Clasificación de correos electrónicos

Compartir

¿Le resulta útil este artículo?

Última actualización:

Guía sobre PhishML

En la plataforma PhishER, puede utilizar PhishML para clasificar mensajes y priorizar amenazas de correo electrónico de la bandeja de entrada de sus usuarios. PhishML es una función de aprendizaje automático que analiza los mensajes de su bandeja de entrada de PhishER y determina el porcentaje de certeza o valor de confianza de que cada mensaje esté limpio, sea spam o constituya una amenaza.

PhishML le permite establecer los umbrales que deben cumplir o superar los valores de confianza de un mensaje para que se pueda clasificar de forma automática. A continuación, puede crear acciones que utilicen las etiquetas de PhishML para automatizar la clasificación y priorización de mensajes en su bandeja de entrada de PhishER.

PhishML está continuamente aprendiendo y mejorando su precisión en función del lenguaje que se usa en el contenido de los correos electrónicos denunciados. PhishML solo aprende de los correos electrónicos de phishing denunciados que se envían a KnowBe4 cuando habilita la configuración Enviarnos una copia en la sección Phish Alert de la Configuración de la cuenta de KSAT. Una vez que se extrae el texto y se ignora el contenido integrado en los mensajes, PhishML compara las expresiones usadas con los patrones detectados en otros mensajes analizados mediante PhishER.

Habilitación de PhishML

Para habilitar PhishML en la plataforma PhishER, siga estos pasos:

  1. Inicie sesión en la plataforma PhishER.
  2. Diríjase a Settings (Configuración) > PhishML.
  3. Active el botón de alternancia Enable PhishML (Habilitar PhishML).
    Nota: La primera vez que habilite PhishML, aparecerá un cuadro de diálogo de términos y condiciones. Antes de utilizar PhishML, debe revisar y aceptar la Política de privacidad y las Condiciones de servicio de KnowBe4. Cuando haya revisado ambos documentos, haga clic en I Accept (Acepto).
  4. Marque la casilla que aparece junto a las categorías para las que quiere que PhishML ofrezca un valor de confianza cuando analice un mensaje.
  5. (Opcional) Para establecer un valor de umbral personalizado para cada categoría, haga clic y arrastre el control deslizador interactivo hacia la izquierda o la derecha. Para obtener más información, consulte la sección Configuración de umbrales y valores de confianza a continuación.
  6. Haga clic en Save (Guardar) para actualizar la configuración de PhishML.

Configuración de los umbrales y valores de confianza

PhishML genera tres valores de confianza para cada mensaje que analiza. Los valores de confianza representan, en términos porcentuales, con qué certeza un mensaje está limpio, es spam o constituye una amenaza. Puede consultar los valores de confianza de un mensaje desde la subpestaña Actions (Acciones) de la barra lateral de la página Message Details (Detalles del mensaje).

Un umbral de confianza es el porcentaje mínimo de certeza que PhishML debe cumplir o superar para que un mensaje se etiquete como limpio, spam o una amenaza. PhishML solo aplica etiquetas a los mensajes clasificados si el umbral de confianza está activo. En Settings (Configuración) de PhishER, puede habilitar o deshabilitar los umbrales de confianza. Cuando active un umbral de confianza, puede hacer clic y arrastrar el control deslizante que aparece junto a él para establecer un valor de umbral personalizado. Los umbrales de confianza se pueden establecer en cualquier valor personalizado comprendido entre el 51 y el 100. De forma predeterminada, los valores del umbral de confianza se establecen en 95.

Le recomendamos que establezca un valor del umbral de confianza inferior a 80 si quiere aumentar el número de mensajes que PhishML etiqueta de forma automática como limpios, spam o amenazas. Le recomendamos que establezca un umbral de confianza más bajo para que PhishML identifique los mensajes que son spam o una amenaza. Esta configuración permite que los administradores de PhishER resuelvan o eliminen los mensajes seguros rápidamente y prioricen aquellos que requieran un mayor análisis o revisión.

Le recomendamos que establezca un valor del umbral de confianza superior a 85 si quiere disminuir el número de mensajes que PhishML etiqueta como limpios, spam o amenazas. Le recomendamos que establezca un umbral de confianza más alto para que PhishML identifique los mensajes que están limpios. Esta configuración permite que los administradores de PhishER prioricen los mensajes que requieren un mayor análisis o revisión.

