La función Blocklist (Lista de bloqueo) de PhishER ayuda a evitar que los correos electrónicos maliciosos o de spam lleguen a la bandeja de entrada de los usuarios. Al revisar los correos electrónicos denunciados por los usuarios, puede actualizar la lista de bloqueo para que envíe información sobre las amenazas o el spam a su servidor de correo de Microsoft 365.

Una vez que habilite la lista de bloqueo y la conecte a su servidor de correo, podrá crear y gestionar las entradas de su lista de bloqueo. Cada entrada incluirá información que usará su servidor para filtrar futuros mensajes. Por ejemplo, si crea una entrada para una dirección de correo electrónico maliciosa, el servidor de trasladará los futuros correos electrónicos de esa dirección a las carpetas de correo no deseado de los usuarios de forma automática.

Para obtener más información sobre la Blocklist (lista de bloqueo) de PhishER, lea las siguientes secciones.

Habilitación y autorización de la Blocklist de PhishER

Para poder crear entradas, primero deberá habilitar la Blocklist de PhishER. También deberá autorizarla. Para ello, tiene que asignar el rol de administrador de Exchange a la aplicación Blocklist (Lista de bloqueo) de PhishER en su cuenta de Microsoft 365 con Microsoft Entra ID.

Para habilitar y autorizar la lista de bloqueo, siga estos pasos:

1. En la consola PhishER, diríjase a Settings (Configuración) > Blocklist (Lista de bloqueo).
2. Si un servidor de correo de Microsoft 365 no está conectado a su lista de bloqueo, haga clic en Connect to Microsoft 365 (Conectar con Microsoft 365) y añada una conexión.
3. Active el botón de alternancia junto a Disabled (Deshabilitado) en la parte superior de la página y, después, haga clic en Save (Guardar).
4. En su portal Microsoft Entra ID, asigne el rol de Administrador de Exchange a la aplicación Blocklist de PhishER.
   
   
   Nota:Para obtener más información sobre cómo habilitar la lista de bloqueo, consulte la sección Lista de bloqueo en el artículo Configuración de PhishER: integraciones. Para obtener más información sobre la asignación del rol, consulte Cómo asignar el rol de Exchange Administrator (Administrador de Exchange) a la aplicación PhishER Blocklist.

Creación de entradas de la Blocklist de PhishER

Puede crear entradas y añadirlas a la lista de bloqueo desde la pestaña Blocklist (Lista de bloqueo) o la página Message Details (Detalles del mensaje). Si ha habilitado PhishML, también puede usar las etiquetas de PhishML para ayudar a dar prioridad a los mensajes con valores que quiere añadir a la lista de bloqueo.

Para aprender a crear entradas desde la pestaña Blocklist (Lista de bloqueo) o desde la página Message Details (Detalles del mensaje), consulte las subsecciones a continuación.

Creación de entradas desde la pestaña Blocklist (Lista de bloqueo)

Para crear una nueva entrada desde la pestaña Blocklist (Lista de bloqueo), siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. Diríjase a Blocklist (Lista de bloqueo) > Your Synced Entries (Sus entradas en sincronización).
3. Haga clic en el botón Create Blocklist Entry (Crear entrada de la lista de bloqueo) en la esquina superior derecha de la página. Se abrirá la ventana emergente Create Blocklist Entry (Crear entrada de la lista de bloqueo).
4. En la ventana emergente, rellene los campos para crear su entrada. Para obtener más información, consulte la captura de pantalla y la lista que se muestran a continuación:
   
