
    • Q&A sobre prioridades de remediación — qué arreglar primero y por qué
    Usted recibe Un roadmap de remediación priorizado y respuestas directas a las preguntas de su equipo.

  8. Soporte durante la remediación

    Qué ocurre
    • Soporte a sus desarrolladores durante todo el ciclo de corrección
    • Aclaración de vectores de ataque y enfoques de remediación
    • El ritmo lo marca su equipo — ni presionamos ni alargamos
    Usted recibe Acompañamiento técnico durante la remediación, dentro del alcance de su engagement.

  9. Re-test y certificado final

    Qué ocurre
    • Cada hallazgo remediado se re-testa contra la explotación original
    • Verificación de que la corrección aguanta — no solo parcheada sobre el papel
    • Se emiten informes actualizados y el certificado de seguridad
    Usted recibe Un Informe de re-test, un Informe Técnico actualizado y su Certificado de Seguridad.

Reconocidos por la industria

Mejor valorados en plataformas del sector

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Nuestros ingenieros poseen certificaciones como

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

En sus propias palabras

Enterprise · auditoría independiente
XRAY CyberSecurity entregó un informe completo y bien estructurado, con recomendaciones prácticas orientadas a reforzar la seguridad de nuestra aplicación. Recibimos dos informes — un Técnico detallado y un Ejecutivo aparte — lo que nos permitió presentar resultados al liderazgo con rapidez y trazar un plan de acción. Su disposición a comunicarse directamente con nuestros proveedores aceleró notablemente la remediación.
Iryna Grynchii Cybersecurity Manager · Danone Reseña completa en Clutch →
SaaS · plataforma de email
XRAY CyberSecurity llevó a cabo pentesting sobre productos construidos con tecnologías distintas. Pudimos descubrir vulnerabilidades, corregirlas y obtener confirmación, mediante re-test, de que estaban mitigadas. Comunicarnos con su equipo se parecía más a trabajar con compañeros que con un proveedor externo — profesionales, expertos y con consejos valiosos.
Oleg Bida Information Security Manager Reseña completa en Clutch →
SaaS · plataforma LMS
XRAY CyberSecurity realizó un pentest grey-box siguiendo metodologías OWASP. Su análisis manual exhaustivo identificó vulnerabilidades que merecían atención, y sus informes técnico y ejecutivo detallados — seguidos de un re-test que validó la remediación — nos permitieron avanzar con la certificación ISO 27001.
Alex Slubskyi CTO · Davintoo Reseña completa en Clutch →
SaaS · plataforma logística
XRAY CyberSecurity realizó evaluaciones exhaustivas sobre nuestras aplicaciones web y entornos cloud, simulando escenarios de ataque reales. Sus informes detallados aportaron conclusiones claras y accionables que mejoraron significativamente nuestra postura de seguridad, y su capacidad para comunicar hallazgos complejos de forma comprensible fue inestimable para nuestro equipo.
Taras Komenda CEO · MINT Innovations Reseña completa en LinkedIn →
Aplicación
El trabajo se realizó con rapidez y profesionalidad. Los especialistas de XRAY CyberSecurity señalaron nuestros puntos vulnerables y nos permitieron mejorar la calidad de nuestro software. Recibimos un informe con escenarios de penetración detallados y recomendaciones técnicas y organizativas para la remediación y la prevención.
Oleg Khavruk IT Director · Nash Format Reseña completa en Forbes →
5/5 en Clutch ver todas las reseñas

¿Listo para ver cómo responde realmente su equipo?

Contactar Reservar una llamada

Preguntas frecuentes

¿En qué se diferencia de una herramienta genérica de simulación de phishing?

Las herramientas prefabricadas envían correos de plantilla a gran escala; un atacante real investiga primero su empresa. Construimos campañas en torno a sus personas, herramientas y procesos reales — como lo haría un adversario motivado — para que el resultado refleje la amenaza a la que se enfrenta, no un test que cualquiera podría detectar.

¿Hacen vishing, USB drops o ingeniería social física?

No — este proyecto es solo phishing, por diseño. Nos centramos en hacer bien la ingeniería social dirigida por correo en lugar de dispersarnos entre vectores. Si necesita un alcance de red team más amplio, esa es otra conversación.

¿Esto avergonzará o castigará a nuestros empleados?

No. El objetivo es medir la resiliencia de la organización, no señalar y avergonzar. Los resultados se reportan como métricas y patrones agregados; los datos individuales se tratan con sensibilidad y según lo acordado de antemano. El resultado es un equipo más fuerte, no una lista de culpables.

¿Cómo gestionan la confidencialidad, nuestros datos y la responsabilidad legal?

NDA firmado y un contrato con plena responsabilidad corporativa, además de una autorización por escrito de la campaña antes de enviar nada. Cualquier credencial o dato capturado durante las pruebas se almacena cifrado, restringido a los ingenieros asignados, y se elimina tras el proyecto según su contrato. Contamos con un seguro de responsabilidad civil profesional.

¿Avisamos a nuestro personal de antemano?

Normalmente no a los objetivos — avisar de antemano desvirtúa el test. Pero siempre coordinamos con un grupo pequeño y acordado por su parte (y, si procede, su SOC) para que el proyecto esté autorizado y controlado. Usted decide quién está al tanto antes de empezar.

¿Qué miden exactamente?

Más que la tasa de clics. Medimos quién hizo clic, quién introdujo credenciales, quién aprobó una solicitud de MFA — y, fundamentalmente, quién lo reportó y con qué rapidez respondieron su equipo y su SOC. El reporte y la respuesta son tan importantes como el clic, e informamos de ambos.

¿Y si nadie cae?

Ese es un buen resultado — y significativo. Aun así recibe todos los entregables que documentan las campañas realizadas, los pretextos usados, los objetivos y las métricas de respuesta — evidencia de resiliencia que sus auditores y clientes aceptarán.

¿Cuánto esfuerzo requiere de nuestro equipo?

La configuración se concentra al principio — acordar alcance, objetivos, pretextos y autorización en el kickoff. Durante la campaña su participación es mínima más allá del grupo de coordinación. Tras la entrega, el valor está en actuar sobre los hallazgos, que apoyamos con orientación clara y priorizada.

¿Se incluye un re-test o seguimiento, y hay costes ocultos?

El precio de la propuesta es fijo y está en el contrato según el alcance acordado. Una campaña de seguimiento para medir la mejora tras el trabajo de concienciación puede incluirse o definirse explícitamente — acordado de antemano, no facturado por sorpresa. Lo único que cambia el precio es que amplíe el alcance, acordado por escrito de antemano.

Hablemos.

Cuéntenos qué problema quiere resolver.

O reserve directamente una llamada de 20 minutos