PhishER de KnowBe4 es una plataforma de respuesta, automatización y orquestación de seguridad (SOAR, por sus siglas en inglés) que gestiona los correos electrónicos que denuncian los usuarios. Con PhishER, su organización podrá identificar posibles amenazas por correo electrónico a fin de reforzar sus medidas de seguridad y su plan de defensa detallado.

PhishER está disponible como plataforma independiente, pero funciona mejor cuando se combina con la consola KSAT. PhishER también puede integrarse con herramientas de análisis de terceros como VirusTotal y Syslog para facilitar evaluaciones y análisis de seguridad a su organización.

Flujo de trabajo de PhishER

A continuación, encontrará un diagrama del flujo de trabajo de PhishER. Le recomendamos que consulte este flujo de trabajo antes de dar sus primeros pasos en PhishER para así entender mejor la herramienta.

Para obtener más información sobre este flujo de trabajo, consulte la siguiente lista:

1. Cuando los usuarios denuncien correos electrónicos sospechosos, estos se enviarán a la Inbox (Bandeja de entrada) de PhishER.
2. A partir de las reglas personalizadas que usted establezca, PhishER analizará los elementos de los correos electrónicos en busca de contenido malicioso y señales de alarma. Luego, PhishER asignará etiquetas a los correos electrónicos que cumplan los criterios de sus reglas.
3. Las etiquetas hacen que PhishER se active y lleve a cabo las acciones específicas indicadas. En función de las acciones y reglas personalizadas de su organización, PhishER clasificará cada correo electrónico de forma automática. Esta clasificación le ayudará a establecer la prioridad de los correos electrónicos denunciados y a responder ante los ataques de phishing reales con mayor rapidez.
4. Si ha habilitado la Blocklist (Lista de bloqueo) de PhishER, puede usar la información sobre los correos electrónicos maliciosos o de spam para bloquear correos similares e impedir que lleguen a las bandejas de entrada de los usuarios. Si dispone de una suscripción a PhishER Plus y ha activado la Lista global de bloqueo, puede utilizar la información obtenida por la multitud para bloquear correos similares.
5. Si ha habilitado PhishRIP, puede eliminar los correos electrónicos maliciosos o de spam similares que ya hayan llegado a las bandejas de entrada de los usuarios. Si dispone de una suscripción a PhishER Plus y ha activado Global PhishRIP, puede utilizar la información de fuentes colectivas para eliminar correos electrónicos similares.
6. Si ha habilitado PhishFlip, puede reutilizar los correos electrónicos denunciados para crear campañas y plantillas de phishing para KSAT. PhishFlip elimina los elementos maliciosos de los correos electrónicos denunciados antes de enviar pruebas de phishing a los usuarios.

Requisitos previos

Al usar PhishER y KSAT a la vez, deberá comprar el mismo número de puestos para ambos productos. Si durante el periodo de suscripción adquiere puestos adicionales para alguno de los productos, también deberá comprar puestos adicionales para el otro.

Todos los clientes de PhishER deberán disponer de un sistema de reenvío de correo electrónico para que todos los correos denunciados por los usuarios se reenvíen a la Inbox (Bandeja de entrada) de PhishER para su análisis. Le recomendamos que instale Phish Alert Button (PAB) para su organización; sin embargo, también puede permitir que los usuarios reenvíen los correos electrónicos a una dirección de correo para denuncias de forma manual. Para obtener más información sobre estos métodos, consulte el Manual de producto de Phish Alert Button (PAB) y el artículo Configuración de PhishER.

Creación de una cuenta

Primero deberá crear una cuenta de PhishER.

Para ello, siga estos pasos:

1. Inicie sesión en su cuenta de KnowBe4.
2. Haga clic en su nombre en la esquina superior derecha de la página. En el menú desplegable que se abrirá, seleccione Configuración de la cuenta.
3. Diríjase a Integraciones de la cuenta > PhishER.
4. Haga clic en el botón Crear una cuenta de PhishER.

