Preguntas frecuentes

Compartir

¿Este artículo es útil?

Última actualización:

PREGUNTAS FRECUENTES: PhishER

En este artículo, encontrará preguntas frecuentes sobre el uso de la plataforma PhishER de KnowBe4. Si tiene preguntas adicionales que no se incluyen en este artículo, envíe un ticket a nuestro equipo de soporte equipo de soporte (el enlace se abre en otra ventana).

Para obtener más información sobre PhishER, consulte nuestro Manual del producto PhishER.

Información general

Para obtener información general sobre PhishER, consulte las siguientes preguntas y respuestas:

  1. ¿Cómo se protege mi información en la plataforma PhishER?
  2. ¿Cómo concedo y administro el acceso a PhishER para otros miembros de mi organización?
  3. ¿Cómo puedo adquirir PhishER para mi organización?
  4. ¿Qué reescritores y acortadores de URL son compatibles con PhishER?
  5. ¿Puedo usar PhishER para procesar y bloquear virus?
  6. ¿Los datos enviados hacia y desde mi plataforma PhishER están cifrados?

¿Cómo se protege mi información en la plataforma PhishER?

PhishER utiliza todas las prácticas recomendadas de seguridad y privacidad de KnowBe4, como se detalla en nuestra página Declaración de seguridad Declaración de seguridad (el enlace se abre en otra ventana). Para una mayor protección, puede habilitar la autenticación multifactor en su cuenta de administrador, en la consola de KSAT.

¿Cómo concedo y administro el acceso a PhishER para otros miembros de mi organización?

Los administradores de cuentas de PhishER pueden conceder acceso a PhishER a otros miembros de su organización habilitando la configuración de PhishER en sus Perfiles de usuario, en la consola de KSAT. Los administradores de KSAT tienen acceso a PhishER de forma automática.

Los administradores de cuentas también pueden deshabilitar el acceso a PhishER desde Perfil de usuario de KSAT.

¿Cómo puedo adquirir PhishER para mi organización?

Si desea adquirir la plataforma PhishER, póngase en contacto con su administrador de cuenta. Si no está seguro de quién es su administrador de cuenta, puede ponerse en contacto con nuestro equipo de soporte equipo de soporte (el enlace se abre en otra ventana).

¿Qué reescritores y acortadores de URL son compatibles con PhishER?

Si desea reescribir o acortar una URL, como una URL utilizada para configurar un webhook, le recomendamos utilizar uno de nuestros reescritores y acortadores compatibles.

Nota: Estos reescritores y acortadores de URL también son compatibles con Second Chance.

Para obtener una lista de los acortadores de URL compatibles, consulte la siguiente tabla:

Nombre URL
Bitly bit.ly
Bitdo bit.do
Capsulink cli.re, [www.]capsulink.com
Googl goo.gl
Owly ow.ly
TinyURL tinyurl.com

Para obtener una lista de los reescritores de URL compatibles, consulte la siguiente tabla:

Nombre URL
Barracuda linkprotect.cudasvc.com
Cisco secure-web.cisco.com
Egress Defend *.defend.egress.com
FireEye *.fireeye.com
Google (Gmail) [www.]google.com
Mimecast
  • protect-*.mimecast.com
  • *.mimecastprotect.com
Office 365 *.safelinks.protection.office365.us
Outlook *.safelinks.protection.outlook.com
PostOffice clicktime.cloud.postoffice.net
Proofpoint urldefense.proofpoint.com
Sophos *.protection.sophos.com
Symantec clicktime.symantec.com
TrendAI (antes conocido como Trend Micro) *.trendmicro.com
Trustwave scanmail.trustwave.com

¿Puedo usar PhishER para procesar y bloquear virus?

No, no puede usar PhishER para procesar y bloquear virus. PhishER no se diseñó para ser un filtro de correo. El propósito de PhishER es proporcionar a su organización una plataforma para evaluar todos los correos electrónicos sospechosos informados por sus usuarios. Sin embargo, puede usar PhishER para detectar elementos comunes en los correos electrónicos informados y automatizar sus acciones de respuesta ante incidentes.

¿Los datos enviados hacia y desde mi plataforma PhishER están cifrados?

Sí, PhishER utiliza el protocolo de cifrado de seguridad de la capa de transporte (Transport Layer Security, TLS) para el envío de datos hacia y desde la plataforma.

