Preguntas frecuentes y solución de problemas

Compartir

¿Este artículo es útil?

Última actualización:

Cómo identificar y abordar los falsos positivos

Si está ejecutando una campaña de phishing y encuentra resultados inusuales, es posible que esté experimentando clics falsos. Cuando analice los resultados de la campaña, si ve una tasa de clics del 100 % o direcciones IP que no pertenecen a su organización, esto puede ser un indicador de falsos positivos. A continuación le enseñamos algunos motivos comunes de los falsos positivos, y consejos para manejarlos.

¿Qué se considera un clic?

Los clics son lo que nosotros registramos cuando un usuario hace clic en un enlace de phishing dentro de un correo electrónico simulado. Sin embargo, hay otras maneras en las que se registra un clic. Hacemos referencia a los clics que no son provocados porque un usuario haga clic en un enlace de phishing como falso positivo. En la siguiente lista se indican algunos motivos comunes de los falsos positivos:

  • Uso inadecuado de listas seguras en el filtro de correo no deseado (spam). El uso inadecuado de listas seguras puede provocar clics automáticos o clics de los bots. Para aprender a detectar si su clic fue un clic de bot, consulte la sección Cómo identificar los clics de los bots a continuación.
  • Es posible que necesite más listas seguras. Puede que su filtro de correo no deseado (spam) necesite más listas seguras para poder excluir los correos electrónicos de phishing simulado del análisis de enlaces o del sondeo de enlaces.
  • Los filtros de correo con paquetes de complementos de seguridad no están en la lista segura.
  • Seguridad de terminal o software antivirus.
  • La vista previa de los enlaces funciona como parte de los sistemas operativos de los dispositivos móviles.
  • Software de seguridad que se incorpora en los sistemas de administración del dispositivo móvil (MDM).
  • Correos electrónicos de phishing que se reenvían de un usuario a otro. Esta acción podría registrarse como un clic porque el servidor de correo puso en un entorno de prueba el correo electrónico reenviado y lo controló, o porque el destinatario del correo electrónico reenviado hizo clic en el enlace.

Cómo identificar los clics de los bots

Las listas seguras inadecuadas o insuficientes pueden provocar clics de los bots. Los clics de los bots se generan a partir de un proceso automatizado dentro de su infraestructura. Puede identificar un clic de bot analizando los resultados de su campaña de phishing. A continuación le mostramos algunas maneras de identificar los clics de los bots:

  • Los tiempos que figuran en las columnas Entregado, Abierto y Clic son todos iguales, o tienen una diferencia de un minuto entre sí.
  • La pestaña Se hizo clic indica que el explorador o la versión del explorador no se utiliza en su entorno o está desactualizada.
  • El sistema operativo que aparece es uno para el cual los usuarios no tienen acceso en su entorno.
  • La dirección IP le pertenece a un proveedor de uno de sus productos de seguridad.

Direcciones IP inesperadas en los resultados de la campaña

Cuando se registra un clic en la consola, se registra la dirección IP desde la cual se originó el clic. A continuación le enseñamos algunos ejemplos de por qué puede llegar a ver direcciones IP inesperadas:

  • Si un usuario utiliza un dispositivo móvil y hace clic en el enlace, el clic podría figurar como proveniente del proveedor del servicio móvil.
  • Si un usuario está usando la red wifi de su hogar, el clic podría registrarse como proveniente de la dirección IP del proveedor de Internet (ISP, por sus siglas en inglés).
  • Si un usuario está usando una red wifi pública, el clic se podría registrar como proveniente de la ubicación donde estaba el usuario cuando hizo clic.
  • Si usted o uno de sus productos utiliza un proveedor de servicios alojados, como AWS, la dirección IP podría ser de otra ubicación, o incluso de otro país. Ciertos procesos de análisis de enlaces podrían no tener lugar de parte del cliente, y el enlace podría pasar al centro administrativo de análisis o procesamiento del proveedor de seguridad.
  • Cuando la URL se envía a VirusTotal, la dirección IP podría provenir de otra ubicación. Este enlace podría enviarse automáticamente desde un producto que utiliza usted o su usuario. Cuando se envía una URL a VirusTotal, se analiza la URL para determinar si se debe agregar a la definición de amenazas como hostil. A veces, el análisis de enlaces es instantáneo. Otras veces, requiere varias horas. Estas direcciones IP podrían registrarse como un proveedor de seguridad o como un ISP.

Causas comunes de los falsos positivos

Los falsos positivos en las simulaciones de phishing suelen originarse a partir de tres fuentes principales:

  • Interferencia del analizador de enlaces: herramientas de seguridad que seleccionan automáticamente los enlaces antes de que los usuarios vean los correos electrónicos.
  • Uso inadecuado de las listas seguras: los dominios de KnowBe4 no están adecuadamente excluidos del análisis de seguridad.
  • Políticas de seguridad mal configuradas: filtros de correo no deseado (spam) o reglas de flujo de correo que entran en conflicto con la entrega de pruebas de phishing.

Con el fin de minimizar la cantidad de falsos positivos, configure sus filtros de correo no deseado (spam) para excluir los correos electrónicos de phishing de KnowBe4 de los análisis y sondeos de enlaces. Asegúrese de que los hosts inteligentes y las políticas de entrega avanzada coincidan con la configuración de su campaña. Durante la investigación de problemas relacionados con el analizador de enlaces, revise la configuración de sus listas seguras con los administradores de TI para alcanzar un equilibrio entre requisitos de seguridad y métricas de capacitación precisas.

Cómo impedir los falsos positivos

El paso más importante para impedir los falsos positivos es conocer su infraestructura. Debido a la gran variedad de productos de software de seguridad, debería revisar la documentación del proveedor de software o servicios que utilice con el fin de averiguar si hay alguna sección sobre la exclusión de enlaces o dominios de la inspección, el análisis o el sondeo de enlaces.

También puede ejecutar campañas de prueba con varias plantillas diferentes en equipos que tengan la misma configuración que las estaciones de trabajo de los usuarios. Estas campañas de prueba pueden servirle para descubrir si su configuración actual puede generar falsos positivos.

Asegúrese de que los usuarios reporten los correos electrónicos únicamente utilizando el Phish Alert Button, en lugar del botón de phishing del servidor u otra función de reporte de terceros.

Controle si sus productos de seguridad tienen la opción de agregar listas seguras adicionales. Si es posible, coloque en listas seguras nuestros dominios del enlace de phishing y nuestros dominios de página de destino. Este paso adicional sirve para evitar los falsos positivos. Para ver una lista de nuestros dominios de phishing raíz, vaya a la pestaña Phishing de su consola de KnowBe4 y seleccione la subpestaña Dominios. Para obtener más información sobre la pestaña Dominios, consulte nuestro artículo Administrar los dominios del enlace de phishing.

Si sigue teniendo problemas con los falsos positivos, comuníquese con nuestro equipo de soporte equipo de soporte.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 9 de 13

¿No encuentra lo que busca?

Contacte a soporte