Implementación y preguntas más frecuentes del aprendizaje de simulación de ataques

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la versión de prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

El entrenamiento de simulación de ataques permite a las organizaciones de Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 medir y administrar el riesgo de ingeniería social al permitir la creación y administración de simulaciones de suplantación de identidad (phishing) con tecnología de cargas de suplantación de identidad reales e inofensivas. El entrenamiento hiperesparáfico, ofrecido en asociación con la seguridad de Terranova, ayuda a mejorar el conocimiento y a cambiar el comportamiento de los empleados.

Para obtener más información sobre cómo empezar a trabajar con el entrenamiento de simulación de ataques, consulte Introducción al entrenamiento de simulación de ataques.

Aunque la experiencia de creación y programación de simulaciones está diseñada para que sea de flujo libre y sin fricción, las simulaciones a escala empresarial requieren planeamiento. Este artículo ayuda a abordar desafíos específicos que vemos cuando nuestros clientes ejecutan simulaciones en sus propios entornos.

Problemas con las experiencias del usuario final

Direcciones URL de simulación de suplantación de identidad bloqueadas por la exploración segura de Google

Un servicio de reputación de direcciones URL podría identificar una o varias de las direcciones URL que usa el entrenamiento de simulación de ataques como no seguras. Google Safe Browsing en Google Chrome bloquea algunas de las direcciones URL de suplantación de identidad simuladas con un mensaje de anticipación de sitio engañoso . Aunque trabajamos con muchos proveedores de reputación de direcciones URL para permitir siempre nuestras direcciones URL de simulación, no siempre tenemos cobertura completa.

Advertencia previa del sitio engañoso en Google Chrome

Este problema no afecta a Microsoft Edge.

Como parte de la fase de planeación, asegúrese de comprobar la disponibilidad de la dirección URL en los exploradores web admitidos antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Si Google Safe Browsing bloquea las direcciones URL, siga esta guía de Google para permitir el acceso a las direcciones URL.

Consulte Introducción al entrenamiento de simulación de ataques para obtener la lista de direcciones URL que usa actualmente el entrenamiento de simulación de ataques.

Simulación de suplantación de identidad (phishing) y direcciones URL de administración bloqueadas por soluciones de proxy de red y controladores de filtro

Tanto las direcciones URL de simulación de suplantación de identidad (phishing) como las direcciones URL de administración pueden bloquearse o quitarse mediante los filtros o dispositivos de seguridad intermedios. Por ejemplo:

  • Firewalls
  • Soluciones de Firewall de aplicaciones web (WAF)
  • Controladores de filtro de terceros (por ejemplo, filtros de modo kernel)

Aunque hemos visto que pocos clientes están bloqueados en esta capa, sí sucede. Si tiene problemas, considere la posibilidad de configurar las siguientes direcciones URL para omitir el examen por parte de los dispositivos de seguridad o filtros según sea necesario:

Mensajes de simulación que no se entregan a todos los usuarios de destino

Es posible que el número de usuarios que reciben realmente los mensajes de correo electrónico de simulación sea menor que el número de usuarios a los que se ha dirigido la simulación. Los siguientes tipos de usuarios se excluyen como parte de la validación de destino:

  • Direcciones de correo electrónico de destinatario no válidas.
  • Usuarios invitados.
  • Usuarios que ya no están activos en Microsoft Entra ID.

Si usa grupos de distribución o grupos de seguridad habilitados para correo para dirigirse a los usuarios, puede usar el cmdlet Get-DistributionGroupMember en Exchange Online PowerShell para ver y validar los miembros del grupo de distribución.

Entrenamientos asignados inesperadamente o no asignados a los usuarios

El umbral de entrenamiento de las campañas de entrenamiento impide que los usuarios tengan asignados los mismos entrenamientos durante un intervalo específico (90 días de forma predeterminada). Para obtener más información, vea Establecer el umbral de entrenamiento.

