En este artículo, aprenderá sobre la configuración de la evasión de phishing mediante falsos positivos en la sección Phishing de la Configuración de la cuenta de su consola de KSAT. Si está ejecutando una campaña de phishing y encuentra resultados inusuales, es posible que esté experimentando clics falsos. Cuando analice los resultados de la campaña, si ve una tasa de clics del 100 % o direcciones IP que no pertenecen a su organización, esto puede ser un indicador de falsos positivos. La configuración de Evasión de phishing mediante falsos positivos puede minimizar la incidencia de falsos positivos y darle así resultados más precisos de la campaña de phishing. Para obtener más información sobre los clics originados mediante bots, consulte la sección Cómo identificar los clics originados mediante bots de nuestro artículo Cómo identificar y abordar los falsos positivos.

Los falsos positivos en las simulaciones de phishing a menudo surgen a partir de prácticas inadecuadas con las listas seguras, interferencia con el analizador de enlaces o políticas de seguridad incorrectamente configuradas. Con el fin de minimizar estos problemas, asegúrese de que sus filtros de correo no deseado (spam) estén correctamente configurados para excluir los correos electrónicos de phishing de KnowBe4 del análisis de enlaces y de las actividades de investigación.

Verifique que los hosts inteligentes y las políticas de entrega avanzada coincidan con la configuración de su campaña. Durante la investigación de falsos positivos desencadenados por analizadores de enlaces, revise la configuración de sus listas seguras y colabore con los administradores de TI para confirmar que la configuración de seguridad cumpla las normas de la organización y a la vez reduzca la cantidad de falsos positivos.

Cómo habilitar la configuración de la evasión de phishing mediante falsos positivos

Hacemos referencia a los errores de phishing que no son provocados porque un usuario haga clic en un enlace de phishing como falso positivo. Si no se resuelven, los falsos positivos pueden hacer que los resultados de la campaña de phishing de sus informes de la Prueba de seguridad contra el phishing (PST) sean imprecisos.

La evasión de phishing mediante falsos positivos funciona a través del seguimiento de cuando se accede a un enlace oculto enviado como parte de una Prueba de seguridad contra el phishing (PST). Los errores de phishing que tienen lugar después de que se accede a este enlace oculto se marcan e ignoran si ocurren dentro de la Duración de errores del bot ignorados configurada. Además, las direcciones IP para los errores asociados a los bots y los errores reales en pruebas de phishing se comparan ajustando la configuración de Coincidencia de dirección IP para errores del bot ignorados.

Puede habilitar y personalizar la configuración de Evasión de phishing mediante falsos positivos en la sección Phishing de la Configuración de la cuenta. Consulte la lista y las capturas de pantalla a continuación para conocer más información sobre las configuraciones en esta sección:

1. Ignorar errores de phishing asociados a los bots: seleccione esta casilla para ignorar los errores de phishing asociados a los bots que ocurren justo después de acceder a un enlace oculto. Cuando esté habilitada esta configuración, aparecerán las opciones Duración de errores del bot ignorados y Coincidencia de dirección IP para errores del bot ignorados.

   

2. Duración de errores del bot ignorados: aquí puede seleccionar la cantidad de tiempo que transcurre luego de que se accede a un enlace oculto, durante el cual se deben ignorar los errores subsiguientes de phishing asociados a los bots. Las opciones disponibles son Breve (5 segundos), Moderado (10 segundos) y Extendido (30 segundos).
3. Coincidencia de dirección IP para errores del bot ignorados: puede seleccionar criterios de coincidencia para ignorar los errores de phishing asociados a los bots en función de la dirección IP del enlace oculto al cual se accede, en comparación con la dirección IP de los errores de phishing potenciales asociados con bots. Las opciones disponibles son Sin coincidencia, Primeros dos octetos y Coincidencia exacta. La opción Primeros dos octetos hará coincidir las direcciones IP en función de su identificador de red de Clase B. Por ejemplo, si la dirección IP es 54.70.53.60, buscará direcciones IP dentro de la subred 54.70.0.0/16.

   

Cómo ver los detalles de los errores ignorados de phishing asociados a los bots

Después de habilitar la configuración Ignorar errores de phishing asociados a los bots, los errores ignorados en sus pruebas de phishing se pueden ver en la página Usuarios > Errores ignorados de sus campañas de phishing.

Consulte la captura de pantalla y la lista a continuación para ver una explicación de los datos que figuran en esta sección:

1. Nombre y correo electrónico: en esta columna se muestran el nombre y la dirección de correo electrónico del usuario del error ignorado asociado a los bots.
2. Fecha y hora: en esta columna se muestran la fecha y la hora del error ignorado asociado a los bots.
3. Intervalo de evento del bot: en esta columna figura la cantidad de tiempo (en segundos) que transcurrió luego de que se accedió a un enlace oculto, durante el cual se ignoraron los errores subsiguientes de phishing asociados a los bots.
4. Tipo de error ignorado: en esta columna se muestra el tipo de error ignorado asociado a los bots, que en este caso es “Se hizo clic”.
5. Dirección IP: en esta columna se muestra la dirección IP del error ignorado asociado a los bots.
6. Explorador: en esta columna se indica el explorador del error asociado a los bots, por ejemplo, Chrome.
7. Versión del explorador: en esta columna se indica la versión del explorador que se utilizó en el error asociado a los bots.
8. SO: en esta columna figura el sistema operativo que se utilizó en el error asociado a los bots, por ejemplo, Mac.
9. Eventos del bot: en esta columna se muestra la cantidad de errores ignorados para este usuario. Observe que este contador llega como máximo a 5, y los eventos del bot adicionales no actualizarán el resto de los datos de esta fila. Cuando esto ocurra, verá el valor “5+” en la columna Eventos del bot.
10. Convertir a Error de campaña (ícono de papelera): cuando seleccione este ícono, la consola convertirá los errores ignorados asociados a los bots en errores de la campaña de phishing. A continuación se explica más sobre cómo opera esta función.
11. Vista previa (ícono de sobre): cuando se selecciona este ícono, aparecerá una vista previa del correo electrónico de la campaña de phishing.

Cómo convertir los errores ignorados en errores reales

Se pueden convertir los errores ignorados asociados con los bots a errores reales de la campaña de phishing, si considera que ocurrió un falso negativo. Si cree que un usuario cometió un error en una prueba de phishing y la consola muestra un evento de error ignorado en lugar de un error de phishing, usted puede convertir el error ignorado asociado con los bots en un error de la campaña de phishing.

Para completar este proceso de conversión, siga estos pasos:

1. En la consola de KSAT, diríjase a Phishing > Campañas, y seleccione su campaña de phishing.
2. Vaya a Usuarios.
3. A la derecha de la sección Usuarios, haga clic en Error ignorado.
4. Cuando vea el error ignorado que desea convertir a un error real de phishing, haga clic en el ícono de papelera a la derecha de la pantalla.

   

5. Se le preguntará si desea convertir el evento del bot en un error de la campaña, ya que esta acción no se puede revertir.

   

6. Haga clic en el botón Continuar.
7. Un error ignorado solo se puede convertir en un error de phishing una vez. El ícono de papelera pasará a verse en color gris luego de que el error ignorado se convierta a un error de phishing.

   

8. El Tipo de error ignorado estará visible después de que se convierta en un error de phishing. Por ejemplo, en la siguiente captura de pantalla, el Tipo de error ignorado es un error del tipo “Se hizo clic”.