Volver al blog
Guías

GoPhish vs NovaShield: solución comercial o código abierto

NAIT-YOUCEF KaciNAIT-YOUCEF Kaci
3 de julio de 202613 min de lectura
GoPhish vs NovaShield: solución comercial o código abierto

GoPhish es una de las herramientas de simulación de phishing de código abierto más conocidas del mundo. Gratuita, respetada por la comunidad de seguridad, con más de 13.000 estrellas en GitHub.

¿Por qué cada vez más pymes pasan de GoPhish a soluciones gestionadas? Porque probar el phishing y poner en marcha un programa de concienciación continuo son dos cosas distintas, y GoPhish nunca fue diseñado para lo segundo.

Esta comparativa presenta los hechos. GoPhish tiene fortalezas reales. NovaShield responde a necesidades diferentes.

GoPhish en resumen

GoPhish es un framework de simulación de phishing de código abierto creado por Jordan Wright en 2016. Escrito en Go y distribuido bajo licencia MIT, el proyecto está alojado en GitHub y acumula más de 13.000 estrellas.

El principio: instalas GoPhish en tu servidor, configuras un SMTP de envío, creas plantillas de emails y páginas de destino, y lanzas campañas. La interfaz web muestra los resultados: emails enviados, abiertos, enlaces clicados, credenciales enviadas.

Puntos importantes:

  1. No hay empresa detrás de GoPhish. Es un proyecto comunitario, sin soporte comercial, sin SLA, sin hoja de ruta garantizada.
  2. Popular entre pentesters y red teamers. GoPhish es una herramienta de pruebas de penetración antes que una herramienta de concienciación. La comunidad la utiliza principalmente para pruebas puntuales en auditorías de seguridad.
  3. Solo auto-alojado. No existe versión SaaS oficial. Debes aprovisionar un servidor, instalar el binario, configurar la red y mantener la infraestructura.
  4. Última versión estable: 0.12.1 (según el repositorio de GitHub). El ritmo de desarrollo se ha ralentizado en los últimos años.

GoPhish sigue siendo una referencia en el ámbito del phishing y la ingeniería social. Ha democratizado la simulación de phishing haciéndola accesible a cualquiera que sepa administrar un servidor Linux.

Lo que GoPhish hace bien

GoPhish es una buena herramienta para lo que hace. Criticarla por no ser un SaaS gestionado sería como reprocharle a un destornillador que no sea un taladro.

Gratuita y de código abierto, sin compromisos. Licencia MIT, uso comercial sin restricciones. Sin licencia que renovar, sin precios por usuario. Para una organización con un presupuesto de seguridad cercano a cero, es un argumento de peso.

Control total sobre los datos. El alojamiento on-premise significa que tus datos nunca salen de tu infraestructura. Ningún tercero accede a las direcciones de email de tus empleados ni a los resultados de las campañas.

API REST bien documentada. Automatiza la creación de campañas, la importación de usuarios y la recuperación de resultados. Existen scripts Python e integraciones de la comunidad.

Comunidad activa. La wiki de GitHub, los issues y los tutoriales comunitarios cubren la mayoría de los casos de uso.

Herramienta de referencia para pentests. Para un red teamer que realiza una prueba de spear phishing puntual, GoPhish suele ser la mejor opción: configurar una campaña dirigida, medir los resultados, producir un informe y pasar al siguiente cliente.

¿Cuáles son las limitaciones de GoPhish para un programa de concienciación en pymes?

El problema no es lo que GoPhish hace. Es lo que no hace, y lo que tendrás que hacer en su lugar.

Instalación y mantenimiento: el tiempo de TI invisible

Instalar GoPhish no es hacer clic en "Iniciar". El proceso implica:

  1. Aprovisionar un servidor Linux (VPS o máquina dedicada)
  2. Instalar y configurar GoPhish (binario o Docker)
  3. Configurar un servidor SMTP de envío (con autenticación, SPF, DKIM para evitar los filtros antispam)
  4. Comprar y configurar un dominio dedicado para las páginas de phishing
  5. Obtener un certificado SSL
  6. Configurar las reglas del cortafuegos y la seguridad de la red
  7. Configurar copias de seguridad de la base de datos

Cuenta con 2 a 5 días de trabajo para un administrador experimentado. Y eso es solo la instalación inicial. Después: actualizaciones del servidor, parches de seguridad, monitorización de logs, gestión de incidencias. Para una pyme de 80 personas con un responsable de TI a tiempo parcial, ese tiempo no está disponible.