Si ha creado una simulación o una automatización de simulación con el valor de asignación de entrenamiento Asignar entrenamiento para mí (recomendado), asignamos el entrenamiento en función de los resultados de simulación y entrenamiento anteriores de un usuario. Para asignar formación en función de criterios específicos, seleccione Seleccionar cursos de formación y módulos yo mismo.

¿Qué ocurre cuando un usuario responde a un mensaje de simulación o lo reenvía?

Si un usuario responde o reenvía un mensaje de simulación a otro buzón, el mensaje se trata como un mensaje de correo electrónico normal (incluida la detonación por vínculos seguros o datos adjuntos seguros). El informe Simulación muestra si el mensaje de simulación se ha respondido o reenviado. Cada dirección URL del correo electrónico de simulación está asociada a un usuario individual, por lo que el usuario identifica las detonaciones de vínculos seguros como clics.

Si usa un buzón de operaciones de seguridad dedicadas (SecOps), asegúrese de identificarlo como SecOps en la directiva de entrega avanzada para que los mensajes se entreguen sin filtrar.

¿Cómo puedo escalonar la entrega de mensajes de simulación?

En cualquier caso, es importante usar diferentes cargas útiles para evitar la discusión y la identificación entre los usuarios.

¿Por qué Outlook bloquea las imágenes de los mensajes de simulación?

De forma predeterminada, Outlook está configurado para bloquear las descargas automáticas de imágenes en los mensajes de Internet. Aunque puede configurar Outlook para descargar automáticamente imágenes, no se recomienda debido a las implicaciones de seguridad (posible descarga automática de código malintencionado o errores web, también conocidos como balizas web o píxeles de seguimiento).

Los servicios de filtrado de terceros pueden ser la culpa. Para los sistemas de filtrado que no sean de Microsoft que use, debe permitir o excluir los siguientes elementos:

¿Puedo agregar la etiqueta Externa o sugerencias de seguridad a los mensajes de simulación?

Las cargas personalizadas tienen la opción de agregar la etiqueta Externa a los mensajes. Para obtener más información, consulte el paso 5 en Creación de cargas.

No hay ninguna opción integrada para agregar sugerencias de seguridad a las cargas, pero puede usar los métodos siguientes en la página Configurar carga útil del Asistente para la configuración de carga:

  • Use un mensaje de correo electrónico existente que contenga la sugerencia de seguridad como plantilla. Guarde el mensaje como HTML y copie la información.

  • Use el código de ejemplo siguiente para la sugerencia de seguridad del primer contacto:

    <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;mso-cellspacing:0in;mso-yfti-tbllook:1184;
mso-table-lspace:2.25pt;mso-table-rspace:2.25pt;mso-table-anchor-vertical:
paragraph;mso-table-anchor-horizontal:column;mso-table-left:left;mso-padding-alt:
0in 0in 0in 0in">
<tbody><tr style="mso-yfti-irow:0;mso-yfti-firstrow:yes;mso-yfti-lastrow:yes">
  <td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
  <td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt" cellpadding="7px 5px 7px 15px" color="#212121">
  <div>
  <p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;
  mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:
  column;mso-height-rule:exactly"><span style="font-size:9.0pt;font-family:
  wf_segoe-ui_normal;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-bidi-font-family:
  Aptos;color:#212121;mso-ligatures:none">You don't often get email from
  this sender <a rel="noopener" href="https://aka.ms/LearnAboutSenderIdentification" tabindex="-1" target="_blank">Learn why
  this is important</a></span></p>
  </div>
  </td>
  <td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;
  align:left" cellpadding="7px 5px 7px 5px" color="#212121"></td>
</tr>
</tbody></table>
<div>
<p class="MsoNormal"><span lang="DA" style="font-size:12.0pt;font-family:&quot;Georgia&quot;,serif;
color:black;mso-ansi-language:DA">Insert payload content here,</span></p>
</div>

¿Puedo asignar módulos de entrenamiento sin poner a los usuarios a través de una simulación?

Sí. Para obtener más información, consulte Campañas de entrenamiento en Entrenamiento de simulación de ataques.

¿Cómo puedo averiguar sobre los mensajes de simulación que no se entregaron?