   1. Attribute (Atributo): seleccione el atributo que quiere usar para su entrada. El atributo es el tipo de información que quiere que su servidor de correo filtre. Marque la opción Sender (Remitente) para usar un dominio o una dirección de correo electrónico de remitente como valor. Por ejemplo, puede introducir una dirección de correo electrónico completa, como «nombredeusuario@dominio.com», o un nombre de dominio, como «dominio.com», en Value (Valor). Marque la opción URL para usar una URL completa o un nombre de host como valor. Por ejemplo, puede introducir «www.nombredelsitio.com/páginadelsitio» o «www.nombredelsitio.com» como Value (Valor). Marque la opción File Hash (Hash de archivo) para usar un hash de archivo SHA-256 como valor.
   2. Valor: en este campo, introduzca la información específica que hará que el servidor de correo filtre un mensaje. Por ejemplo, si marca Sender (Remitente) en el campo Attribute (Atributo), deberá introducir la dirección de correo electrónico del remitente en este campo.
   3. Duración: desde este menú desplegable, seleccione el tiempo que quiere que la entrada permanezca en la lista de bloqueo. Transcurrido este tiempo, las entradas se eliminarán de la lista de bloqueo de forma automática. De forma predeterminada, se establece una duración de 30 días, que es similar a la duración predeterminada para la lista de bloqueados y permitidos del espacio empresarial de Microsoft.
      Nota: Si la opción Allow Blocklist entries without an expiration date (Permitir entradas en la lista de bloqueo sin fecha de caducidad) está habilitada en la subpestaña Preferences (Preferencias) de Settings (Configuración) en PhishER, estará disponible la opción Never Expire (No caduca nunca).
      Los ciberdelincuentes pueden cambiar sus métodos de ataque rápidamente; por este motivo, es importante que su lista de bloqueo esté actualizada. Establecer una duración le permitirá actualizar su lista de bloqueo con la información obtenida de los mensajes que los usuarios han denunciado recientemente.
5. Haga clic en Save (Guardar) para añadir la entrada a la lista de bloqueo.

Una vez creada la entrada, puede supervisar su estado y otros detalles. Para obtener más información, consulte la sección Supervisión de las entradas de la lista de bloqueo de este artículo.

Creación de entradas desde la página Message Details (Detalles del mensaje)

Para crear una nueva entrada desde la página Message Details (Detalles del mensaje), siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. Diríjase a la pestaña Inbox (Bandeja de entrada).
3. Haga clic en un mensaje para abrir la página Message Details (Detalles del mensaje).
4. Haga clic en el icono de bloqueo rojo junto al atributo. Se abrirá la ventana emergente Create Blocklist Entry (Crear entrada de la lista de bloqueo).
5. En la ventana emergente, rellene los campos para crear su entrada. Para obtener más información, consulte la captura de pantalla y la lista que se muestran a continuación:
   
   1. Attribute (Atributo): seleccione el atributo que quiere usar para su entrada. El atributo es el tipo de información que quiere que su servidor de correo filtre. Marque la opción Sender (Remitente) para usar un dominio o una dirección de correo electrónico de remitente como valor. Por ejemplo, puede introducir una dirección de correo electrónico completa, como «nombredeusuario@dominio.com», o un nombre de dominio, como «dominio.com», en Value (Valor). Marque la opción URL para usar una URL completa o un nombre de host como valor. Por ejemplo, puede introducir «www.nombredelsitio.com/páginadelsitio» o «www.nombredelsitio.com» como Value (Valor). Marque la opción File Hash (Hash de archivo) para usar un hash de archivo SHA-256 como valor.
   2. Valor: en este campo, introduzca la información específica que hará que el servidor de correo filtre un mensaje. Por ejemplo, si marca Sender (Remitente) en el campo Attribute (Atributo), deberá introducir la dirección de correo electrónico del remitente en este campo.
   3. Duración: desde este menú desplegable, seleccione el tiempo que quiere que la entrada permanezca en la lista de bloqueo. Transcurrido este tiempo, las entradas se eliminarán de la lista de bloqueo de forma automática. De forma predeterminada, se establece una duración de 30 días, que es similar a la duración predeterminada para la lista de bloqueados y permitidos del espacio empresarial de Microsoft.
      Nota: Si la opción Allow Blocklist entries without an expiration date (Permitir entradas en la lista de bloqueo sin fecha de caducidad) está habilitada en la subpestaña Preferences (Preferencias) de Settings (Configuración) en PhishER, estará disponible la opción Never Expire (No caduca nunca).
      Los ciberdelincuentes pueden cambiar sus métodos de ataque rápidamente; por este motivo, es importante que su lista de bloqueo esté actualizada. Establecer una duración le permitirá actualizar su lista de bloqueo con la información obtenida de los mensajes que los usuarios han denunciado recientemente.
6. Haga clic en Save (Guardar) para añadir la entrada a la lista de bloqueo.