Acceso a PhishER

Una vez que haya creado la cuenta de PhishER para su organización y que PhishER se haya habilitado en su cuenta, se mostrará el botón Ir a PhishER en la página de Configuración de la cuenta de KnowBe4. Al hacer clic en este botón, se le dirigirá directamente a la plataforma PhishER. O puede acceder a la plataforma de PhishER desde la URL de su instancia de KnowBe4. Para obtener más información, consulte la captura de pantalla y la lista a continuación:

• Estados Unidos: https://phisher.knowbe4.com
• Canadá: https://ca.phisher.knowbe4.com
• Unión Europea: https://eu.phisher.knowbe4.com
• Alemania: https://de.phisher.knowbe4.com
• Reino Unido: https://uk.phisher.knowbe4.com

Configuración de direcciones de correo electrónico para denuncias

Necesitará establecer al menos una dirección de correo electrónico para denuncias para reenviar correos electrónicos a su Inbox (Bandeja de entrada). Si su organización usa PAB, deberá configurar una dirección de correo electrónico para denuncias para cada instancia de PAB.

Para configurar las direcciones de correo electrónico para denuncias, siga estos pasos:

1. Inicie sesión en su cuenta de KnowBe4.
2. Haga clic en su nombre en la esquina superior derecha de la página. En el menú desplegable que se abrirá, seleccione Configuración de la cuenta.
3. Diríjase a Integraciones de cuenta > Phish Alert y abra la configuración de la instancia de PAB.
4. En el campo Enviar correos electrónicos de phishing no simulados a, introduzca las direcciones de correo electrónico para denuncias. Para obtener más información, consulte la sección Habilitar y configurar PAB de nuestro Manual de producto de Phish Alert Button (PAB).
5. Haga clic en el botón Guardar configuración de Phish Alert.
6. En la parte inferior de la página, haga clic en el botón Guardar cambios.

Dashboard (Panel de control)

Cuando abra la plataforma PhishER, se mostrará la página del panel de control. En ella, podrá ver un breve resumen de la plataforma. Para obtener más información sobre esta página, consulte la captura de pantalla y la lista que se muestran a continuación:

1. Buscar: puede usar esta barra de búsqueda para filtrar el panel de control a través de consultas Lucene. El panel mostrará un resumen informativo sobre todos los mensajes que cumplan los criterios.
2. Edit Dashboard Layout (Editar diseño de panel de control): puede hacer clic en este icono para añadir y eliminar widgets de su panel de control. Puede arrastrar, soltar y cambiar el tamaño de cada widget para crear un diseño personalizado. Cuando haga clic en este icono, se mostrarán los botones Reset Dashboard Layout (Restablecer panel de control) y Add Widget (Añadir widget).
3. Last 30 days (Últimos 30 días): de forma predeterminada, el panel de control muestra los datos y la actividad de los últimos 30 días. Sin embargo, puede modificar la vista del panel de control para que muestre un intervalo de fechas distinto haciendo clic en el botón Last 30 days (Últimos 30 días). Si hace clic en este botón, se abrirá la ventana emergente del intervalo de fechas.
4. Reported Messages (Mensajes denunciados): esta sección muestra el número de mensajes denunciados que se han reenviado a la Inbox (Bandeja de entrada) de PhishER.
5. Automatically Resolved (Mensajes resueltos automáticamente): esta sección muestra el número de mensajes que se han clasificado siguiendo las reglas y las acciones que usted haya habilitado.
6. Manually Resolved (Mensajes resueltos manualmente): esta sección muestra el número de mensajes que se han clasificado sin aplicar sus reglas y acciones activas.
7. Unresolved (Mensajes sin resolver): esta sección muestra el número de mensajes que no se han clasificado.
8. Received Messages (Mensajes recibidos): este gráfico de barras muestra el número de mensajes denunciados que se han reenviado a la Inbox (Bandeja de entrada) de PhishER. Estos datos muestran el número de mensajes denunciados cada día o cada hora.
9. Messages Summary (Resumen de mensajes): este gráfico circular muestra una comparación de los mensajes que figuran en estado Automatically Resolved (Resuelto automáticamente), Manually Resolved (Resuelto manualmente) o Pending Review (Pendiente de revisión).
10. Reported Messages by Category (Mensajes denunciados por categoría): este gráfico de líneas muestra cuántos mensajes se han clasificado. Los mensajes pueden clasificarse como Clean (Limpio), Spam (Spam) o Threat (Amenaza). De forma predeterminada, cada mensaje se clasifica como Unknown (Desconocido) hasta que PhishER o un administrador lo clasifique en otra categoría.
11. Categories (Categorías): este gráfico circular muestra una comparación de los mensajes que se están clasificando.
12. Reported Messages by Priority (Mensajes denunciados por prioridad): este gráfico de líneas muestra el nivel de prioridad de los mensajes denunciados. Un mensaje puede tener asignado uno de los siguientes niveles de prioridad: Unknown (Desconocida), Low (Baja), Medium (Media), High (Alta) o Critical (Crítica). Estos datos muestran el número de mensajes denunciados cada día o cada hora por cada nivel de prioridad.
13. Priorities (Prioridades): este gráfico circular muestra una comparación de cómo se priorizan los mensajes.