Cómo comenzar

Para obtener información sobre cómo comenzar con PhishER, consulte las siguientes preguntas:

  1. ¿Cuánto tiempo lleva configurar mi plataforma PhishER?
  2. ¿Debo usar el Phish Alert Button (PAB) para reenviar correos electrónicos a mi bandeja de entrada de PhishER?
  3. ¿Hay un límite para la cantidad de correos electrónicos para informes que puedo generar?
  4. ¿Dónde puedo encontrar mis salas guardadas?
  5. ¿Puedo filtrar mi bandeja de entrada de PhishER por una etiqueta específica?
  6. ¿Cómo elimino un mensaje de mi bandeja de entrada de PhishER?
  7. ¿Cómo elimino de forma permanente un correo electrónico de las bandejas de entrada de mis usuarios?
  8. Creé una nueva regla. ¿Esta regla afectará los mensajes que estaban en mi bandeja de entrada de PhishER antes de que se creara la regla?
  9. ¿Qué versión de YARA admite la plataforma PhishER?
  10. ¿Puedo usar expresiones regulares en mi regla YARA?
  11. ¿Puedo abrir archivos adjuntos en PhishER de forma segura?
  12. ¿Puedo informar a un usuario final cuando un mensaje está etiquetado como correo no deseado (spam)?
  13. ¿Puedo usar prefijos de archivos adjuntos para encontrar correos electrónicos con archivos adjuntos similares?
  14. ¿Cuáles son algunas recomendaciones para los umbrales de PhishML?

¿Cuánto tiempo lleva configurar mi plataforma PhishER?

El tiempo de configuración variará según la configuración de su servidor de correo y de si reenvía los correos electrónicos informados de forma manual o automática con el Phish Alert Button (PAB). Si su organización usa el PAB, puede comenzar con PhishER rápidamente, ya que los correos electrónicos informados se enviarán a PhishER de forma automática. Es posible reducir el tiempo de configuración desde la pestaña Rules de su plataforma PhishER, que ofrece reglas del sistema para ayudarlo a comenzar a disponer correos electrónicos rápidamente. Para obtener información sobre cómo comenzar con PhishER, consulte nuestra Guía de inicio rápido de PhishER.

¿Debo usar el Phish Alert Button (PAB) para reenviar correos electrónicos a mi bandeja de entrada de PhishER?

Como alternativa al uso de PAB, puede reenviar manualmente los correos electrónicos que informen los usuarios a una dirección de correo electrónico para informes vinculada a la plataforma PhishER de su organización. También puede descargar el archivo EML de un correo electrónico, adjuntar el archivo EML en un nuevo correo electrónico y luego enviar el correo electrónico a PhishER. PhishER reconocerá este proceso como un informe de PAB. Si la casilla Forwarded Only está seleccionada para la dirección de correo electrónico para informes en su configuración de PhishER, PhishER reconocerá este proceso como un informe manual. Este método de reenvío de correos electrónicos requiere que los correos reenviados se transmitan en un formato EML, específicamente, el formato RFC 822. Este formato incluye los encabezados completos y el cuerpo del correo electrónico original.

Para obtener más información sobre estos métodos, consulte nuestro artículo Configuración de PhishER: Cuenta.

¿Hay un límite para la cantidad de correos electrónicos para informes que puedo generar?

No, puede generar tantas direcciones de correo electrónico para informes como desee. Por ejemplo, es posible crear varias direcciones de correo electrónico para informes si su organización desea utilizar diferentes direcciones de correo electrónico para informes para distintos grupos de usuarios, instancias de Phish Alert Button (PAB) o ubicaciones de oficina.

Nota: Todos los correos electrónicos reenviados a sus direcciones de correo electrónico para informes se envían a su bandeja de entrada de PhishER.

¿Dónde puedo encontrar mis salas guardadas?

Cuando guarda una sala en PhishER, esta se almacena en Saved Querie en la página Rooms. Para obtener más información sobre las salas, consulte nuestro artículo Crear y administrar salas de PhishER.

¿Puedo filtrar mi bandeja de entrada de PhishER por una etiqueta específica?

Puede utilizar la sintaxis de consulta de Lucene para filtrar su bandeja de entrada de PhishER por una etiqueta específica. Por ejemplo, puede ingresar la siguiente consulta en la barra de búsqueda de su bandeja de entrada y esta mostrará todos los mensajes con la etiqueta Amenaza adjunta.

tags: "threat"

Para obtener más información sobre su bandeja de entrada, consulte nuestro artículo Guía de la bandeja de entrada de PhishER.

¿Cómo elimino un mensaje de mi bandeja de entrada de PhishER?