La pestaña Usuarios de la simulación se puede filtrar por entrega de mensajes de simulación: no se pudo entregar.

Si es propietario del dominio remitente, el informe de simulación no entregado se devuelve en un informe de no entrega (también conocido como NDR o mensaje de devolución). Para obtener más información sobre los códigos en el NDR, vea Informes de no entrega por correo electrónico y errores SMTP en Exchange Online.

Problemas con los informes de entrenamiento de simulación de ataques

Sugerencia

La grabación de datos de simulación se inicia unos minutos después de iniciar la simulación y después de que los usuarios empiecen a interactuar con los mensajes de simulación. No hay ninguna hora de inicio fija. Los eventos se siguen capturando una vez finalizada la simulación.

Diferencias en los datos de actividad del usuario de los informes de entrenamiento de simulación de ataques y otros informes

Para informar sobre la actividad del usuario relacionada con los mensajes de simulación, se recomienda usar los informes de simulación integrados. Es posible que los informes de otros orígenes (por ejemplo, búsqueda avanzada) no sean precisos.

Las direcciones URL de simulación no están encapsuladas por vínculos seguros y se consideran vínculos sin encapsular. No todos los clics en vínculos no cifrados pasan por Vínculos seguros, por lo que es posible que la actividad del usuario relacionada con los mensajes de simulación no se registre en los registros UrlClickEvents.

Los informes de entrenamiento de simulación de ataques no contienen detalles de actividad

El entrenamiento de simulación de ataques incluye información enriquecida y procesable que le mantiene informado del progreso de preparación de amenazas de sus empleados. Si los informes de entrenamiento de simulación de ataques no se rellenan con datos, compruebe que el registro de auditoría está activado en su organización (está activado de forma predeterminada).

El entrenamiento de simulación de ataques requiere el registro de auditoría para que los eventos se puedan capturar, grabar y leer. La desactivación del registro de auditoría tiene las siguientes consecuencias para el entrenamiento de simulación de ataques:

  • Los datos de informes no están disponibles en todos los informes. Los informes aparecen vacíos.
  • Las asignaciones de entrenamiento están bloqueadas, ya que los datos no están disponibles.

Para comprobar que el registro de auditoría está activado o para activarlo, consulte Activar o desactivar la auditoría.

Sugerencia

Los detalles de actividad vacíos también se deben a que no se asignan licencias E5 a los usuarios. Compruebe que se asigna al menos una licencia E5 a un usuario activo para asegurarse de que los eventos de informes se capturan y registran.

Las acciones de usuario y las acciones de administrador se auditan. En la API de actividad de administración, busque los valores AuditLogRecordType 85, 88 y 218.

Es posible que también haya información de auditoría disponible en la tabla CloudAppEvents de búsqueda avanzada de XDR de Microsoft Defender a través del portal de Defender o la API de streaming.

Notificar problemas con buzones locales

El entrenamiento de simulación de ataques admite buzones locales, pero con una funcionalidad de informes reducida:

  • Los datos sobre si los usuarios leen, reenvía o eliminan el correo electrónico de simulación no están disponibles para los buzones locales.
  • El número de usuarios que notificaron el correo electrónico de simulación no está disponible para los buzones locales.

Sugerencia

Aparte de los mensajes de simulación que se envían a través de la canalización de transporte frente a la inserción directa en Microsoft 365, las experiencias de entrenamiento, automatización y administración de contenido son las mismas para los buzones locales.

Los informes de simulación no se actualizan inmediatamente

Los informes detallados de simulación no se actualizan inmediatamente después de iniciar una campaña. No te preocupes; se espera este comportamiento.

Cada campaña de simulación tiene un ciclo de vida. Cuando se crea por primera vez, la simulación está en estado Programado . Cuando se inicia la simulación, pasa al estado En curso . Cuando se completa, la simulación pasa al estado Completado .