Nota:Los valores de confianza de PhishML solo se basan en el análisis del contenido del mensaje. PhishML no inspecciona las URL, los archivos adjuntos ni las imágenes. Si ha integrado una cuenta de VirusTotal con PhishER, puede utilizar VirusTotal para inspeccionar las URL y los archivos adjuntos. Utilizar tanto PhishML como VirusTotal le permite analizar y clasificar mejor los mensajes.

Etiquetas de PhishML

En función de su análisis, PhishML aplica una etiqueta a todos sus mensajes. En la subpestaña Actions (Acciones) de la barra lateral de la página Message Details (Detalles del mensaje), puede consultar la etiqueta que PhishML asoció a un mensaje. También puede añadir y eliminar etiquetas. Para obtener más información sobre las etiquetas de PhishML, consulte la siguiente lista:

  • PML:CLEAN: esta etiqueta se asocia a los mensajes cuando PhishML determina que un mensaje está limpio de acuerdo con su umbral de confianza.
  • PML:SPAM: esta etiqueta se asocia a los mensajes cuando PhishML determina que un mensaje es spam de acuerdo con su umbral de confianza.
  • PML:THREAT: esta etiqueta se asocia a los mensajes cuando PhishML determina que un mensaje es una amenaza de acuerdo con su umbral de confianza.
  • PML:BYPASSED: esta etiqueta se asocia a los mensajes cuando se agote el tiempo de espera de PhishML. Puede volver a intentarlo volviendo a ejecutar las reglas y acciones en el mensaje. A continuación, si PhishML funciona correctamente, se añadirá la etiqueta correspondiente al mensaje.
Nota:Si tiene una suscripción a PhishER Plus, puede utilizar PhishML Insights para obtener más información sobre cómo PhishML determina la clasificación de un mensaje. Para obtener más información, consulte nuestra Guía de PhishML Insights.

Creación de acciones recomendadas con etiquetas de PhishML

Cuando haya configurado PhishML, le recomendamos que configure tres acciones con etiquetas de PhishML para ayudar a que su organización identifique y responda a las amenazas de correo electrónico rápidamente. Para obtener información sobre la configuración de cada acción recomendada, consulte las siguientes subsecciones.

PML:THREAT (Mensajes de prioridad alta)

Puede crear esta acción para ayudar a que su organización identifique y priorice mensajes potencialmente maliciosos y que puedan requerir un mayor análisis. Para crear esta acción, configure los pasos 1, 2 y 3 para que coincidan con estos ajustes:

  1. Choose how this action should be triggered (Elegir cuándo debería activarse esta acción): le recomendamos que seleccione la opción Specify Tags (Mensajes con etiquetas específicas). A continuación, seleccione Has Any (Tiene cualquiera) e introduzca «PML:THREAT» como etiqueta.
  2. Choose the action to be taken on matched messages (Elegir qué acción llevar a cabo con los mensajes con coincidencias): le recomendamos que seleccione las opciones Set Status (Establecer estado), Set Priority (Establecer prioridad) y Set Category (Establecer categoría). Luego, configure los menús desplegables para que coincidan con los siguientes ajustes:
    • Set Status (Establecer estado): seleccione In Review (En revisión).
    • Set Priority (Establecer prioridad): seleccione Critical (Crítico).
    • Set Category (Establecer categoría): seleccione Threat (Amenaza).
  3. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos una de las siguientes opciones:
    • Cree una respuesta de correo electrónico personalizada que se enviará automáticamente a los destinatarios seleccionados. Para obtener más información sobre esta opción, consulte la sección Creación de un correo electrónico personalizado para su acción de PhishML de este artículo.
    • Cree una QuickAction (Acción rápida) que envíe una respuesta automatizada a los destinatarios seleccionados cuando ejecute la acción rápida de forma manual. Para obtener más información sobre esta opción, consulte la sección Creación de QuickActions (Acciones rápidas) para su acción de PhishML de este artículo.

Cuando haya seleccionado estos ajustes, podrá configurar el resto de los ajustes de la acción. Para obtener más ajustes recomendados, consulte las secciones Creación de un correo electrónico personalizado para su acción de PhishML y Creación de QuickActions (Acciones rápidas) para su acción de PhishML a continuación. Para obtener información general sobre los demás ajustes, consulte el artículo Cómo crear y gestionar acciones de PhishER.