Puede seleccionar un mensaje en su bandeja de entrada de PhishER y eliminar el mensaje desde la página Message Details. Para eliminar un mensaje, siga estos pasos:

  1. En PhishER, vaya a la página Inbox.
  2. Seleccione el mensaje que desea eliminar. Se abrirá la página Message Details.
  3. En la parte derecha de la página Message Details, puede ver la barra lateral Actions and Discussion. En la pestaña Actions, haga clic en el botón Delete Message. Se abrirá la ventana emergente Delete Message?.
  4. En la ventana emergente Delete Message?, haga clic en Yes, delete it.

¿Cómo elimino de forma permanente un correo electrónico de las bandejas de entrada de mis usuarios?

Antes de poder eliminar de forma permanente un correo electrónico de las bandejas de entrada de sus usuarios, debe habilitar la configuración Allow Permanent Message Deletion en la subpestaña PhishRIP de Settings de PhishER. Una vez que la configuración esté habilitada, PhishRIP debe poner en cuarentena el correo electrónico antes de poder eliminarlo de forma permanente. Para obtener más información sobre este ajuste, consulte nuestro artículo Guía de PhishRIP.

Creé una nueva regla. ¿Esta regla afectará los mensajes que estaban en mi bandeja de entrada de PhishER antes de que se creara la regla?

No, los mensajes recibidos antes de los cambios de reglas no se verán afectados. Si desea ejecutar su nueva regla contra los mensajes recibidos antes de la creación de la regla, siga estos pasos:

  1. En PhishER, vaya a la página Inbox.
  2. Seleccione la casilla a la izquierda de un mensaje para seleccionarlo. El menú desplegable Run se mostrará en la esquina superior izquierda de la página Inbox.
  3. En el menú desplegable Run, seleccione una acción para ejecutarla contra cualquiera de los mensajes seleccionados.

¿Qué versión de YARA admite la plataforma PhishER?

PhishER actualmente es compatible con la versión 4.1.2 de YARA. Para obtener más información sobre esta versión, consulte la documentación Escribir reglas YARA Escribir reglas YARA (el enlace se abre en otra ventana).

¿Puedo usar expresiones regulares en mi regla YARA?

Sí, puede usar expresiones regulares al redactar reglas YARA. Sin embargo, el compilador de YARA no reconoce todos los comandos regex. Para obtener una lista de los comandos regex que YARA reconoce, consulte la documentación Expresiones regulares Expresiones regulares (el enlace se abre en otra ventana) de YARA.

¿Puedo abrir archivos adjuntos en PhishER de forma segura?

KnowBe4 no recomienda abrir archivos adjuntos en PhishER, aunque VirusTotal los marque como seguros. Le recomendamos que abra los archivos adjuntos en un entorno aislado para su análisis.

¿Puedo informar a un usuario cuando un mensaje está etiquetado como correo no deseado (spam)?

En PhishER, puede alertar a un usuario de que su mensaje ha sido etiquetado como correo no deseado (spam) creando una acción para notificárselo. Para crear esta acción, configure los pasos 1, 2 y 3 a fin de que coincidan con la siguiente configuración:

  1. Elija cómo debe activarse esta acción: seleccione la opción Specify Tags. Luego, seleccione Has Any y agregue todas sus etiquetas de PhishER relacionadas con el correo no deseado (spam).
  2. (Opcional) Elija la acción que se llevará a cabo en los mensajes coincidentes: seleccione las opciones Set Status, Set Priority y Set Category. Para la opción Set Status, seleccione Resolved en el menú desplegable. Para la opción Set Priority, seleccione Low en el menú desplegable. Para la opción Set Category, seleccione Spam en el menú desplegable.
  3. Elija cómo le gustaría informar esta acción: Seleccione la opción Send Email. Cuando esta opción esté seleccionada, podrá crear una respuesta de correo electrónico personalizada que se enviará automáticamente a los destinatarios que elija cuando un mensaje se etiquete como correo no deseado (spam). Para obtener más información, consulte nuestro artículo Crear una plantilla de correo electrónico personalizada en PhishER.

¿Puedo usar prefijos de archivos adjuntos para encontrar correos electrónicos con archivos adjuntos similares?

Sí, puede usar el prefijo si está incluido. Por ejemplo, si un archivo adjunto se llama “randomdoc.xml”, se aceptarían los siguientes prefijos:

  • random
  • ran
  • rando

¿Cuáles son algunas recomendaciones para los umbrales de PhishML?

A fin de obtener información sobre la configuración recomendada para los umbrales de PhishML, consulte la sección Establecer valores y umbrales de confianza de nuestro artículo Guía de PhishML.

