Introducción al uso de aprendizaje de simulación de ataques
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En las organizaciones con Microsoft Defender para Office 365 plan 2 (licencias de complemento o incluidas en suscripciones como Microsoft 365 E5), puede usar Entrenamiento de simulación de ataque en el Microsoft Defender portal para ejecutar escenarios de ataque realistas en su organización. Estos ataques simulados pueden ayudarle a identificar y encontrar usuarios vulnerables antes de que un ataque real afecte a sus resultados.
En este artículo se explican los conceptos básicos de Entrenamiento de simulación de ataque.
Vea este breve vídeo para obtener más información sobre Entrenamiento de simulación de ataque.
Nota:
Entrenamiento de simulación de ataque reemplaza la experiencia anterior de Attack Simulator v1 que estaba disponible en el Centro de cumplimiento de seguridad & en elsimulador de ataques de administración de> amenazas o https://protection.office.com/attacksimulator.
¿Qué necesita saber antes de empezar?
Entrenamiento de simulación de ataque requiere una licencia Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2. Para obtener más información sobre los requisitos de licencia, consulte Términos de licencia.
Entrenamiento de simulación de ataque admite buzones locales, pero con una funcionalidad de informes reducida. Para obtener más información, vea Notificar problemas con buzones locales.
Para abrir el portal de Microsoft Defender, vaya a https://security.microsoft.com. Entrenamiento de simulación de ataque está disponible en Email y colaboración>Entrenamiento de simulación de ataque. Para ir directamente a Entrenamiento de simulación de ataque, use https://security.microsoft.com/attacksimulator.
Para obtener más información sobre la disponibilidad de Entrenamiento de simulación de ataque en distintas suscripciones de Microsoft 365, consulte Microsoft Defender para Office 365 descripción del servicio.
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
Microsoft Entra permisos: debe pertenecer a uno de los siguientes roles:
- Administrador global¹
- Administrador de seguridad
- Administradores de simulación de ataques²: crea y administra todos los aspectos de las campañas de simulación de ataques.
- Autor² de carga de ataque: cree cargas de ataque que un administrador pueda iniciar más adelante.
Importante
¹ Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
² Actualmente no se admite la adición de usuarios a este grupo de roles en Email & permisos de colaboración en el portal de Microsoft Defender.
Actualmente, no se admite Microsoft Defender XDR control de acceso basado en rol unificado (RBAC).
No hay ningún cmdlet de PowerShell correspondiente para Entrenamiento de simulación de ataque.
Los datos relacionados con la simulación de ataques y el entrenamiento se almacenan con otros datos de clientes para los servicios de Microsoft 365. Para obtener más información, consulte Ubicaciones de datos de Microsoft 365. Entrenamiento de simulación de ataque está disponible en las siguientes regiones: APC, EUR y NAM. Entre los países de estas regiones donde Entrenamiento de simulación de ataque está disponible se incluyen ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE y ZAF.
Nota:
NOR, ZAF, ARE y DEU son las últimas adiciones. Todas las características excepto la telemetría de correo electrónico notificada están disponibles en estas regiones. Estamos trabajando para habilitar las características y notificaremos a los clientes en cuanto la telemetría de correo electrónico notificada esté disponible.
Entrenamiento de simulación de ataque está disponible en entornos de GCC, GCC High y DoD de Microsoft 365, pero algunas características avanzadas no están disponibles en GCC High y DoD (por ejemplo, automatización de cargas útiles, cargas recomendadas, la tasa de riesgo prevista). Si su organización tiene Microsoft 365 G5, Office 365 G5 o Microsoft Defender para Office 365 (Plan 2) para Government, puede usar Entrenamiento de simulación de ataque como se describe en este artículo.
Nota:
Entrenamiento de simulación de ataque ofrece un subconjunto de funcionalidades a los clientes de E3 como prueba. La oferta de prueba contiene la capacidad de usar una carga útil de Credential Harvest y la capacidad de seleccionar experiencias de entrenamiento de "phishing isa" o "phishing de mercado masivo". Ninguna otra funcionalidad forma parte de la oferta de prueba de E3.
