En SecureHex creemos firmemente que la seguridad no se fortalece ocultando herramientas, sino compartiéndolas, auditándolas y mejorándolas en comunidad.
Bajo esa premisa nace HexPhish, una plataforma libre y open source diseñada para realizar simulaciones de phishing ético de forma controlada, profesional y medible.

HexPhish no es una herramienta ofensiva más: es un framework de concientización, evaluación y mejora continua en seguridad de correo electrónico y factor humano.

¿Por qué HexPhish?

El phishing sigue siendo uno de los vectores de ataque más efectivos en la actualidad. No importa cuántos firewalls, EDR o WAF tenga una organización:
👉 un solo clic puede abrir la puerta.

HexPhish nace para responder una pregunta clave:

¿Qué tan preparada está realmente una organización frente a un ataque de phishing?

La única forma honesta de responder eso es simulando escenarios reales, con métricas claras y sin poner en riesgo a los usuarios ni a la infraestructura.

¿Qué es HexPhish?

HexPhish es una plataforma web desarrollada en Python (Flask) que permite crear, ejecutar y analizar campañas de phishing ético desde una interfaz centralizada.

Es:

  • Open Source
  • Autohospedable
  • Auditable
  • Pensada para uso ético y autorizado

El proyecto está disponible públicamente en GitHub para que cualquier persona u organización pueda usarlo, estudiarlo o contribuir: https://github.com/Secure-Hex/HexPhish

¿Cómo funciona HexPhish?

El flujo de uso de HexPhish está pensado para ser simple, pero potente.

1. Configuración de dominios y envío

HexPhish permite configurar dominios de envío con:

  • Parámetros SMTP
  • Remitentes personalizados
  • Certificados TLS/SSL
  • Pruebas de conectividad

Todo esto desde la plataforma, sin necesidad de configuraciones externas complejas.

2. Creación de campañas de phishing

Cada campaña puede definir:

  • Asunto del correo
  • Cuerpo del mensaje (HTML)
  • Landing page asociada
  • Fechas de ejecución
  • Estado de la campaña (borrador, activa, finalizada)

Además, el contenido soporta tokens dinámicos, permitiendo personalización por destinatario.

Ejemplos:

  • Nombre del usuario
  • Email
  • Identificadores únicos de tracking

3. Gestión de destinatarios

HexPhish permite cargar listas de destinatarios y hacer seguimiento individual de cada uno:

  • ¿Recibió el correo?
  • ¿Abrió el mensaje?
  • ¿Hizo clic?
  • ¿Interactuó con la landing?

Todo queda registrado para análisis posterior.

4. Tracking y métricas (KPIs)

Uno de los puntos fuertes de HexPhish es la observabilidad.

La plataforma entrega métricas claras como:

  • Correos enviados
  • Tasa de apertura
  • Tasa de clics
  • Usuarios impactados
  • Comportamiento por campaña

Estos indicadores permiten medir el riesgo real y no solo asumirlo.

5. Reportes profesionales

HexPhish permite generar reportes en:

  • 📄 PDF
  • 📊 CSV

Ideales para:

  • Informes ejecutivos
  • Auditorías
  • Programas de concientización
  • Evidencia para cumplimiento normativo

Filosofía Open Source

HexPhish es libre por diseño.

Esto significa que cualquier persona puede:

  • Revisar el código
  • Auditar cómo funciona el tracking
  • Verificar que no existe uso malicioso oculto
  • Adaptar la herramienta a su contexto

En SecureHex creemos que la transparencia es una ventaja defensiva, especialmente en herramientas de seguridad.

Uso ético y responsable

HexPhish no está diseñado para ataques reales ni actividades ilegales.

Su uso está orientado exclusivamente a:

  • Simulaciones autorizadas
  • Evaluaciones internas
  • Concientización de usuarios
  • Pruebas de madurez en seguridad

Toda implementación debe contar con autorización explícita de la organización involucrada.

¿Para quién es HexPhish?

HexPhish está pensado para:

  • Equipos de seguridad
  • Blue Teams
  • Pentesters éticos
  • Consultoras de ciberseguridad
  • Programas de awareness
  • Entornos educativos y de formación

Tanto para organizaciones pequeñas como para equipos más maduros que quieran control total sobre su plataforma de simulación.

Conclusión

HexPhish representa la visión de SecureHex:

Seguridad práctica, ética, abierta y medible.

Si quieres evaluar el riesgo humano en tu organización, aprender cómo funcionan realmente los ataques de phishing o contribuir a una herramienta open source de seguridad, HexPhish es para ti.

https://github.com/Secure-Hex/HexPhish