El phishing es responsable del 36% de las brechas de datos según el IBM Cost of a Data Breach Report. Y la mayoría de esas brechas no ocurren porque los sistemas técnicos fallen: ocurren porque alguien hace clic en un enlace que no debería.
La única forma de saber cuántos usuarios de una organización caerían en un ataque de phishing real es simularlo antes de que llegue un atacante real. GoPhish es la herramienta de código abierto que hace posible esa simulación de forma controlada, medible y reproducible.
Esta guía explica qué es GoPhish, cómo funciona, sus componentes principales y cómo se usa en ejercicios de concienciación y auditorías de seguridad reales.
Qué es GoPhish
GoPhish es un framework de código abierto escrito en Go que permite a los equipos de seguridad diseñar, ejecutar y analizar campañas de phishing simulado. Es gratuito, está disponible en GitHub bajo licencia MIT y tiene binarios precompilados para Linux, Windows y macOS.
La premisa de GoPhish parte de una idea sencilla: si el phishing es el vector de ataque más utilizado contra las organizaciones, la forma más efectiva de prepararse es practicar cómo detectarlo antes de que llegue en condiciones reales. GoPhish permite hacer eso de forma sistemática, con métricas objetivas y sin riesgo.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaSu uso más frecuente es en ejercicios de concienciación en seguridad: el equipo de seguridad de una empresa lanza una campaña de phishing simulado contra sus propios empleados, mide cuántos caen en ella y usa esos datos para diseñar formación específica. También se usa en auditorías de seguridad y ejercicios de Red Team donde el alcance incluye el vector de ingeniería social.
Para entender el contexto de amenaza que GoPhish ayuda a simular y medir, el artículo sobre qué es el phishing cubre el ecosistema completo del ataque: tipos, técnicas, señales de alerta y medidas de protección.
Componentes principales de GoPhish
GoPhish tiene una arquitectura modular con seis componentes que cubren el ciclo completo de una campaña de phishing simulado.
| Componente | Función |
|---|---|
| Sending Profiles | Configuración del servidor SMTP desde el que se envían los correos simulados. Define el remitente, el servidor de correo y las credenciales. |
| Users & Groups | Lista de destinatarios de la campaña. Se pueden importar desde CSV con nombre, apellido, email y posición. GoPhish usa estos datos para personalizar los mensajes. |
| Email Templates | La plantilla del correo de phishing simulado. Permite diseñar el HTML completo del mensaje, añadir variables de personalización por destinatario y adjuntar archivos. |
| Landing Pages | La página web falsa a la que lleva el enlace del correo. GoPhish incluye la opción «Import Site» para clonar automáticamente una web real. Registra las credenciales que introduce el usuario. |
| Campaigns | El módulo que combina todos los anteriores: define qué plantilla, qué landing page, qué grupo de destinatarios, cuándo se lanza y desde qué perfil de envío. |
| Dashboard | Panel de control con métricas en tiempo real de todas las campañas: emails enviados, abiertos, clics, credenciales capturadas y reportes de los usuarios. |
Cómo funciona una campaña de phishing simulado con GoPhish
Una campaña completa con GoPhish sigue cinco fases que cubren desde la configuración inicial hasta el análisis de resultados.
Fase 1: Configuración del entorno
Antes de lanzar cualquier campaña hay que configurar el Sending Profile con las credenciales de un servidor SMTP. Las opciones más habituales son un servidor SMTP corporativo (con excepciones configuradas para que los filtros no bloqueen los correos simulados), un servidor de pruebas como MailHog para entornos de laboratorio, o un servidor externo como SendGrid o Mailgun para simulaciones más realistas.
Un punto crítico en esta fase: si se usa un servidor corporativo, hay que coordinar con el equipo de IT para añadir excepciones en los filtros antispam. Si los correos simulados son bloqueados antes de llegar a las bandejas de entrada, la campaña no genera datos útiles.
Fase 2: Preparación del contenido
Se crea la plantilla de correo (Email Template) con el mensaje de phishing simulado. GoPhish soporta HTML completo y variables de personalización como {{.FirstName}}, {{.LastName}} o {{.Position}} que se reemplazan automáticamente con los datos de cada destinatario del grupo.
La landing page puede diseñarse desde cero o importarse directamente usando la función «Import Site», que clona el HTML de cualquier URL. El contenido importado se sirve desde el servidor de GoPhish, permitiendo capturar las credenciales que el usuario introduzca.
Fase 3: Definición del grupo objetivo
Se importa el listado de destinatarios en formato CSV con los campos nombre, apellido, email y cargo. GoPhish usa estos datos para personalizar automáticamente cada correo enviado.
En ejercicios de concienciación corporativa, el alcance suele ser toda la organización o departamentos específicos con más exposición a ataques dirigidos: finanzas, dirección, RRHH o soporte técnico. En auditorías de seguridad más avanzadas el grupo objetivo se define en función del perfil de amenaza identificado.
Fase 4: Lanzamiento y monitorización en tiempo real
Una vez configurados todos los componentes, se lanza la campaña. GoPhish envía los correos según el calendario definido y registra en tiempo real cada interacción:
- Email Sent: el correo fue entregado
- Email Opened: el destinatario abrió el correo (detectado por píxel de seguimiento)
- Clicked Link: el destinatario hizo clic en el enlace de la landing page
- Submitted Data: el destinatario introdujo credenciales en la landing page
- Email Reported: el destinatario reportó el correo como sospechoso
Fase 5: Análisis y formación
El dashboard de GoPhish muestra los resultados en gráficas con el desglose por evento y por destinatario. Los usuarios que hicieron clic o enviaron credenciales son los que reciben formación específica sobre phishing. Esta es la fase más importante: los datos de la campaña tienen valor real solo si se convierten en acciones de mejora concretas.