Simulaciones
Una simulación en Entrenamiento de simulación de ataque es la campaña general que ofrece mensajes de phishing realistas pero inofensivos a los usuarios. Los elementos básicos de una simulación son:
- Quién obtiene el mensaje de suplantación de identidad simulado y en qué programación.
- Entrenamiento que los usuarios obtienen en función de su acción o falta de acción (para acciones correctas e incorrectas) en el mensaje de suplantación de identidad simulado.
- La carga útil que se usa en el mensaje simulado de suplantación de identidad (un vínculo o un archivo adjunto) y la composición del mensaje de suplantación de identidad (por ejemplo, paquete entregado, problema con su cuenta o ha ganado un premio).
- La técnica de ingeniería social que se usa. La técnica de ingeniería social y carga útil están estrechamente relacionadas.
En Entrenamiento de simulación de ataque, hay disponibles varios tipos de técnicas de ingeniería social. Excepto la guía de procedimientos, estas técnicas se seleccionaron en el marco de MITRE ATT&CK®. Hay diferentes cargas disponibles para diferentes técnicas.
Están disponibles las siguientes técnicas de ingeniería social:
Cosecha de credenciales: un atacante envía al destinatario un mensaje que contiene un vínculo*. Cuando el destinatario hace clic en el vínculo, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.
Datos adjuntos de malware: un atacante envía al destinatario un mensaje que contiene datos adjuntos. Cuando el destinatario abre los datos adjuntos, se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.
Vínculo en datos adjuntos: esta técnica es un híbrido de una recopilación de credenciales. Un atacante envía al destinatario un mensaje que contiene un vínculo dentro de un archivo adjunto. Cuando el destinatario abre los datos adjuntos y hace clic en el vínculo, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.
Vínculo a malware*: un atacante envía al destinatario un mensaje que contiene un vínculo a un archivo adjunto en un sitio de uso compartido de archivos conocido (por ejemplo, SharePoint Online o Dropbox). Cuando el destinatario hace clic en el vínculo, se abre el archivo adjunto y se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.
Unidad por dirección URL*: un atacante envía al destinatario un mensaje que contiene un vínculo. Cuando el destinatario hace clic en el vínculo, se le lleva a un sitio web que intenta ejecutar código en segundo plano. Este código en segundo plano intenta recopilar información sobre el destinatario o implementar un código arbitrario en su dispositivo. Normalmente, el sitio web de destino es un sitio web conocido que se ha visto comprometido o un clon de un sitio web conocido. La familiaridad con el sitio web ayuda a convencer al usuario de que el vínculo es seguro para hacer clic. Esta técnica también se conoce como ataque de agujero de riego.
Concesión* de consentimiento de OAuth: un atacante crea una Aplicación de Azure malintencionada que busca obtener acceso a los datos. La aplicación envía una solicitud de correo electrónico que contiene un vínculo. Cuando el destinatario hace clic en el vínculo, el mecanismo de concesión de consentimiento de la aplicación solicita acceso a los datos (por ejemplo, la Bandeja de entrada del usuario).
Guía paso a paso: guía didáctica que contiene instrucciones para los usuarios (por ejemplo, cómo informar de mensajes de phishing).
* El vínculo puede ser una dirección URL o un código QR.
Las direcciones URL que usa Entrenamiento de simulación de ataque se enumeran en la tabla siguiente:
Nota:
Compruebe la disponibilidad de la dirección URL de suplantación de identidad simulada en los exploradores web compatibles antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Para obtener más información, consulte Direcciones URL de simulación de suplantación de identidad bloqueadas por Google Safe Browsing.
Creación de simulaciones
Para obtener instrucciones sobre cómo crear e iniciar simulaciones, consulte Simulación de un ataque de suplantación de identidad (phishing).