Una vez creada la entrada, puede supervisar su estado y otros detalles. Para obtener más información, consulte la sección Supervisión de las entradas de la lista de bloqueo de este artículo.

Supervisión de entradas de la Blocklist de PhishER

En la subpestaña Your Syncing Entries (Sus entradas en sincronización), puede supervisar las entradas de la lista de bloqueo. Las entradas se ordenan en función de sus valores.

Una vez que cree entradas, estas se mostrarán en la subpestaña Your Syncing Entries (Sus entradas en sincronización) de la pestaña Blocklist (Lista de bloqueo). También puede eliminar entradas y consultar el estado de sincronización de cada una en sus servidores de correo.

Para obtener más información sobre esta subpestaña, consulte la captura de pantalla y la lista que se muestran a continuación:

1. Filter by Attribute (Filtrar por atributo): puede usar estos filtros para ver las entradas que tienen un atributo específico.
   Nota: La Blocklist de PhishER tiene un límite de 500 entradas por Sender (Remitente), URL y atributo de File Hash (Hash de archivo).
2. Filter by Status (Filtrar por estado): puede usar estos filtros para ver las entradas que cuentan con un estado específico.
3. Filter by Entry Type (Filtrar por tipo de entrada): si tiene habilitada la Global Blocklist, puede usar estos filtros para ver únicamente las entradas de la Global Blocklist o las entradas personalizadas de su Blocklist de PhishER.
4. Valor: esta columna muestra el valor de la entrada. Los valores pueden ser un hash de archivo, una URL o una dirección del remitente. Su servidor de correo usará este valor para filtrar cualquier correo electrónico que tenga el mismo valor. Para obtener más información sobre la forma en que se filtrarán los correos electrónicos, consulte la siguiente lista:
   • URL or File Hash (URL o hash de archivo): si un correo electrónico incluye un valor de URL o hash de archivo que coincide con una entrada, su servidor de correo trasladará automáticamente el mensaje a la carpeta Quarantine (Cuarentena).
   • Sender (Remitente): Si un correo electrónico incluye un valor de remitente que coincide con una entrada, el servidor de correo traslada automáticamente el mensaje a la carpeta de correo no deseado.
   Consejo:También puede hacer clic en un valor de la columna para ver la página Blocklist Audit Log (Registro de auditoría de la lista de bloqueo). Para obtener más información, consulte la sección Revisión del registro de auditoría de este artículo.
5. Estado: esta columna muestra el estado de la entrada. Para obtener más información sobre los estados, consulte la siguiente lista:
   • Pending (Pendiente): este estado indica que la entrada se está añadiendo o eliminando de la lista de bloqueo.
   • Active (Activa): este estado indica que la entrada se ha añadido a la lista de bloqueo y se ha sincronizado con el servidor de correo vinculado.
   • Incomplete (Sin completar): este estado indica que una entrada se ha añadido a la lista de bloqueo y se ha sincronizado con uno o varios servidores de correo vinculados, pero no con todos.
   • Failed (Error): este estado indica que la entrada no se ha añadido ni sincronizado correctamente. Si cuenta con varios servidores de correo conectados a su lista de bloqueo y una entrada no se sincroniza en todos correctamente, esta se mostrará con el estado Failed (Error).
6. Created By (Creada por): esta columna indica quién ha creado la entrada. Se mostrará Admin (Administrador) si un administrador de PhishER creó la entrada para su Blocklist de PhishER. Se mostrará KnowBe4 si el equipo del laboratorio de investigación de amenazas de KnowBe4 creó la entrada para la Global Blocklist.
7. Created On (Fecha de creación): esta columna muestra la fecha y la hora en que se añadió la entrada a la lista de bloqueo.
8. Expires On (Fecha de caducidad): esta columna muestra la fecha y la hora en que la entrada se eliminará de la lista de bloqueo de forma automática.
   Nota: La Blocklist de PhishER se sincronizará con su servidor de correo de Microsoft 365 cada diez minutos. Durante este tiempo, las entradas pendientes en la lista de bloqueados y permitidos del espacio empresarial de Microsoft 365 se añadirán a la subpestaña Your Syncing Entries (Sus entradas en sincronización) en la consola PhishER. Las entradas existentes en la lista de bloqueados y permitidos del espacio empresarial pueden tardar hasta 24 horas en sincronizarse con su Blocklist de PhishER. En la columna Expires On (Fecha de caducidad), una entrada sincronizada mostrará la fecha y la hora a las que se eliminará de ambas listas de bloqueo. Si las entradas de la lista de bloqueados y permitidos del espacio empresarial o las entradas de la Blocklist de PhishER no incluyen fecha de caducidad, la columna Expires On (Fecha de caducidad) se mostrará como Never Expires (No caduca nunca).
9. Actions (Acciones): en esta columna, puede hacer clic en el icono de la papelera para abrir la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo). A continuación, podrá eliminar una entrada de su Blocklist de PhishER. También puede eliminar o ignorar una entrada para evitar que se añada a su Blocklist de PhishER. Para obtener información sobre entradas ignoradas, consulte la subsección Omisión de entradas a continuación.

