Preparación para ataques con Entrenamiento de simulación de ataque

  • 6 minutos

Las organizaciones que tienen Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 pueden usar Entrenamiento de simulación de ataque para ejecutar escenarios de ataque realistas. Esta característica aparece en el portal de Microsoft Defender.

Nota:

Microsoft Defender para Office 365 plan 2 también incluye funcionalidades de investigación y respuesta de amenazas.

Los ataques simulados pueden ayudar a una organización a identificar a sus usuarios vulnerables. Con esta información, las organizaciones pueden cambiar con suerte el comportamiento de estas personas antes de que un ataque real afecte al resultado final de la organización.

El entrenamiento de simulación de ataques en Microsoft Defender para Office 365 permite a una organización ejecutar simulaciones benignas de ciberataques para probar sus directivas y prácticas de seguridad. También permite a las organizaciones entrenar a los empleados para aumentar su reconocimiento y reducir su susceptibilidad a los ataques.

Para acceder a Entrenamiento de simulación de ataque, debe ir al portal de Microsoft Defender y seleccionar Email y Entrenamiento de simulación de ataque de colaboración>.

Una organización debe cumplir los siguientes requisitos previos para ejecutar el Entrenamiento de simulación de ataque:

  • La organización debe tener una suscripción Microsoft 365 E5 o Microsoft Defender para Office 365 plan 2.
  • El usuario que ejecuta el entrenamiento de simulación de ataque debe tener uno de los siguientes roles de Microsoft 365:
    • Administrador global
    • Administrador de seguridad
    • Cualquiera de los siguientes roles diseñados específicamente para Entrenamiento de simulación de ataque:
      • Administradores del simulador de ataques. Cree y administre todos los aspectos de las campañas de simulación de ataques.
      • Autores de la carga útil del simulador de ataques. Cree cargas de ataque que un administrador pueda iniciar más adelante.
  • Entrenamiento de simulación de ataque admite buzones locales, pero con una funcionalidad de informes reducida:
    • Los datos sobre si los usuarios leen, reenvía o eliminan el correo electrónico de simulación no están disponibles para los buzones locales.
    • El número de usuarios que notificaron el correo electrónico de simulación no está disponible para los buzones locales.
  • La organización debe almacenar sus datos de simulación de ataques y datos relacionados con el entrenamiento con otros datos de clientes para sus servicios de Microsoft 365. Para obtener más información, consulte Where Microsoft 365 stores your customer data (Dónde Microsoft 365 almacena los datos del cliente).

Descripción del comportamiento del usuario

Entrenamiento de simulación de ataque proporciona información basada en:

  • Datos generados por las simulaciones.
  • Los entrenamientos completados por cada empleado.

Este conocimiento ayuda a los administradores a mantenerse informados sobre la preparación para amenazas de cada empleado de la organización. Entrenamiento de simulación de ataque también puede recomendar los pasos siguientes que debe realizar una organización para fortalecerse frente a ataques.

Para revisar los datos generados por las simulaciones, un administrador debe seleccionar la pestaña Información general en la página Entrenamiento de simulación de ataque. En esta pestaña, un administrador puede ver el impacto del comportamiento en la tarjeta de tasa de riesgo. Esta tarjeta muestra cómo los empleados se enfrentaban a las simulaciones que el administrador ejecutó a diferencia de la tasa de compromiso prevista. Los administradores pueden usar esta información para realizar un seguimiento del progreso en la preparación ante amenazas de los empleados. Para ello, pueden ejecutar varias simulaciones en los mismos grupos de empleados.

En el gráfico se muestra lo siguiente:

  • Tasa de compromiso real. Refleja el porcentaje de empleados que optaron por la simulación.
  • Tasa de compromiso prevista. Refleja la tasa de riesgo media para las simulaciones que usan el mismo tipo de carga en otros inquilinos de Microsoft 365 que usan el Entrenamiento de simulación de ataque.

Captura de pantalla del gráfico de entrenamiento de simulación de ataque.

Ejecución del Entrenamiento de simulación de ataque

Entrenamiento de simulación de ataque consta de los pasos siguientes.

  1. Seleccione una técnica de ingeniería social (simulación).
  2. Seleccione una carga.
  3. Segmentación de público.
  4. Asignar entrenamiento.
  5. Detalles de inicio y revisión.

En las secciones siguientes se describe cada uno de estos pasos con más detalle.

Paso 1: Seleccionar una técnica de ingeniería social (simulación)

La suplantación de identidad (phishing) es un término genérico para los ataques de correo electrónico que intentan robar información confidencial en mensajes que parecen ser de remitentes legítimos o de confianza. La suplantación de identidad forma parte de un subconjunto de técnicas que Microsoft clasifica como ingeniería social.