Mientras una simulación está en estado Programado , los informes de simulación están principalmente vacíos. Durante esta fase, el motor de simulación resuelve las direcciones de correo electrónico del usuario de destino, expande los grupos de distribución, quita los usuarios invitados de la lista, etcetera::

Detalles de la simulación que muestran la simulación en estado Programado

Una vez que la simulación entra en la fase En curso , la información comienza a entrar en la generación de informes:

Detalles de la simulación que muestran la simulación en el estado En curso

Los informes de simulación individuales pueden tardar hasta 30 minutos en actualizarse después de la transición al estado En curso . Los datos del informe continúan compilando hasta que la simulación alcanza el estado Completado . Las actualizaciones de informes se producen a los intervalos siguientes:

  • Cada 10 minutos durante los primeros 60 minutos.
  • Cada 15 minutos después de 60 minutos hasta dos días.
  • Cada 30 minutos después de dos días hasta siete días.
  • Cada 60 minutos después de siete días.

Los widgets de la página Información general proporcionan una instantánea rápida de la posición de seguridad basada en simulación de su organización a lo largo del tiempo. Dado que estos widgets reflejan la posición de seguridad general y el recorrido a lo largo del tiempo, se actualizan una vez completada cada campaña de simulación.

Nota:

Puede usar la opción Exportar en las distintas páginas de informes para extraer datos.

Los mensajes notificados como suplantación de identidad (phishing) por los usuarios no aparecen en los informes de simulación

Los informes de simulación del entrenamiento del simulador de ataques proporcionan detalles sobre la actividad del usuario. Por ejemplo:

  • Usuarios que han hecho clic en el vínculo del mensaje.
  • Usuarios que han renunciado a sus credenciales.
  • Usuarios que notificaron el mensaje como suplantación de identidad (phishing).

Si los mensajes que los usuarios notifican como suplantación de identidad (phishing) no se capturan en los informes de simulación de entrenamiento de simulación de ataques, puede haber una regla de flujo de correo de Exchange (también conocida como regla de transporte) que bloquee la entrega de los mensajes notificados a Microsoft. Compruebe que las reglas de flujo de correo no bloquean la entrega a las siguientes direcciones de correo electrónico:

  • junk@office365.microsoft.com
  • abuse@messaging.microsoft.com
  • phish@office365.microsoft.com
  • not_junk@office365.microsoft.com

A los usuarios se les asigna un entrenamiento después de informar de un mensaje simulado

Si a los usuarios se les asigna un entrenamiento después de notificar un mensaje de simulación de suplantación de identidad (phishing), compruebe si su organización usa un buzón de informes para recibir mensajes notificados por el usuario en https://security.microsoft.com/securitysettings/userSubmission. El buzón de informes debe configurarse para omitir muchas comprobaciones de seguridad, como se describe en los requisitos previos del buzón de informes.

Si no configura las exclusiones necesarias para el buzón de informes personalizado, los mensajes pueden detonarse mediante vínculos seguros o protección de datos adjuntos seguros, lo que provoca asignaciones de entrenamiento.

Otras preguntas más frecuentes

R: Hay varias opciones disponibles para los usuarios de destino:

  • Incluya todos los usuarios (actualmente disponibles para organizaciones con menos de 40 000 usuarios).
  • Elija usuarios específicos.
  • Seleccione usuarios de un archivo CSV (una dirección de correo electrónico por línea).
  • Destino basado en grupos de Microsoft Entra.

Encontramos que las campañas en las que los grupos de Microsoft Entra identifican a los usuarios de destino son más fáciles de administrar.

P: ¿Cuántos módulos de entrenamiento hay?

Actualmente, hay 94 entrenamientos integrados en la página Módulos de entrenamiento .

P: ¿Hay límites en el destino de los usuarios al importar desde un ARCHIVO CSV o agregar usuarios?

R: El límite para importar destinatarios desde un archivo CSV o agregar destinatarios individuales a una simulación es de 40 000.

Un destinatario puede ser un usuario individual o un grupo. Un grupo puede contener cientos o miles de destinatarios. El límite superior en el número de usuarios es de 400 000, pero se recomienda un límite de 200 000 usuarios para cada simulación para obtener el mejor rendimiento.