Ningún módulo de formación

Esta es la limitación más significativa para el uso empresarial. Cuando un empleado hace clic en un enlace de phishing en una campaña de GoPhish, es redirigido a una página estática, y eso es todo.

Sin microaprendizaje adaptado, sin módulo de formación que explique por qué el email era sospechoso, sin mecanismo de refuerzo que reduzca el riesgo de reincidencia, sin itinerario pedagógico progresivo.

La simulación de phishing sin formación es un diagnóstico, no un programa de concienciación. Identificas a los empleados vulnerables, pero no les ayudas a mejorar. Las tasas de clic se mantienen estables de campaña en campaña porque nadie aprende de sus errores. Según el Verizon DBIR 2024, el 68% de las brechas implican un factor humano. Detectar el problema sin tratarlo no reduce esa cifra.

Creación de plantillas: un trabajo artesanal

GoPhish no incluye ninguna biblioteca de plantillas. Cada plantilla de email de phishing y cada página de destino debe crearse manualmente en HTML. Para simulaciones realistas, esto implica diseñar un email creíble, codificar el HTML responsivo compatible con los clientes de email, crear la página de destino correspondiente y probar el renderizado y la entregabilidad.

Cuenta con 1 a 2 horas por plantilla, según los comentarios de la comunidad. Para un programa de concienciación que requiere de 20 a 30 escenarios variados al año, son de 30 a 60 horas de trabajo de creación de contenido. Y las plantillas existentes compartidas por la comunidad son casi exclusivamente en inglés.

Panel de control limitado

GoPhish ofrece cuatro métricas por campaña: emails enviados, abiertos, enlaces clicados, credenciales enviadas. Es suficiente para un informe de pentest puntual. Es insuficiente para gestionar un programa de concienciación continuo. Lo que falta: una puntuación de riesgo por empleado y por departamento, tendencias en el tiempo, benchmarks sectoriales, alertas automáticas cuando un departamento supera un umbral de riesgo.

Sin informes de conformidad

La directiva NIS2, aplicable desde octubre de 2024, exige a las entidades afectadas que demuestren medidas de concienciación del personal (artículo 21, apartado 2g). GoPhish no genera ningún informe de conformidad. Extraer los datos brutos y darles formato manualmente para una auditoría o un informe a la dirección es trabajo adicional tras cada campaña.

Responsabilidad bajo el RGPD

Cuando alojas GoPhish en tu servidor, eres el responsable del tratamiento en el sentido del RGPD para todos los datos recopilados: direcciones de email, clics, credenciales enviadas. Registro de actividades de tratamiento, análisis de impacto, seguridad de los datos, notificación en caso de brecha: todo es tu responsabilidad. Con un SaaS gestionado, esta responsabilidad se comparte con el proveedor mediante un DPA.

Difícil escalabilidad

Gestionar campañas para 200 o 500 empleados en GoPhish se vuelve rápidamente tedioso. La importación de listas, la segmentación por departamento, la planificación de campañas recurrentes, el seguimiento individual: todo debe hacerse manualmente o mediante scripts vía la API. Es factible, pero supone tiempo adicional de desarrollo y mantenimiento.

¿Cuál es el coste real de GoPhish?

GoPhish es gratuito. Pero gratuito no significa sin coste. Aquí tienes un cálculo realista para una pyme de 100 empleados durante 12 meses.

Costes de infraestructura:

Concepto Coste estimado
VPS (servidor dedicado) De 30 a 50 €/mes, es decir, de 360 a 600 €/año
Dominio dedicado + certificado SSL De 15 a 30 €/año
Subtotal infraestructura De 375 a 630 €/año

Costes humanos (tiempo de TI, base 450 €/día):

Concepto Tiempo estimado Coste
Instalación inicial De 3 a 5 días De 1.350 a 2.250 €
Mantenimiento mensual (parches, monitorización) 3 h/mes × 12 2.025 €
Creación de 24 plantillas (2 por mes) 1,5 h × 24 2.025 €
Configuración de campañas (2/mes) 1 h × 24 1.350 €
Extracción y formato de informes 2 h × 12 1.350 €
Subtotal tiempo de TI De 8.100 a 9.000 €/año

Coste total de GoPhish: de 8.475 a 9.630 euros el primer año. Los años siguientes, sin la instalación inicial: aproximadamente de 6.750 a 7.380 euros al año.