La página de aterrizaje de la simulación es donde van los usuarios cuando abren la carga. Al crear una simulación, se selecciona la página de aterrizaje que se va a usar. Puede seleccionar entre páginas de aterrizaje integradas, páginas de aterrizaje personalizadas que ya ha creado o puede crear una nueva página de aterrizaje para usarla durante la creación de la simulación. Para crear páginas de aterrizaje, consulte Páginas de aterrizaje en Entrenamiento de simulación de ataque.
Las notificaciones de usuario final de la simulación envían recordatorios periódicos a los usuarios (por ejemplo, notificaciones de asignación de entrenamiento y avisos). Puede seleccionar entre notificaciones integradas, notificaciones personalizadas que ya ha creado o puede crear nuevas notificaciones para usarlas durante la creación de la simulación. Para crear notificaciones, consulte Notificaciones de usuario final para Entrenamiento de simulación de ataque.
Sugerencia
Las automatizaciones de simulación proporcionan las siguientes mejoras en comparación con las simulaciones tradicionales:
- Las automatizaciones de simulación pueden incluir varias técnicas de ingeniería social y cargas relacionadas (las simulaciones solo contienen una).
- Las automatizaciones de simulación admiten opciones de programación automatizadas (más que solo la fecha de inicio y la fecha de finalización en las simulaciones).
Para obtener más información, consulte Automatizaciones de simulación para Entrenamiento de simulación de ataque.
Cargas
Aunque Entrenamiento de simulación de ataque contiene muchas cargas integradas para las técnicas de ingeniería social disponibles, puede crear cargas personalizadas para satisfacer mejor sus necesidades empresariales, incluida la copia y personalización de una carga existente. Puede crear cargas en cualquier momento antes de crear la simulación o durante la creación de la simulación. Para crear cargas, consulte Creación de una carga personalizada para Entrenamiento de simulación de ataque.
En las simulaciones que usan Credential Harvest o Link en técnicas de ingeniería social de datos adjuntos , las páginas de inicio de sesión forman parte de la carga que seleccione. La página de inicio de sesión es la página web donde los usuarios escriben sus credenciales. Cada carga aplicable usa una página de inicio de sesión predeterminada, pero puede cambiar la página de inicio de sesión que se usa. Puede seleccionar entre páginas de inicio de sesión integradas, páginas de inicio de sesión personalizadas que ya ha creado o puede crear una nueva página de inicio de sesión para usarla durante la creación de la simulación o la carga útil. Para crear páginas de inicio de sesión, consulte Páginas de inicio de sesión en Entrenamiento de simulación de ataque.
La mejor experiencia de entrenamiento para los mensajes de suplantación de identidad simulados es hacerlos lo más cercanos posible a los ataques de phishing reales que su organización podría experimentar. ¿Qué ocurre si pudiera capturar y usar versiones inofensivas de mensajes de suplantación de identidad del mundo real que se detectaron en Microsoft 365 y usarlos en campañas de suplantación de identidad simuladas? Puede, con automatizaciones de carga ( también conocidas como recolección de carga). Para crear automatizaciones de carga, consulte Automatizaciones de carga para Entrenamiento de simulación de ataque.
Entrenamiento de simulación de ataque también admite el uso de códigos QR en cargas útiles. Puede elegir entre la lista de cargas de código QR integradas o puede crear cargas de código QR personalizadas. Para obtener más información, consulte Cargas de código QR en Entrenamiento de simulación de ataque.
Informes e información
Después de crear e iniciar la simulación, debe ver cómo va. Por ejemplo:
- ¿Todos lo han recibido?
- Quién hizo lo que al mensaje de suplantación de identidad simulado y a la carga que contiene (eliminar, informar, abrir la carga, escribir credenciales, etc.).
- Quién completó el entrenamiento asignado.
Los informes y las conclusiones disponibles para Entrenamiento de simulación de ataque se describen en Conclusiones e informes para Entrenamiento de simulación de ataque.