PML:CLEAN (Mensajes de prioridad media)

Puede crear esta acción para ayudar a que su organización identifique y priorice mensajes que se consideran seguros. Para crear esta acción, configure los pasos 1, 2 y 3 para que coincidan con estos ajustes:

  1. Choose how this action should be triggered (Elegir cuándo debería activarse esta acción): le recomendamos que seleccione la opción Specify Tags (Mensajes con etiquetas específicas). A continuación, seleccione Has Any (Tiene cualquiera) e introduzca «PML:CLEAN» como etiqueta.
  2. Choose the action to be taken on matched messages (Elegir qué acción llevar a cabo con los mensajes con coincidencias): le recomendamos que seleccione las opciones Set Status (Establecer estado), Set Priority (Establecer prioridad) y Set Category (Establecer categoría). Luego, configure los menús desplegables para que coincidan con los siguientes ajustes:
    • Set Status (Establecer estado): seleccione Resolved (Resuelto).
    • Set Priority (Establecer prioridad): seleccione Medium (Media).
    • Set Category (Establecer categoría): seleccione Clean (Limpio).
  3. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos una de las siguientes opciones:
    • Cree una respuesta de correo electrónico personalizada que se enviará automáticamente a los destinatarios seleccionados. Para obtener más información sobre esta opción, consulte la sección Creación de un correo electrónico personalizado para su acción de PhishML de este artículo.
    • Cree una QuickAction (Acción rápida) que envíe una respuesta automatizada a los destinatarios seleccionados cuando ejecute la acción rápida de forma manual. Para obtener más información sobre esta opción, consulte la sección Creación de QuickActions (Acciones rápidas) para su acción de PhishML de este artículo.

Cuando haya seleccionado estos ajustes, podrá configurar el resto de los ajustes de la acción. Para obtener más ajustes recomendados, consulte las secciones Creación de un correo electrónico personalizado para su acción de PhishML y Creación de QuickActions (Acciones rápidas) para su acción de PhishML a continuación. Para obtener información general sobre los demás ajustes, consulte el artículo Cómo crear y gestionar acciones de PhishER.

PML:SPAM (Mensajes de prioridad baja)

Puede crear esta acción para ayudar a que su organización identifique y priorice mensajes determinados como no solicitados, pero que no es probable que sean maliciosos. Para crear esta acción, configure los pasos 1, 2 y 3 para que coincidan con estos ajustes:

  1. Choose how this action should be triggered (Elegir cuándo debería activarse esta acción): le recomendamos que seleccione la opción Specify Tags (Mensajes con etiquetas específicas). A continuación, seleccione Has Any (Tiene cualquiera) e introduzca «PML:SPAM» como etiqueta.
  2. Choose the action to be taken on matched messages (Elegir qué acción llevar a cabo con los mensajes con coincidencias): le recomendamos que seleccione las opciones Set Status (Establecer estado), Set Priority (Establecer prioridad) y Set Category (Establecer categoría). Luego, configure los menús desplegables para que coincidan con los siguientes ajustes:
    • Set Status (Establecer estado): seleccione Resolved (Resuelto).
    • Set Priority (Establecer prioridad): seleccione Low (Baja).
    • Set Category (Establecer categoría): seleccione Spam.
  3. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos una de las siguientes opciones:
    • Cree una respuesta de correo electrónico personalizada que se enviará automáticamente a los destinatarios seleccionados. Para obtener más información sobre esta opción, consulte la sección Creación de un correo electrónico personalizado para su acción de PhishML de este artículo.
    • Cree una QuickAction (Acción rápida) que envíe una respuesta automatizada a los destinatarios seleccionados cuando ejecute la acción rápida de forma manual. Para obtener más información sobre esta opción, consulte la sección Creación de QuickActions (Acciones rápidas) para su acción de PhishML de este artículo.

Cuando haya seleccionado estos ajustes, podrá configurar el resto de los ajustes de la acción. Para obtener más ajustes recomendados, consulte las secciones Creación de un correo electrónico personalizado para su acción de PhishML y Creación de QuickActions (Acciones rápidas) para su acción de PhishML a continuación. Para obtener información general sobre los demás ajustes, consulte el artículo Cómo crear y gestionar acciones de PhishER.