Coste de NovaShield: gratuito hasta 50 empleados (oferta Freemium), luego desde 59 euros al mes para 51 a 150 empleados, con simulación, formación post-fallo, paneles de control, informes de conformidad NIS2 y alojamiento incluido. Consulta todos los niveles en la página de precios de NovaShield.

¿Y el coste de no formar? GoPhish simula el phishing pero no forma a los empleados que fallan. Sin formación, la tasa de clics no disminuye significativamente. Cada clic en una situación real puede costarle a una pyme entre 15.000 y 150.000 euros. Un solo incidente evitado al año amortiza la inversión en una solución gestionada.

Lo que NovaShield pretende hacer de forma diferente

NovaShield no es un fork de GoPhish. Es un producto diseñado para un uso diferente: permitir a las pymes lanzar un programa de concienciación continuo sin movilizar sus recursos de TI.

Implantación prevista en 15 minutos. Crea una cuenta, importa empleados (CSV o sincronización de directorio), elige escenarios, lanza una primera campaña — sin servidor, sin SMTP, sin dominio que comprar.

Escenarios listos para usar. Plantillas de phishing que imitan servicios de mensajería, proveedores de nube, bancos, nóminas o correos de la administración tributaria — sin codificar una sola plantilla HTML.

Formación automática post-fallo. Cuando un empleado hace clic en un enlace de simulación, accede a un módulo de microaprendizaje de 3 a 5 minutos que explica las señales de alerta específicas del email que recibió. Esa es la diferencia entre diagnosticar un problema y tratarlo. Según el SANS Security Awareness Report 2024, la formación contextual inmediata reduce la tasa de reincidencia entre un 50 y un 75%.

Verificación de emails sospechosos por IA. ¿Un email dudoso? Los empleados lo reenvían y reciben un veredicto rápido — legítimo o sospechoso — con un análisis de las cabeceras y la autenticación SPF/DKIM/DMARC. Sin necesidad de molestar a TI por cada email sospechoso.

Panel de control con puntuación de riesgo por departamento, tipo de ataque y período de tiempo, con progresión en el tiempo e informes para la dirección en un clic.

Panel de control de NovaShield

Informes de conformidad NIS2 generados automáticamente, que acreditan las campañas y la formación de los empleados, listos para una auditoría.

Infraestructura alojada en Francia. Datos de campaña e información de empleados en servidores en Francia, sin transferencia transatlántica.

Inicia tu prueba gratuita de 14 días, sin compromiso, para comparar con una instalación de GoPhish existente.

¿Para quién elegir GoPhish o NovaShield?

Las dos herramientas no responden a la misma necesidad. Aquí tienes un marco de decisión objetivo.

Elige GoPhish si:

  1. Eres pentester o red teamer y realizas pruebas de phishing puntuales para clientes.
  2. Tienes un equipo de TI disponible con un administrador de sistemas que puede dedicar tiempo a la instalación, el mantenimiento y la creación de plantillas.
  3. Necesitas una personalización avanzada. El código fuente abierto permite modificar el comportamiento de GoPhish sin restricciones.
  4. Tu presupuesto es realmente cero y prefieres invertir tiempo en lugar de dinero.
  5. Realizas una prueba puntual, una auditoría única de resiliencia al phishing, sin programa de seguimiento.

Elige NovaShield si:

  1. Estás poniendo en marcha un programa de concienciación continuo con campañas regulares, seguimiento en el tiempo y formación de los empleados.
  2. Eres una pyme sin equipo de seguridad dedicado y tu responsable de TI tiene otras cosas que hacer además de mantener un servidor y crear plantillas HTML.
  3. Necesitas informes de conformidad para NIS2, el RGPD o auditorías internas.
  4. Quieres formar, no solo probar. La simulación sin formación no reduce el riesgo.
  5. Quieres escenarios listos para usar sin codificar plantillas desde cero.
  6. El alojamiento de datos en Francia es importante para ti.

¿Cómo migrar de GoPhish a NovaShield?

Si ya usas GoPhish y el mantenimiento se está convirtiendo en una carga, la migración está diseñada para ser sencilla.