Tasa de riesgo prevista
A menudo es necesario adaptar una campaña de suplantación de identidad simulada para audiencias específicas. Si el mensaje de suplantación de identidad está demasiado cerca de ser perfecto, casi todo el mundo se dejará engañar por él. Si es demasiado sospechoso, no se dejará engañar por ello. Además, los mensajes de suplantación de identidad que algunos usuarios consideran difíciles de identificar se consideran fáciles de identificar por otros usuarios. ¿Cómo logras un equilibrio?
La tasa de compromiso prevista (PCR) indica la eficacia potencial cuando se usa la carga útil en una simulación. PCR usa datos históricos inteligentes en Microsoft 365 para predecir el porcentaje de personas que se verán comprometidas por la carga útil. Por ejemplo:
- Contenido de carga.
- Tasas de riesgo agregadas y anonimizadas de otras simulaciones.
- Metadatos de carga.
PCR le permite comparar las tasas de clic previstas frente a reales para las simulaciones de phishing. También puede usar estos datos para ver cómo funciona su organización en comparación con los resultados previstos.
La información de PCR de una carga está disponible siempre que vea y seleccione las cargas, y en los informes e información siguientes:
- Impacto del comportamiento en la tarjeta de velocidad de riesgo
- Pestaña De eficacia de entrenamiento para el informe de simulación de ataques
Sugerencia
El simulador de ataques usa vínculos seguros en Defender para Office 365 para realizar un seguimiento seguro de los datos de clic de la dirección URL en el mensaje de carga que se envía a los destinatarios de destino de una campaña de suplantación de identidad (phishing), incluso si la configuración Seguimiento de clics del usuario en Directivas de vínculos seguros está desactivada.
Entrenamiento sin trucos
Las simulaciones de suplantación de identidad tradicionales presentan a los usuarios mensajes sospechosos y los siguientes objetivos:
- Hacer que los usuarios notifiquen el mensaje como sospechoso.
- Proporcione entrenamiento después de que los usuarios haga clic o inicie la carga malintencionada simulada y entregue sus credenciales.
Sin embargo, a veces no quiere esperar a que los usuarios realicen acciones correctas o incorrectas antes de darles entrenamiento. Entrenamiento de simulación de ataque proporciona las siguientes características para omitir la espera e ir directamente al entrenamiento:
Campañas de entrenamiento: una campaña de entrenamiento es una asignación de solo entrenamiento para los usuarios de destino. Puede asignar directamente el entrenamiento sin poner a los usuarios a prueba de una simulación. Las campañas de aprendizaje facilitan la realización de sesiones de aprendizaje, como la formación mensual de concienciación sobre ciberseguridad. Para obtener más información, consulte Campañas de entrenamiento en Entrenamiento de simulación de ataque.
Sugerencia
Los módulos de entrenamiento se usan en campañas de entrenamiento, pero también puede usar módulos de entrenamiento al asignar entrenamiento en simulaciones regulares.
Guías de procedimientos en simulaciones: las simulaciones basadas en la técnica de ingeniería social Guía de procedimientos no intentan probar a los usuarios. Una guía paso a paso es una experiencia de aprendizaje ligera que los usuarios pueden ver directamente en su Bandeja de entrada. Por ejemplo, están disponibles las siguientes cargas integradas de guía de procedimientos y puede crear las suyas propias (incluida la copia y personalización de una carga existente):
- Guía didáctica: Cómo notificar mensajes de suplantación de identidad (phishing)
- Guía de enseñanza: Cómo reconocer e informar de mensajes de suplantación de identidad QR
Sugerencia
Entrenamiento de simulación de ataque proporciona las siguientes opciones de entrenamiento integradas para ataques basados en código QR:
- Módulos de entrenamiento:
- Códigos QR digitales malintencionados
- Códigos QR impresos malintencionados
- Guías de procedimientos en simulaciones: Guía de enseñanza: Cómo reconocer e informar de mensajes de suplantación de identidad QR