Administrar un archivo CSV grande o agregar muchos destinatarios individuales puede ser complicado. El uso de grupos de Microsoft Entra simplifica la administración general de la simulación.

Sugerencia

Actualmente, los buzones compartidos no se admiten en el entrenamiento de simulación de ataques. Las simulaciones deben tener como destino buzones de usuario o grupos que contengan buzones de usuario.

Los grupos de distribución se expanden y la lista de usuarios se genera en el momento de guardar la automatización de simulación o simulación.

P: ¿Son los límites para el número de simulaciones que se pueden implementar durante un intervalo de tiempo específico?

R. No, aunque es posible que experimente lentitud si inicia muchas simulaciones paralelas. Las tasas de mensajes (incluidas las tasas de mensajes de simulación) están restringidas por los límites de velocidad de mensajes del servicio.

P: ¿Proporciona Microsoft cargas útiles en otros idiomas?

R: Actualmente, hay más de 40 cargas localizadas disponibles en más de 29 idiomas: inglés, español, alemán, japonés, francés, portugués, holandés, italiano, sueco, chino (simplificado), noruego Bokmål, polaco, ruso, finlandés, coreano, turco, húngaro, hebreo, tailandés, árabe, vietnamita, eslovaco, griego, indonesio, rumano, esloveno, croata, catalán y otros. Hemos determinado que la traducción directa o automática de las cargas existentes a otros lenguajes conduce a imprecisiones y a una menor relevancia.

Dicho esto, puede crear su propia carga en el lenguaje que prefiera mediante la experiencia de creación de carga personalizada. También se recomienda encarecidamente recopilar las cargas existentes que se usaron para dirigirse a los usuarios de una geografía específica. En otras palabras, deje que los atacantes localicen el contenido por usted.

P: ¿Cuántos vídeos de entrenamiento están disponibles?

R: Actualmente, hay más de 85 módulos de entrenamiento disponibles en la biblioteca de contenido.

P: ¿Cómo puedo cambiar a otros idiomas para mi portal de administración y experiencia de entrenamiento?

R: En Microsoft 365 u Office 365, la configuración de idioma es específica y centralizada para cada cuenta de usuario. Para obtener instrucciones sobre cómo cambiar la configuración de idioma, vea Cambiar el idioma de visualización y la zona horaria en Microsoft 365 para empresas.

El cambio de configuración puede tardar hasta 30 minutos en sincronizarse entre todos los servicios.

P: ¿Puedo desencadenar una simulación de prueba para comprender su aspecto antes de iniciar una campaña completa?

R: ¡Sí se puede! En la última página Revisar simulación del asistente para nueva simulación, seleccione Enviar una prueba. Esta opción envía un mensaje de simulación de suplantación de identidad (phishing) de ejemplo al usuario que ha iniciado sesión actualmente. Después de validar el mensaje de suplantación de identidad en la Bandeja de entrada, puede enviar la simulación.

Botón Enviar una prueba en la página Revisar simulación

Sugerencia

También puede usar Enviar una prueba desde la página Cargas. Sin embargo, si alguna vez usa la carga seleccionada en una simulación, el mensaje de prueba aparece en los informes agregados. Puede exportar los resultados o usar Microsoft Graph API para filtrar los resultados.

P: ¿Puedo dirigirme a usuarios que pertenecen a un inquilino diferente como parte de la misma campaña de simulación?

R: No. Actualmente, no se admiten simulaciones entre inquilinos. Compruebe que todos los usuarios de destino están en el mismo inquilino. Los usuarios entre inquilinos o los usuarios invitados se excluyen de la campaña de simulación.

P: ¿Cómo funciona la entrega con reconocimiento de la región?

R: La entrega compatible con la región usa el atributo de zona horaria del buzón del usuario de destino para determinar cuándo entregar el mensaje. Puede haber una diferencia horaria de ± una hora en la entrega de correo electrónico en función de la zona horaria del usuario. Por ejemplo, imagine la situación siguiente:

  • A las 7:00 AM en la zona horaria del Pacífico (UTC-8), un administrador crea y programa una campaña para que comience a las 9:00 a.m. del mismo día.
  • UserA está en la zona horaria oriental (UTC-5).
  • UserB también está en la zona horaria del Pacífico.