Omisión de entradas

Si quiere evitar que las entradas se bloqueen en sus servidores de correo, puede añadirlas a sus entradas ignoradas. No puede añadir las entradas ignoradas a su Blocklist de PhishER. El dominio de su organización se ignora automáticamente y no se puede añadir manualmente a sus entradas ignoradas.

Cuando ignore una entrada, cualquier otra de su Blocklist de PhishER que coincida se marcará con el estado Pending (Pendiente) para indicar que se va a eliminar. No puede crear una entrada coincidente en su lista de bloqueo a menos que la entrada ignorada se elimine en la subpestaña Your Ignored Entries (Sus entradas ignoradas).

Para ignorar una entrada de la lista de bloqueo existente, siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. Diríjase a Blocklist (Lista de bloqueo) > Your Synced Entries (Sus entradas en sincronización).
3. Busque la entrada que desea ignorar.
4. Haga clic en el icono de la papelera junto a dicha entrada en la columna Actions (Acciones). Se abrirá la ventana emergente Delete Blocklist Entry (Eliminar entrada de la lista de bloqueo).
5. En la ventana emergente, haga clic en Delete and Ignore (Eliminar e ignorar). Se añadirá una entrada ignorada a la pestaña Your Ignored Entries (Sus entradas ignoradas) y la entrada de la lista de bloqueo se marcará con el estado de pendiente para indicar que se va a eliminar.

Para crear una entrada ignorada desde la subpestaña Your Ignored Entries (Sus entradas ignoradas), siga estos pasos:

1. Inicie sesión en la consola PhishER.
2. Diríjase a Blocklist (Lista de bloqueo) > Your Ignored Entries (Sus entradas ignoradas).
3. Haga clic en el botón Create Ignored Entry (Crear entrada ignorada) en la esquina superior derecha de la página. Se abrirá la ventana emergente Create Ignored Entry (Crear entrada ignorada).
4. En la ventana emergente, cree la entrada ignorada. Para obtener más información, consulte la captura de pantalla y la lista que se muestran a continuación:
   1. Attribute (Atributo): seleccione el tipo de atributo que desea usar para la entrada ignorada. Marque la opción Sender (Remitente) para usar un dominio o una dirección de correo electrónico de remitente como valor. Por ejemplo, puede introducir una dirección de correo electrónico completa, como «nombredeusuario@dominio.com», o un nombre de dominio, como «dominio.com», en Value (Valor). Marque la opción URL para usar una URL completa o un nombre de host como valor. Por ejemplo, puede introducir «www.nombredelsitio.com/páginadelsitio» o «www.nombredelsitio.com» como Value (Valor). Marque la opción File Hash (Hash de archivo) para usar un hash de archivo SHA-256 como valor.
   2. Valor: en este campo, introduzca el valor específico que desee para evitar el bloqueo en su servidor de correo. Por ejemplo, si marca Sender (Remitente) en el campo Attribute (Atributo), deberá introducir la dirección de correo electrónico del remitente en este campo.
   