Cómo instalar GoPhish
GoPhish no requiere compilación ni dependencias externas. El proceso de instalación básico se resume en tres pasos:
- Descargar el binario precompilado para el sistema operativo desde github.com/gophish/gophish/releases
- Descomprimir el archivo y ejecutar el binario:
./gophishen Linux/macOS ogophish.exeen Windows - Acceder al dashboard en el navegador en
https://localhost:3333con las credenciales generadas automáticamente en la consola en el primer arranque
Para entornos de laboratorio o despliegue en servidor, la opción más limpia es usar la imagen Docker oficial:
docker run --name gophish -d -p 3333:3333 -p 443:443 -p 80:80 gophish/gophish
El puerto 3333 es el dashboard de administración. Los puertos 80 y 443 son los que sirven las landing pages a los destinatarios de la campaña. En producción, la recomendación es exponer el dashboard solo en red interna y configurar HTTPS con un certificado válido en el dominio de las landing pages.
GoPhish en el contexto del Red Team y Blue Team
GoPhish es una herramienta que aparece en los dos lados del tablero de la ciberseguridad, y esa dualidad es exactamente lo que la hace valiosa en la formación de especialistas.
Usa GoPhish para ejecutar el vector de ingeniería social en ejercicios de penetration testing. Simula ataques de phishing realistas contra la organización objetivo (con autorización) y reporta cuántos usuarios comprometidos habría conseguido un atacante real.
Usa GoPhish para medir la resiliencia de los empleados ante phishing, identificar los perfiles más vulnerables y diseñar programas de formación basados en datos reales en lugar de suposiciones. También valida si los filtros técnicos de email están funcionando correctamente.
La combinación de GoPhish para simular los ataques con herramientas como DNStwist para detectar dominios maliciosos y el conocimiento de cómo funcionan los phishing kits reales forma el triángulo de conocimiento que tiene un especialista en seguridad ofensiva y defensiva con dominio real del vector de phishing.
Aspectos legales y éticos del uso de GoPhish
GoPhish es una herramienta legal cuyo uso para actividades maliciosas es ilegal. Este punto no es un trámite: es lo primero que hay que tener claro antes de ejecutar cualquier campaña.
En España, el acceso no autorizado a sistemas informáticos y la interceptación de datos está tipificado en los artículos 197 y siguientes del Código Penal, con penas de hasta cinco años de prisión. Usar GoPhish para lanzar campañas de phishing reales contra personas u organizaciones sin su consentimiento es un delito.
El uso legítimo de GoPhish requiere siempre autorización expresa y documentada de la organización sobre la que se ejecuta la campaña. En ejercicios de concienciación corporativa, esa autorización la otorga la dirección de la empresa. En auditorías de seguridad externas, queda recogida en el contrato de prestación de servicios y el scope del ejercicio.
Lo que más enfatizamos cuando se forma a especialistas en herramientas ofensivas es que el conocimiento técnico y el criterio ético deben desarrollarse en paralelo. Saber usar GoPhish correctamente implica saber exactamente cuándo no usarlo.
Javier siempre había tenido curiosidad por la seguridad informática, pero lo veía como un hobby, no como una carrera. Cuando decidió convertirlo en profesión buscaba una formación con profesores en activo que le enseñaran cómo funciona el sector de verdad, no solo en entornos de laboratorio.
Siete meses después de terminar el Bootcamp de Ciberseguridad de KeepCoding estaba trabajando como profesional en el sector. Lo que más valoró fue el enfoque full-stack: cubrir todos los ámbitos de la ciberseguridad para ver dónde quería especializarse, con herramientas reales tanto del lado ofensivo como del defensivo.
Cómo aprender a usar GoPhish de forma profesional
GoPhish es una herramienta con documentación clara y curva de aprendizaje técnica accesible. En pocas horas se puede tener una campaña básica funcionando en un entorno de laboratorio.
Lo que no se aprende rápido es el criterio para diseñar campañas que generen datos útiles: elegir el señuelo adecuado para cada perfil de usuario, configurar el nivel de dificultad correcto para que el ejercicio sea formativo sin ser frustrante, interpretar los resultados con contexto organizativo y convertir las métricas en un programa de formación que realmente mejore la resiliencia de la organización.
Ese criterio se construye entendiendo en profundidad cómo funciona el phishing desde los dos lados: cómo lo diseña un atacante y cómo lo detecta un defensor. Para profundizar en las técnicas de ataque que GoPhish simula, el artículo sobre el spear phishing explica la variante más dirigida y efectiva que los equipos de Red Team simulan con esta herramienta.
Si quieres aprender a usar GoPhish y las herramientas del ecosistema de ciberseguridad ofensiva y defensiva con profesionales en activo, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo.
Conclusión
GoPhish es la herramienta de referencia para simular ataques de phishing de forma controlada y medir la resiliencia real de una organización ante el vector de ingeniería social más utilizado del mundo.
Su valor no está solo en el componente técnico, que es accesible, sino en los datos que genera: métricas objetivas sobre cuántos usuarios caerían en un ataque real, qué perfiles son más vulnerables y dónde hay que enfocar la formación.
Combinada con herramientas de detección como DNStwist y con el conocimiento de cómo funcionan los phishing kits reales, GoPhish forma parte del kit esencial de cualquier especialista en ciberseguridad que trabaje con el vector de phishing desde el lado ofensivo o defensivo.
El repositorio oficial de GoPhish con la documentación completa, las releases y la guía de configuración está disponible en github.com/gophish/gophish.