  1. Exporta tu lista de usuarios. En GoPhish, accede a "Users & Groups" y exporta tus contactos en formato CSV. Las columnas de email, nombre, apellidos y departamento son suficientes.
  2. Crea tu cuenta en NovaShield. Regístrate gratis, sin tarjeta de crédito.
  3. Importa tus usuarios. Sube el archivo CSV exportado de GoPhish.
  4. Lanza tu primera campaña. Elige escenarios, selecciona los grupos objetivo, programa el envío.
  5. Conserva o archiva tus datos históricos de GoPhish. Permanecen en tu servidor de GoPhish. Puedes mantenerlo en modo solo lectura durante la transición, o exportar los resultados de las campañas en formato JSON a través de la API de GoPhish para archivarlos.

El servidor de GoPhish puede entonces ser desmantelado: un servidor menos que mantener, menos parches de seguridad que aplicar, tiempo de TI recuperado para tareas de mayor valor.

GoPhish es una excelente herramienta de código abierto que hizo accesible la simulación de phishing a todos. Para un pentest puntual o un equipo con sólidas competencias técnicas, cumple perfectamente su función.

Pero para una pyme que quiere reducir su riesgo humano de forma sostenida, con formación, seguimiento y conformidad, sin movilizar su TI, GoPhish alcanza sus límites. Compara los resultados con tu instalación de GoPhish existente.

Preguntas frecuentes

¿Es GoPhish realmente gratuito?

El software GoPhish es gratuito y de código abierto (licencia MIT). Pero el coste real incluye el tiempo de instalación y configuración (cuenta con 2 a 5 días para un despliegue funcional), el mantenimiento del servidor, las actualizaciones de seguridad, la creación manual de plantillas de phishing y el tiempo de tu equipo de TI para gestionar la herramienta. Para una pyme sin equipo de TI dedicado, el coste oculto suele superar el precio de una solución gestionada.

¿Cómo se instala GoPhish?

GoPhish requiere un servidor (Linux recomendado), la configuración de un servidor SMTP para el envío de emails, un certificado SSL, un dominio dedicado para las páginas de phishing y reglas de cortafuegos. La instalación técnica lleva de 2 a 5 días para un despliegue completo y estable. Prueba NovaShield gratis para comparar.

¿Se puede usar GoPhish en una empresa?

Sí, pero con limitaciones. GoPhish funciona bien para pruebas puntuales. Para un programa de concienciación continuo con formación post-fallo, seguimiento del riesgo humano e informes de conformidad, le faltan funcionalidades esenciales. Además, alojar GoPhish en tu infraestructura te hace responsable de la seguridad de los datos recopilados en el sentido del RGPD.

¿Por qué pasar de GoPhish a una solución gestionada?

Las razones más frecuentes: el mantenimiento de GoPhish monopoliza el tiempo de TI, las plantillas son difíciles de crear, no hay formación automática post-fallo y los informes no son suficientes para demostrar la conformidad con NIS2.

GoPhish o NovaShield: ¿cuál es más adecuado para una pyme?

GoPhish es apropiado si tienes un equipo de TI disponible, una necesidad de prueba puntual y un presupuesto cercano a cero. NovaShield está orientado a las pymes que quieren un programa de concienciación continuo, sin movilizar su TI, con informes de conformidad NIS2 y datos alojados en Francia. Para una pyme de 50 a 500 empleados, NovaShield pretende ser más rentable que GoPhish una vez que el coste humano se integra en el cálculo.

Sobre el autor

Kaci es fundador de NovaShield, titulado con un Máster en Ciberseguridad y Cloud por el IPSSI. NovaShield es un proveedor referenciado en la plataforma Cybermalveillance.gouv.fr.

Encuentra a Kaci en LinkedIn

Disponible enFRENESDEITAR

La plateforme est gratuite.

Recevez votre invitation dès l'ouverture.

Soyez notifié dès l'ouverture. En attendant, chaque semaine dans votre boîte : des guides pratiques pour sensibiliser vos équipes sans budget ni équipe IT, une veille sur les nouvelles menaces qui ciblent les PME en ce moment, et l'actu réglementaire concrète (NIS2, ANSSI) qui vous concerne.

Gratuit. Zéro spam. Désabonnement en un clic.

Découvrir la plateformeSans créer de compte