Cómo usar PhishRIP y PhishFlip

Para obtener información sobre cómo usar PhishER y PhishFlip, consulte las siguientes preguntas:

  1. ¿Qué permisos necesito para conectar mi instancia de Microsoft 365 con PhishRIP?
  2. ¿Qué permisos necesito para habilitar PhishRIP con Google Workspace?
  3. ¿Por qué mi cuenta de administrador necesita permisos globales para habilitar PhishRIP?
  4. ¿Qué medidas de seguridad hay implementadas para garantizar que la información no se pierda o sea robada al usar PhishRIP?
  5. Cuando se inicia una campaña de PhishFlip, ¿la duración del seguimiento se establece siempre en tres días? ¿Hay alguna forma de modificar la duración del seguimiento?
  6. ¿PhishFlip funcionará con los archivos adjuntos que se encuentren en los correos electrónicos informados?

¿Qué permisos necesito para conectar mi instancia de Microsoft 365 con PhishRIP?

Para conceder a PhishRIP acceso a todos los buzones de su instancia de Microsoft 365, debe tener una cuenta de administrador de Microsoft 365 con permisos globales habilitados. Luego, puede iniciar sesión en su cuenta y aceptar los permisos necesarios para conectarse con Microsoft 365. Para obtener más información sobre los permisos requeridos, consulte nuestro artículo Guía de PhishRIP.

Nota: La información de la cuenta utilizada para iniciar sesión en Microsoft 365 no se almacenará en PhishER. Otro administrador de Microsoft 365 también puede eliminar esta dirección de correo electrónico.

¿Qué permisos necesito para habilitar PhishRIP con Google Workspace?

Para habilitar PhishRIP con Google Workspace, debe tener una dirección de correo electrónico de administrador de la cuenta de Google Workspace.

¿Por qué mi cuenta de administrador necesita permisos globales para habilitar PhishRIP?

Su cuenta de administrador debe tener permisos globales habilitados para otorgar el acceso que PhishRIP necesita para la conexión inicial a su servidor de correo. PhishRIP no utiliza permisos globales para funcionar una vez habilitado.

¿Qué medidas de seguridad hay implementadas para garantizar que la información no se pierda o sea robada al usar PhishRIP?

El equipo de InfoSec de KnowBe4 supervisa los servicios de KnowBe4 en busca de abusos y actividades sospechosas. KnowBe4 tiene controles que impiden la manipulación de consultas, las búsquedas con comodines y el acceso entre cuentas. El equipo de InfoSec ha probado estos controles para garantizar que sean eficaces.

PhishRIP se comunica con Microsoft con un token de la API de Microsoft Graph de un solo uso que no se guarda. PhishRIP tiene un número limitado de consultas fijas que se pueden hacer a una cuenta de Microsoft 365, y estas consultas deben coincidir con criterios específicos de un mensaje que ha sido informado a PhishER. Todos los mensajes, las consultas y las respuestas a consultas están cifrados. Los empleados de KnowBe4 no tienen permitido acceder a la cuenta de PhishER de una organización sin el permiso de esta.

PhishER proporciona algunas formas de evitar que su información se pierda o sea robada al usar PhishRIP.

En primer lugar, puede limitar el acceso de los usuarios que agregue a la plataforma PhishER creando funciones de seguridad. Tiene la opción de usar funciones de seguridad para conceder acceso limitado o completo a sus usuarios para las siguientes áreas de la consola:

  • Salas
  • Bandeja de entrada
  • Reglas
  • Acciones
  • PhishRIP
  • Configuración

Al usar funciones de seguridad, puede especificar qué administradores tienen acceso para poder iniciar consultas de PhishRIP.

Luego, tiene la opción de especificar sus criterios personalizados, que PhishER utiliza para eliminar los correos electrónicos que son similares a cualquier correo electrónico potencialmente amenazante que haya sido enviado a PhishER a través del Phish Alert Button (PAB).

Por último, si un mensaje se pone en cuarentena, y usted descubre que, en realidad, no es peligroso, puede restaurar el mensaje desde su plataforma PhishER.

Cuando se inicia una campaña de PhishFlip, ¿la duración del seguimiento se establece siempre en tres días? ¿Hay alguna forma de modificar la duración del seguimiento?

Sí. De forma predeterminada, todas las campañas de PhishFlip están establecidas para tener una duración de seguimiento de tres días. Actualmente, esta configuración no se puede modificar.

¿PhishFlip funcionará con los archivos adjuntos que se encuentren en los correos electrónicos informados?

Sí. PhishFlip convertirá el archivo adjunto en una plantilla HTML.