En el Entrenamiento de simulación de ataque, puede seleccionar entre las siguientes técnicas de ingeniería social (simulación):

  • Cosecha de credenciales. Un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario selecciona la dirección URL, el sistema dirige al usuario a un sitio web que normalmente muestra un cuadro de inicio de sesión de nombre de usuario y contraseña. El atacante diseña la página de destino para representar un sitio web conocido. El objetivo del ataque de suplantación de identidad es hacer que el usuario crea que ha accedido a un sitio real.
  • Datos adjuntos de malware. Un atacante envía al destinatario un mensaje que contiene datos adjuntos. Cuando el destinatario abre los datos adjuntos, el código arbitrario (por ejemplo, una macro) se ejecuta automáticamente en el dispositivo del usuario. Este código ayuda al atacante a instalar más código o a afianzarse más.
  • Vínculo en datos adjuntos. Esta simulación es un híbrido de una recopilación de credenciales. Un atacante envía al destinatario un mensaje que contiene una dirección URL dentro de un archivo adjunto. Cuando el destinatario abre los datos adjuntos y selecciona la dirección URL, se enruta a un sitio web que normalmente muestra un cuadro de diálogo de inicio de sesión. Este sitio solicita al usuario su nombre de usuario y contraseña. Al mostrar lo que parece ser un sitio web conocido, el objetivo del ataque de suplantación de identidad es hacer que el usuario realmente cree que accedió a un sitio real.
  • Vínculo a malware. Un atacante envía al destinatario un mensaje que contiene un vínculo a un archivo adjunto en un sitio conocido de uso compartido de archivos (por ejemplo, SharePoint Online o Dropbox). Cuando el destinatario selecciona la dirección URL, se abre el archivo adjunto y, a continuación, se ejecuta código arbitrario, como una macro, en el dispositivo del usuario. Este código ayuda al atacante a instalar más código o a afianzarse más.
  • Unidad por dirección URL. Un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario selecciona la dirección URL, el sistema dirige al usuario a un sitio web que intenta ejecutar código en segundo plano. Este código recopila información sobre el destinatario o implementa código arbitrario en su dispositivo. Normalmente, el sitio web de destino es un sitio web conocido que el atacante ha puesto en peligro o un clon de un sitio web conocido. La familiaridad con el sitio web ayuda a convencer al usuario de que el vínculo es seguro para seleccionar. Algunas personas se refieren a los ataques de unidad por dirección URL como ataques de agujeros de riego.

Paso 2: Seleccionar una carga útil

Una vez que seleccione el tipo de simulación (técnica de ingeniería social) que desea ejecutar, seleccione una carga del catálogo de carga preexistente.

El propósito de los puntos de datos de carga es proporcionar información sobre la eficacia de los controles de seguridad de una organización frente a ataques simulados. Estos puntos de datos pueden ayudar a las organizaciones a identificar vulnerabilidades en su posición de seguridad y tomar medidas para corregirlas antes de que los atacantes reales puedan aprovecharlas.

Los equipos de seguridad de las organizaciones recopilan y analizan los puntos de datos que se encuentran en las cargas. Lo hacen para comprender mejor cómo los atacantes pueden dirigirse a la infraestructura y los datos de su organización. Usan este conocimiento para mejorar sus defensas de seguridad, como mediante la implementación de:

  • Controles de acceso más seguros
  • Sistemas de detección de amenazas más sólidos
  • Procesos de respuesta a incidentes más eficaces

Los equipos de seguridad también usan puntos de datos para realizar un seguimiento y medir el éxito del programa de entrenamiento de reconocimiento de seguridad de una organización. Por ejemplo, supongamos que los datos de simulación muestran un alto porcentaje de usuarios caídos por un ataque de suplantación de identidad (phishing). Este resultado podría indicar que los usuarios necesitan entrenamiento adicional sobre cómo reconocer y evitar estos ataques.

El catálogo de carga tiene muchos puntos de datos que le ayudarán a elegir una carga, entre los que se incluyen:

