Phishing en Red Team Autorizado: Plantillas, GoPhish y Limites Eticos

Un cliente firmo las Rules of Engagement el viernes, y el lunes a la manana 1.847 empleados recibieron un correo clonando el sistema de fichaje. En 38 minutos: 312 clics, 89 credenciales recolectadas, cero alertas en el SIEM. Ese es el tipo de operacion que separa un phishing autorizado de un fraude criminal: contrato membretado, ventana de ejecucion y un telefono del CISO para abortar todo en 30 segundos si algo escala. El phishing en red team no se trata de enganar personas, sino de medir la superficie humana con la misma seriedad con que medimos la red en Nmap Avanzado: Scripts NSE para Recon Interno en Lab Corporativo Simulado.

Antes de cualquier envio, el documento de autorizacion debe listar: dominios permitidos, rangos de IP de origen, horario de envio, criterios de exclusion (ejecutivos C-level, RRHH en proceso judicial, pasantes menores), y que pasa con las credenciales capturadas. Sin esto, el trabajo termina como el caso Coalfire en Iowa, 2019, donde dos pentesters fueron arrestados cumpliendo contrato porque el alcance escrito no cubria intrusion fisica. Un red team serio escribe OPSEC personal antes que OPSEC operativa, y el material en OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal aplica directamente.

GoPhish es el framework que viralizo en 2016 y sigue siendo la navaja suiza de la simulacion porque entrega API REST, pixel de tracking, landing pages clonables y reportes CSV en un binario Go de 25 MB. La arquitectura tipica: VPS dedicada con IP nunca usada antes, dominio registrado hace al menos 30 dias (idealmente un typosquat del dominio del cliente, tipo rnicrosoft-login.com), SPF/DKIM/DMARC configurados via Postfix o SendGrid, y certificado Let's Encrypt en el landing. Sin warmup de IP, tu campana muere en Microsoft Defender antes de llegar al inbox. Trata la infraestructura como produccion, con el mismo rigor de Construyendo Infra de C2 con Sliver en Lab Aislado para Estudio Defensivo.

Las plantillas que funcionan en 2026 ya no son del 'principe nigeriano'. Las top 3 del ultimo reporte Proofpoint son: notificacion de firma DocuSign por vencer en 24h, alerta de paquete DHL retenido en aduana con tasa de 27,90, e invitacion Microsoft Teams de un director real (extraido de LinkedIn) marcando reunion urgente. Cada template debe renderizar identico en Outlook 2021, Gmail Web e iOS Mail, lo que exige tablas inline, CSS embebido e imagenes en CDN reputada. El vector inicial puede ser adjunto, y los trade-offs entre macro, LNK e ISO estan desmenuzados en Initial Access Simulado: Macros, LNK e ISO en un Lab Windows 11 Aislado.

La landing page es donde el 70% de los equipos falla. Capturar contrasena en texto plano en un formulario HTTP es amateurismo y violacion de la LGPD incluso en contexto autorizado. El patron etico: hashea la contrasena en el cliente con SHA-256 + salt del engagement, guarda solo los primeros 8 caracteres del hash para confirmar recoleccion, y muestra inmediatamente una pantalla de capacitacion explicando que fue simulacion. Loguea user-agent, IP, timestamp y tiempo entre clic y submit, pero nunca la credencial completa. Ese dato alimenta el ciclo de mejora descrito en Purple Team en la Practica: Construyendo Ciclo de Feedback Red vs Blue, donde el blue team transforma cada clic en regla de deteccion.

La parte que nadie cuenta en las conferencias: el impacto psicologico. En una campana real de 2024 con 4.200 objetivos, 11 empleados pidieron licencia por crisis de ansiedad tras descubrir que fueron 'atrapados', y dos demandaron a la empresa. Por eso el briefing post-campana necesita psicologo organizacional, comunicacion del CEO el mismo dia, y la metrica de exito no puede ser 'tasa de clic' aislada sino reduccion trimestre a trimestre. Quien opera phishing tambien debe proteger su propia identidad durante el engagement, como se detalla en Compartimentacion Digital: Identidades Separadas sin Filtrar Metadatos, porque el operador termina conociendo secretos sensibles del objetivo.

Para equipos que recien arrancan, el camino honesto es: arma el lab interno primero (GoPhish + Mailhog + 5 cuentas de prueba), valida plantillas contra tu propio Outlook, haz dry-run con el equipo de seguridad del cliente mirando en vivo, y recien despues dispara en produccion. Ten un kill switch que cancele la campana en 60 segundos via API. Documenta cada decision en un changelog firmado, porque seis meses despues un auditor preguntara por que enviaste mail a fulano. Takeaway: el phishing autorizado es 20% tecnica, 30% papeles, y 50% empatia con quien clica. Sin los tres, no envies nada.