Integraciones

Para obtener información que lo ayude con las integraciones de PhishER, consulte las siguientes preguntas:

  1. ¿Qué puedo hacer cuando integro PhishER con mi consola de KSAT?
  2. ¿Qué formato de la certificación PEM TLS se requiere para la configuración de la conexión TLS de PhishER para Syslog?
  3. ¿Qué significan las etiquetas VT_Scanned?
  4. ¿Por qué la API pública de VirusTotal alcanza el número máximo de solicitudes cuando no recibí correos electrónicos con un total de 500 archivos o URL?

¿Qué puedo hacer cuando integro PhishER con mi consola de KSAT?

La integración entre la plataforma PhishER y la consola de KSAT le permite comprender mejor cómo interactúan sus usuarios con correos electrónicos de phishing reales. En su plataforma PhishER, es posible configurar su integración con su consola de KSAT para actualizar eventos en cronogramas de usuarios de KSAT. Una vez que determinadas acciones de PhishER se informan a su consola de KSAT, puede crear un Grupo inteligente que se dirija a usuarios específicos en función de cómo trataron los correos electrónicos de phishing reales. Por ejemplo, puede crear un Grupo inteligente que busque usuarios que no informaron amenazas. Luego, tiene la opción de usar esta información para crear una campaña de capacitación específica y reiterar la importancia de usar el Phish Alert Button (PAB).

Para obtener más información, consulte la sección Consola de KSAT de nuestro artículo Configuración de PhishER: Integraciones.

¿Qué formato de la certificación PEM TLS se requiere para la configuración de la conexión TLS de PhishER para Syslog?

El formato de la certificación de seguridad de la capa de transporte (TLS) del correo con privacidad mejorada (Privacy Enhanced Mail, PEM) debe incluir el encabezado, una nueva línea, la información del certificado, una nueva línea y el pie de página. A continuación, verá un ejemplo del formato aceptado:

-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

¿Qué significan las etiquetas VT?

Las etiquetas VT son etiquetas de VirusTotal, que se aplican a sus mensajes después de un análisis de VirusTotal. Para conocer cómo integrar su cuenta de VirusTotal con su plataforma PhishER, consulte nuestro artículo Integrar VirusTotal con su plataforma PhishER.

Para obtener más información sobre cada etiqueta VT, consulte la siguiente lista:

  • VT_Scanned: esta etiqueta se agrega a su mensaje cuando se completa un análisis de VirusTotal, y el mensaje no se evalúa como malicioso.
  • VT_Bypassed: esta etiqueta se agrega a su mensaje cuando no se recibió respuesta de VirusTotal dentro del período de espera establecido.
  • VT_Pending: esta etiqueta se agrega a su mensaje cuando PhishER está esperando una respuesta de VirusTotal.
  • VT_Bad: esta etiqueta se agrega a su mensaje cuando VirusTotal evalúa uno o más elementos analizados como maliciosos.

¿Por qué la API pública de VirusTotal alcanza el número máximo de solicitudes cuando no recibí correos electrónicos con un total de 500 archivos o URL?

Para ejecutar un análisis, PhishER envía cada archivo o URL en cada correo electrónico a VirusTotal como una consulta al terminal de API. Luego, PhishER envía una llamada API para cada archivo o URL a VirusTotal para determinar si los resultados del análisis están listos para cada elemento. Si VirusTotal no está listo para proporcionar los resultados del análisis, PhishER debe enviar llamadas API adicionales. Como resultado, PhishER debe enviar un mínimo de 3 solicitudes por archivo o URL antes de poder volver a intentar una consulta.

Solución de problemas

Para obtener información de solución de problemas sobre PhishER, consulte las siguientes preguntas:

  1. ¿Qué sucede cuando se elimina una carpeta de cuarentena?
  2. ¿Por qué los correos electrónicos informados tienen valores nulos?

¿Qué sucede cuando se elimina una carpeta de cuarentena?

Respuesta: Cuando se elimina una carpeta de cuarentena, se eliminará todo lo que contenga. Sin embargo, puede regenerar la carpeta de cuarentena eliminada ejecutando una nueva consulta de PhishRIP. Para obtener más información, consulte nuestro artículo Guía de PhishRIP.

¿Por qué los mensajes informados tienen valores nulos?

Si su organización utiliza el filtrado de correo no deseado (spam) Cisco Ironport, y usted observa valores nulos en los mensajes informados, es posible que deba crear una excepción en Cisco Ironport. Puede crear esta excepción para los correos electrónicos salientes enviados a su dirección de correo electrónico para informes de PhishER.

Para recibir más asistencia, le recomendamos que se comunique con el equipo de soporte de Cisco Ironport.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 15 de 15

¿No encuentra lo que busca?

Contacte a soporte