Rooms (Salas)

La pestaña Rooms (Salas) contiene diversas vistas filtradas de los mensajes que figuran en la Inbox (Bandeja de entrada) de PhishER. Cada vista filtrada se basará en las consultas guardadas y en los filtros generados por el sistema. Puede filtrar la Inbox (Bandeja de entrada), el Dashboard (Panel de control) y el Report (Informe) al hacer clic en los iconos junto a cada filtro generado por el sistema.

Si hace clic en un grupo de mensajes específico de una sala, se le dirigirá a una vista filtrada de su Inbox (Bandeja de entrada) que muestra todos los mensajes del grupo. Se creará un grupo de mensajes en una sala si, como mínimo, dos mensajes cumplen los criterios de esta.

Para obtener más información sobre las salas, consulte el artículo Cómo crear y gestionar salas de PhishER.

Inbox (Bandeja de entrada)

Puede ver todos los mensajes denunciados por sus usuarios en la pestaña Inbox (Bandeja de entrada). Entre estos mensajes se incluyen todos los correos electrónicos que han denunciado sus usuarios, ya sea mediante PAB o de forma manual, reenviando los correos electrónicos a la dirección de correo para denuncias. Desde esta pestaña, puede filtrar los mensajes y guardar configuraciones de filtros personalizados como una sala. También puede llevar a cabo acciones y cambiar la clasificación de los mensajes.

Mediante el uso de herramientas de análisis de terceros, PhishER organiza los mensajes según los distintos elementos que los componen, incluidos sus datos sin procesar, encabezados, archivos adjuntos y cuerpo. Al hacer clic en un solo mensaje, la página Message Details (Detalles del mensaje) muestra información detallada del mensaje, como sus elementos. Desde esta página, también puede llevar a cabo acciones en el mensaje y usar la función Discussion (Debate) para hablar con los administradores sobre este.

Para obtener más información sobre la Inbox (Bandeja de entrada), consulte nuestro artículo Cómo utilizar la bandeja de entrada de PhishER.

Rules (Reglas)

Puede consultar todas las reglas de PhishER desde la pestaña Rules (Reglas). Una regla es una expresión lógica que se usa para clasificar los correos electrónicos reenviados a la Inbox (Bandeja de entrada) de PhishER. Para ello, todas las reglas deben seguir la lógica de las reglas YARA.

Según esta regla, cuando un correo electrónico se reenvíe a la Inbox (Bandeja de entrada) de PhishER, se le añadirá una etiqueta. La pestaña Rules (Reglas) incluye la página Rules List (Lista de reglas), que se compone de las siguientes subpestañas:

• Custom Rules (Reglas personalizadas): esta subpestaña enumera las reglas que su organización crea desde cero a través del editor de reglas de PhishER.
• System Rules (Reglas del sistema): esta subpestaña enumera el conjunto predeterminado de reglas facilitadas por KnowBe4.
• Global Variables (Variables globales): esta subpestaña enumera las variables globales que crea su organización para las reglas personalizadas. Si utiliza distintas reglas con las mismas cadenas, puede usar las variables globales para actualizar todas estas reglas a la vez.

Para obtener más información sobre las reglas, consulte el artículo Cómo crear y gestionar reglas de PhishER.

