En el mundo de la ciberseguridad, las simulaciones de ataques son una herramienta legítima y cada vez más común para preparar a las organizaciones ante amenazas reales. Sin embargo, el reciente caso de la empresa AVO —cuyo entrenamiento interno fue expuesto públicamente por medios nacionales— ha puesto sobre la mesa una pregunta incómoda pero necesaria: ¿puede una simulación ética dañar la reputación de una empresa?
La respuesta es sí, si no se gestiona correctamente.
El Caso AVO: ¿Entrenamiento o exposición?
En junio de 2025, el medio LUN publicó la historia de AVO, una empresa que realizó un ejercicio de simulación de phishing con su equipo de ventas. El correo, que imitaba una estafa bancaria, tenía como objetivo evaluar la capacidad de sus trabajadores para detectar fraudes. Sin embargo, la prueba se filtró, llegó a redes sociales y fue interpretada por el público general como un intento real de estafa.
El resultado: un daño reputacional innecesario, burlas públicas y desconfianza hacia la marca.
Esto demuestra que incluso una campaña bien intencionada puede volverse en contra si no se considera el factor humano, comunicacional y ético en su diseño.
¿Cuándo una simulación deja de ser responsable?
Una simulación de phishing o ingeniería social deja de ser ética cuando:
-
No se informa al equipo directivo o de comunicaciones.
-
Se imitan situaciones sensibles (como fraudes bancarios o enfermedades).
-
No se contempla el impacto emocional en los trabajadores.
-
No existe un plan de contención en caso de filtración.
El caso AVO es un llamado de atención: no basta con que una simulación sea “efectiva” desde el punto de vista técnico. También debe ser cuidadosa, proporcional y alineada con la cultura organizacional.
¿Cuál es el objetivo real de estas simulaciones?
Las simulaciones tienen un propósito claro: educar sin riesgo. Pero para lograrlo deben:
-
Generar aprendizaje, no miedo.
-
Ser personalizadas según el rubro y contexto de la empresa.
-
Estar acompañadas de sesiones formativas antes y después del ejercicio.
-
Mantener la confidencialidad de los resultados para evitar vergüenza o estigmatización interna.
Cuando una simulación termina en la portada de un medio, se ha fallado en alguna parte del proceso.
¿Qué debe aprender tu empresa del caso AVO?
-
Comunicar internamente es clave. Todo el equipo debe saber que este tipo de ejercicios pueden ocurrir y estar enmarcados en una cultura de mejora continua.
-
El equipo de comunicaciones debe estar al tanto. Ante cualquier filtración, deben existir mensajes claros preparados para evitar malinterpretaciones públicas.
-
Las pruebas no deben parecer fraudes reales al público externo. Cuida el lenguaje, remitentes y contenido.
-
Todo ejercicio debe tener trazabilidad. Saber qué se envió, a quién, cuándo y por qué es clave para responder ante cualquier cuestionamiento.
-
Lo ético no es solo lo legal. Aunque una simulación sea legal, eso no garantiza que sea justa, proporcional o prudente.
¿Entonces hay que dejar de simular ataques?
No. Al contrario. Simular ataques es necesario. Pero deben ser diseñados y ejecutados por profesionales que comprendan no solo los aspectos técnicos, sino también las implicancias sociales y comunicacionales.
Las empresas deben entender que entrenar a sus equipos no puede hacerse a costa de su propia imagen ni del bienestar psicológico de los trabajadores.
También te puede interesar: Fraudes Digitales:Alerta por Aumento en Adultos Mayores 2025
¿Tu empresa está preparada para entrenar a sus equipos sin arriesgar su imagen?
Evita errores como los del caso AVO. En Cut Security te ayudamos a diseñar campañas éticas, efectivas y seguras, que educan sin poner en riesgo tu reputación.
Habla con nuestros expertos y descubre cómo fortalecer tu ciberseguridad sin exponerte públicamente.
🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.