5. Haga clic en Save (Guardar) para añadir la entrada a sus entradas ignoradas.

En la subpestaña Your Ignored Entries (Sus entradas ignoradas), puede supervisar sus entradas ignoradas. Para obtener más información sobre esta subpestaña, consulte la captura de pantalla y la lista que se muestran a continuación:

1. Search… (Buscar…): puede usar este campo para filtrar las entradas ignoradas a través de consultas Lucene.
   
   
   Nota:Para buscar entradas con valores similares, debe utilizar caracteres comodín. Por ejemplo, puede buscar «*yahoo.com» para encontrar todos los valores que contengan «yahoo.com». Para obtener más información, consulte el artículo Cómo utilizar la sintaxis de consultas Lucene.
2. Filter by Attribute (Filtrar por atributo): puede usar estos filtros para ver las entradas que tienen un tipo de atributo específico.
3. Valor: esta columna muestra el valor de la entrada.
4. Created On (Fecha de creación): esta columna muestra la fecha y la hora a las que se añadió la entrada ignorada.
5. Actions (Acciones): en esta columna, puede hacer clic en el icono de la papelera para eliminar una entrada ignorada. Si elimina una entrada ignorada, podrá usar el valor de la entrada para crear una nueva en su Blocklist de PhishER.

Revisión del registro de auditoría

En su consola PhishER, puede dirigirse a Blocklist (Lista de bloqueo) > subpestaña Audit Log (Registro de auditoría) para consultar el registro de auditoría. Su registro de auditoría incluye la actividad de la Blocklist de PhishER y la Global Blocklist, como por ejemplo cuándo se crearon, eliminaron y sincronizaron las entradas con sus servidores de correo.

Para obtener más información sobre esta subpestaña, consulte la captura de pantalla y la lista que se muestran a continuación:

1. Timestamp (Marca de tiempo): esta columna muestra la fecha y la hora de ejecución de la acción de la columna Event Action (Acción del evento).
2. Event Type (Tipo de evento): esta columna muestra el tipo de acción que tuvo lugar. Para obtener más información sobre los tipos de eventos, consulte la siguiente lista:
   • Entry Updated (Entrada actualizada): este tipo indica que una entrada se ha creado o eliminado.
   • Entry Synced (Entrada sincronizada): este tipo indica que una entrada se ha sincronizado con la Blocklist de PhishER.
   • Blocklist Synced (Lista de bloqueo sincronizada): este tipo indica que todas las entradas se han sincronizado para todos los servidores de correo conectados.
3. Valor: esta columna muestra el valor de la entrada afectada.
4. Updated By (Actualización de): esta columna muestra la fuente de la acción. Cuando se actualice una entrada, esta columna mostrará la dirección de correo electrónico del usuario que la actualizó. Cuando se sincronice una entrada individual o la lista de bloqueo, esta columna mostrará el ID o el nombre del servidor de correo. Si el sistema realizó la acción, la fila aparecerá en blanco.
5. Event Action (Acción del evento): esta columna indica la acción que se realizó para una entrada específica o la lista de bloqueo. Created (Creada) se mostrará cuando una entrada se cree. Synced (Sincronizada) se mostrará cuando una entrada o lista de bloqueo se sincronice con los servidores de correo conectados. Deleted (Eliminada) se mostrará cuando se elimine una entrada.
6. Estado: esta columna indica si la acción se ha realizado correctamente o no.