Creación de un correo electrónico personalizado para su acción de PhishML

Para enviar una notificación automáticamente al ejecutar una acción, puede crear una respuesta de correo electrónico personalizada que PhishER enviará automáticamente a los destinatarios que seleccione. Para obtener más información sobre la personalización de esta respuesta de correo electrónico, consulte el artículo Cómo crear una plantilla de correo electrónico personalizada en PhishER.

Para establecer una respuesta de correo electrónico y configurar los demás ajustes para su acción, configure los pasos 3, 4, 5 y 6 para que coincidan con los siguientes ajustes:

  1. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos que seleccione Send Email (Enviar correo electrónico).
  2. (Opcional) Choose whether or not to halt further actions (Elegir si quiere detener las acciones adicionales): le recomendamos que marque la casilla Stop executing further actions (Detener la ejecución de más acciones). Si selecciona esta opción, puede revisar todos los mensajes con la etiqueta de PhishML de su acción antes de que se activen otras acciones.
  3. Choose QuickActions settings (Elegir la configuración de acciones rápidas): le recomendamos que mantenga la configuración predeterminada.
  4. Choose whether or not to permanently delete matching messages (Elegir si quiere eliminar de forma permanente los mensajes con coincidencias): le recomendamos que mantenga la configuración predeterminada.

Creación de QuickActions (Acciones rápidas) para su acción de PhishML

Para denunciar su acción manualmente, puede crear una QuickAction (Acción rápida). Cuando ejecute esta acción rápida, se enviará automáticamente una respuesta de correo electrónico a los destinatarios seleccionados.

Para crear una acción rápida y configurar los demás ajustes para su acción, configure los pasos 3, 4, 5 y 6 para que coincidan con los siguientes ajustes:

  1. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos que seleccione None (Ninguno).
  2. (Opcional) Choose whether or not to halt further actions (Elegir si quiere detener las acciones adicionales): marque la casilla Stop executing further actions (Detener la ejecución de más acciones). Si selecciona esta opción, puede revisar todos los mensajes con la etiqueta de PhishML de su acción antes de que se activen otras acciones.
  3. Choose QuickActions settings (Elegir la configuración de acciones rápidas): le recomendamos que mantenga la configuración predeterminada.
  4. Choose whether or not to permanently delete matching messages (Elegir si quiere eliminar de forma permanente los mensajes con coincidencias): le recomendamos que mantenga la configuración predeterminada.

Cuando haya guardado la nueva acción, deberá crear una QuickAction (Acción rápida) que enviará automáticamente una respuesta de correo electrónico cuando la ejecute. Para crear esta QuickAction (Acción rápida), configure los pasos de la nueva acción para que coincidan con estos ajustes:

  1. Choose how this action should be triggered (Elegir cuándo debería activarse esta acción): le recomendamos que seleccione Manual Trigger Only (Activar solo manualmente). Esto evita que la acción se ejecute de forma automática. Puede ejecutarla manualmente seleccionándola en el menú desplegable Run (Ejecutar) o la barra QuickActions (Acciones rápidas). Consulte el paso 5 a continuación para obtener más información.
  2. Choose the action to be taken on matched messages (Elegir qué acción llevar a cabo con los mensajes con coincidencias): le recomendamos que mantenga la configuración predeterminada.
  3. Choose how you would like to report this action (Elegir cómo quiere denunciar esta acción): le recomendamos que seleccione Send Email (Enviar correo electrónico). Utilice la plantilla de correo electrónico para crear una respuesta de correo electrónico personalizada. Para obtener más información sobre la personalización de esta respuesta de correo electrónico, consulte el artículo Cómo crear una plantilla de correo electrónico personalizada en PhishER.

  1. Choose whether or not to halt further actions (Elegir si quiere detener las acciones adicionales): le recomendamos que mantenga la configuración predeterminada.
  2. Choose QuickActions settings (Elegir la configuración de acciones rápidas): le recomendamos que seleccione la casilla situada a la izquierda de Include this action in the QuickActions bar (Incluir esta acción en la barra de QuickActions). Esta acción aparecerá en la barra QuickActions (Acciones rápidas) de Inbox (Bandeja de entrada) de PhishER y en la subpestaña Actions (Acciones) de la página Message Details (Detalles del mensaje).
  3. Choose whether or not to permanently delete matching messages (Elegir si quiere eliminar de forma permanente los mensajes con coincidencias): le recomendamos que mantenga la configuración predeterminada.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 10 de 10

¿No encuentra lo que busca?

Hablar con asistencia técnica