Actions (Acciones)

Puede consultar todas las acciones de PhishER desde la pestaña Actions (Acciones). Cuando se asigna una etiqueta a un mensaje, esta indicará cómo deberá procesarse el mensaje en PhishER. Luego, la acción iniciará los pasos de ese proceso. Por ejemplo, puede crear una acción para asignar la categoría de Spam (Spam) a todos los mensajes coincidentes. La pestaña Actions (Acciones) incluye la página Actions List (Lista de acciones), en la que puede crear y gestionar todas las acciones de la plataforma PhishER.

Para obtener más información sobre las acciones, consulte el artículo Cómo crear y gestionar acciones de PhishER.

Reports (Informes)

Puede consultar todos los informes de PhishER desde la pestaña Reports (Informes). Cada subpestaña muestra un informe con la información que se repite más en los correos electrónicos denunciados por los usuarios. Por ejemplo, cada informe muestra los datos y la actividad de los últimos 30 días; sin embargo, puede ajustar este intervalo de fechas a través del botón Last 30 Days (Últimos 30 días), que se encuentra en la esquina superior derecha de la página.

La pestaña Reports (Informes) incluye las siguientes subpestañas:

• Attachments (Archivos adjuntos): esta subpestaña muestra los tipos de archivos adjuntos más habituales en los correos electrónicos denunciados por los usuarios.
• Reporters (Denunciantes): esta subpestaña muestra los usuarios que denuncian correos electrónicos con mayor frecuencia.
• Senders (Remitentes): esta subpestaña muestra los dominios del remitente más habituales en los correos electrónicos denunciados por los usuarios.
• Domains and URLs (Dominios y URL): esta subpestaña muestra los dominios y las URL más habituales en los correos electrónicos denunciados por los usuarios.
• Tags (Etiquetas): esta subpestaña muestra las etiquetas más habituales asignadas a los correos electrónicos denunciados por los usuarios.

Para obtener más información sobre los informes, consulte nuestro artículo Cómo utilizar los informes de PhishER.

Blocklist (Lista de bloqueo)

La función de la Blocklist (Lista de bloqueo) de PhishER ayuda a su servidor de correo de Microsoft 365 a evitar que los correos electrónicos maliciosos o de spam lleguen a la bandeja de entrada de los usuarios. Puede ver todas sus entradas de la lista de bloqueo desde la subpestaña Your Syncing Entries (Sus entradas en sincronización) de la pestaña Blocklist (Lista de bloqueo). Al revisar los correos electrónicos denunciados por los usuarios, puede actualizar la lista de bloqueo para que envíe información sobre las amenazas o el spam a su servidor de correo.

Para obtener más información sobre las listas de bloqueo, consulte nuestro artículo Cómo usar la Blocklist (Lista de bloqueo) de PhishER.

PhishRIP

PhishRIP es una función de PhishER para poner en cuarentena correos electrónicos que permite a su organización buscar correos denunciados por los usuarios en todas las bandejas de entrada conectadas a su instancia de Google Workspace o Microsoft 365. En la pestaña PhishRIP, puede ver todos los resultados de búsqueda, o consultas, de PhishRIP. Con esta función evitará ataques de phishing activos al eliminar posibles correos electrónicos peligrosos de las bandejas de entrada de los usuarios.

Si selecciona un solo mensaje en su Inbox (Bandeja de entrada) y hace clic en el menú desplegable Run (Ejecutar), podrá activar acciones que se ejecutarán en los mensajes que figuren en las consultas de PhishRIP.

Para obtener más información sobre PhishRIP, consulte nuestro artículo Cómo utilizar PhishRIP.

PhishFlip

PhishFlip es una función de PhishER que permite que su organización reutilice los correos electrónicos denunciados por los usuarios en las campañas de phishing de la consola KSAT. PhishFlip eliminará todos los elementos peligrosos de los correos electrónicos denunciados, de forma que enviarlos a los usuarios como plantillas de phishing sea seguro.

Una vez que PhishFlip se haya habilitado en la plataforma PhishER, podrá crear plantillas de phishing de KSAT a partir de los correos electrónicos denunciados por los usuarios. Así, podrá usar estas plantillas de phishing para crear campañas de phishing en la consola KSAT. También puede crear campañas de PhishFlip automáticas que incluyan correos electrónicos específicos de la plataforma PhishER.

Para obtener más información sobre PhishFlip, consulte nuestro artículo Cómo utilizar PhishFlip.