A las 9:00 am del mismo día, el mensaje de simulación se envía a UserB. Con la entrega compatible con la región, el mensaje no se envía a UserA el mismo día, ya que la hora del Pacífico a las 9:00 a.m. es a las 12:00 p.m. hora del Este. En su lugar, el mensaje se envía a UserA a las 9:00 a.m. hora del Este del día siguiente.

Por lo tanto, en la ejecución inicial de una campaña con la entrega compatible con la región habilitada, podría parecer que el mensaje de simulación se envió solo a los usuarios de una zona horaria específica. Sin embargo, a medida que pasa el tiempo y más usuarios entran en el ámbito, los usuarios de destino aumentan.

Si no usa la entrega compatible con la región, la campaña se inicia en función de la zona horaria del usuario que la configura.

P: ¿Recopila Microsoft o almacena información que los usuarios escriben en la página de inicio de sesión de Credential Harvest, usada en la técnica de simulación de Credential Harvest?

R: No. Cualquier información especificada en la página de inicio de sesión de la cosecha de credenciales se descarta silenciosamente. Solo se registra el "clic" para capturar el evento de riesgo. Microsoft no recopila, registra ni almacena los detalles que los usuarios escriben en este paso.

P: ¿Cuánto tiempo se conserva la información de simulación? ¿Puedo eliminar datos de simulación?

R: Consulte la tabla siguiente:

Tipo de datos Retención
Metadatos de simulación 18 meses a menos que un administrador elimine antes la simulación.
Automatización de simulación 18 meses a menos que un administrador elimine antes la automatización de la simulación.
Automatización de carga útil 18 meses a menos que un administrador elimine antes la automatización de la carga útil.
Actividad del usuario en metadatos de simulación 18 meses a menos que un administrador elimine antes la simulación.
Cargas globales Persistente a menos que Microsoft las elimine.
Cargas de inquilino 18 meses a menos que un administrador elimine antes la carga archivada.
Actividad del usuario en los metadatos de entrenamiento 18 meses a menos que un administrador elimine antes la simulación.
Cargas recomendadas de MDO 6 meses.
Notificaciones globales del usuario final Persistente a menos que Microsoft las elimine.
Notificaciones del usuario final del inquilino 18 meses a menos que un administrador elimine antes la notificación.
Páginas de inicio de sesión globales Persistente a menos que Microsoft las elimine.
Páginas de inicio de sesión de inquilino 18 meses a menos que un administrador elimine antes la página de inicio de sesión.
Páginas de aterrizaje globales Persistente a menos que Microsoft lo elimine
Páginas de aterrizaje del inquilino 18 meses a menos que un administrador elimine antes la página de aterrizaje.

Si se elimina todo el inquilino, los datos de entrenamiento de simulación de ataques se eliminan después de 90 días.

Para obtener más información, vea Información de retención de datos para Microsoft Defender para Office 365.

P: ¿Puedo crear, ver y administrar simulaciones mediante una API?

R: Sí. Los escenarios de lectura y escritura se admiten mediante Microsoft Graph API:

  • AttackSimulation.Read.All:
    • Leer metadatos de simulación
    • Leer actividad de usuario
    • Leer datos de entrenamiento
    • Leer delincuentes reincidentes
  • AttackSimulation.ReadWrite.All: ejecute simulaciones con las cargas, notificaciones y páginas de inicio de sesión especificados.

Para obtener más información, vea Enumeración de simulaciones e información general de la API de informes para el entrenamiento de simulación de ataques como parte de Microsoft Defender para Office 365.

P: ¿Puedo eliminar cargas personalizadas?

R: Sí. En primer lugar, archive la carga y, a continuación, elimine la carga archivada. Para obtener instrucciones, consulte Carga de archivo.

P: ¿Puedo modificar las cargas integradas?

R: No directamente. Puede copiar la carga útil y, a continuación, modificar la copia. Para obtener instrucciones, consulte Copia de cargas.