  • Tasa de clics. Cuenta cuántas personas seleccionaron esta carga. El punto de datos de tasa de clics es una medida de la capacidad de la carga para engañar o engañar a los usuarios para que realicen una acción específica. Por ejemplo, al hacer clic en un vínculo o abrir un archivo adjunto. La plataforma analiza varios factores para determinar la probabilidad de que los usuarios seleccionen esta carga. Por ejemplo, el lenguaje usado en la carga, el diseño visual del mensaje y la urgencia percibida de la solicitud.
  • Tasa de compromiso prevista. La plataforma usa el aprendizaje automático y otros algoritmos avanzados para predecir la probabilidad de que una carga determinada produzca un riesgo correcto. Al hacerlo, la plataforma analiza varios factores. Por ejemplo, la complejidad de la carga, la probabilidad de interacción del usuario y la eficacia de los controles de seguridad. El resultado de este análisis es la tasa de riesgo prevista, que es una estimación del porcentaje de usuarios que un ataque podría poner en peligro. La tasa de riesgo prevista es solo una estimación. La tasa real de riesgo puede variar en función de otros factores. Por ejemplo, el reconocimiento y el entrenamiento, la eficacia de los controles de seguridad y las características específicas del propio ataque. Por lo tanto, es importante que las organizaciones usen las tasas de riesgo previstas como guía, en lugar de como una medida definitiva del riesgo.
  • Simulaciones iniciadas. El equipo de seguridad responsable de ejecutar simulaciones cuenta el número de veces que otras simulaciones usaron esta carga.
  • Complejidad. La plataforma de entrenamiento calcula el punto de datos de complejidad que se encuentra en las cargas. Usa algoritmos y métricas para analizar la carga útil y asignar una puntuación de complejidad basada en varios factores. Por ejemplo, el número de variables y funciones usadas, el nivel de anidamiento y la estructura general de la carga.
  • Origen. El origen indica si el equipo de seguridad de la organización creó la carga en su inquilino o si la carga forma parte del catálogo de carga preexistente de Microsoft (global).

Paso 3: Destinatarios de audiencia

Ahora es el momento de seleccionar el público de esta simulación. Puede optar por incluir todos los usuarios o solo usuarios y grupos específicos. Si decide incluir solo usuarios y grupos específicos, puede:

  • Agregar usuarios. Puede buscar usuarios específicos en el espacio empresarial. También puede usar funcionalidades avanzadas de búsqueda y filtrado. Por ejemplo, puede seleccionar los usuarios a los que no se ha dirigido en una simulación en los últimos tres meses.
  • Importar desde CSV. Permite importar un conjunto predefinido de usuarios para esta simulación.

Paso 4: Asignación de entrenamiento

Microsoft recomienda asignar entrenamiento para cada simulación. ¿Por qué? Porque los empleados que pasan por el entrenamiento son menos susceptibles a ataques similares. Puede elegir tener el aprendizaje asignado para su organización, o bien puede seleccionar los cursos de aprendizaje y los módulos usted mismo.

Seleccione la fecha de vencimiento del entrenamiento para asegurarse de que los empleados finalicen su entrenamiento para cumplir los objetivos de la organización.

Paso 5: Iniciar detalles y revisar

Una vez que una organización configura todos los parámetros de simulación de ataque, puede iniciar la simulación inmediatamente o programarla para una fecha posterior. Al iniciar una simulación, debe elegir cuándo finalizarla. La simulación deja de capturar interacciones cuando supera la hora seleccionada.

Si establece la opción de entrega de zona horaria compatible con la región al iniciar una simulación, los mensajes de ataque simulados se entregan a los empleados durante su horario laboral en función de su región.

Una vez finalizada la simulación, seleccione Siguiente y revise los detalles de la simulación. Seleccione la opción Editar en cualquiera de los elementos para volver atrás y cambiar los detalles que necesite cambiar. Cuando se sienta satisfecho con los resultados, seleccione Enviar.

Notificaciones del usuario final

En Entrenamiento de simulación de ataque en Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2, las notificaciones del usuario final son mensajes de correo electrónico que se envían a los usuarios como resultado de simulaciones o automatizaciones de simulaciones. Están disponibles los siguientes tipos de notificaciones de usuario final:

  • Notificación de refuerzo positivo. Se envía cuando los usuarios notifican un mensaje de suplantación de identidad simulado.
  • Notificación de simulación. Se envía cuando los usuarios se incluyen en una simulación o automatización de simulación, pero no se selecciona ningún entrenamiento.
  • Notificación de asignación de entrenamiento. Se envía cuando a los usuarios se les asignan los entrenamientos necesarios como resultado de una simulación o automatizaciones de simulación.
  • Notificación de recordatorio de entrenamiento. Se envía como recordatorio para los entrenamientos necesarios.

Para ver las notificaciones de usuario final disponibles, abra el portal de Microsoft Defender y vaya a Email & pestaña Biblioteca de contenido > Entrenamiento de simulación de ataque > pestaña > Notificaciones del usuario final. La pestaña Notificaciones del usuario final incluye los siguientes tipos de notificaciones:

  • Notificaciones globales. Contiene las notificaciones integradas y no modificables.
  • Notificaciones de inquilino. Contiene las notificaciones personalizadas que ha creado.

Captura de pantalla de la página Notificaciones del usuario final para el entrenamiento de simulación de ataques.

Lectura adicional. Para obtener más información sobre cómo crear y modificar notificaciones, vea Notificaciones de usuario final para Entrenamiento de simulación de ataque.