Preguntas frecuentes y resolución de problemas

Compartir

¿Le resulta útil este artículo?

Última actualización:

Identificar y abordar los falsos positivos

Si está ejecutando una campaña de phishing y ve resultados poco comunes, puede que haya clics falsos. Al revisar los resultados de la campaña, si ve una tasa de clics del 100 % o direcciones IP que no pertenecen a su organización, esto puede ser un indicador de falsos positivos. A continuación encontrará algunos de los motivos habituales de la aparición de falsos positivos y consejos sobre cómo gestionarlos.

¿Qué se considera un clic?

Los clics es lo que registramos cuando un usuario hace clic en un enlace de phishing de un correo electrónico simulado. Sin embargo, existen otras formas en las que se pueden registrar los clics. Llamamos falsos positivos a los clics que no son el resultado de que un usuario haga clic en un enlace de phishing. A continuación se enumeran algunas causas comunes de falsos positivos:

  • Inclusión en la lista de permitidos inadecuada de su filtro de spam. La inclusión en la lista de permitidos inadecuada puede provocar clics automatizados o clics de bots. Para poder decir si un clic era un clic de bot, consulte la sección Cómo identificar los clics de bots a continuación.
  • Es posible que se requieran inclusiones adicionales en la lista de permitidos. Su filtro de spam puede requerir inclusiones adicionales en la lista de permitidos con el fin de excluir correos electrónicos de phishing del análisis o la inspección de enlaces.
  • Es posible que los filtros de correo con paquetes de complementos de seguridad no se hayan incluido en la lista de permitidos.
  • Seguridad de punto de conexión o software antivirus.
  • La vista previa del enlace funciona como parte de los sistemas operativos de dispositivos móviles.
  • Software de seguridad que se incorpora a sistemas de gestión de dispositivos móviles (MDM).
  • Los correos electrónicos de phishing se reenvían de un usuario a otro. Esta acción se puede registrar como un clic porque el correo electrónico reenviado se analizó en un entorno aislado (sandbox) y lo revisó el servidor de correo o porque el destinatario del correo electrónico reenviado hizo clic en el enlace.

Cómo identificar los clics de bots

Las instancias de inclusión en la lista de permitidos insuficientes o inadecuadas pueden dar como resultado un clic de bot. Los clics de bots los produce un proceso automatizado dentro de su infraestructura. Puede identificar un clic de bot examinando los resultados de su campaña de phishing. A continuación encontrará enumeradas algunas formas en las que puede identificar clic de bots:

  • Las horas anotadas en las columnas Entregado, Abierto y Clic son todas iguales o tienen una diferencia de un minuto entre sí.
  • La pestaña Se ha hecho clic indica que el navegador o la versión del navegador no se usa en su entorno o está desactualizado.
  • El sistema operativo enumerado es uno al que no tienen acceso los usuarios en su entorno.
  • La dirección IP pertenece a un proveedor de uno de sus productos de seguridad.

Direcciones de IP inesperadas en resultados de campaña

Cuando se registra un clic en la consola, la dirección IP se registra desde donde se originó el clic. A continuación le presentamos algunos ejemplos de por qué puede ver direcciones IP inesperadas:

  • Si un usuario está en un dispositivo móvil y hace clic en el enlace, se podría mostrar que el clic procede del proveedor de servicio del teléfono móvil.
  • Si un usuario está conectado al wifi de su casa, el clic se registraría como procedente de una dirección IP de ese proveedor de servicio de Internet (ISP).
  • Si un usuario está en una wifi púbica, el clic se registraría como procedente de la ubicación en la que el usuario estaba cuando hizo clic.
  • Si usted o uno de sus productos usa un proveedor de servicios alojado, como AWS, la dirección IP puede proceder de otra ubicación o incluso de otro país. Algunos procesos de análisis de enlaces pueden no darse en el lado del cliente, y el enlace puede pasar al centro de análisis o procesamiento interno del proveedor de seguridad.
  • Si la URL se envía a VirusTotal, la dirección IP puede proceder de otra ubicación. Este enlace puede enviarlo de manera automática un producto que use usted o un usuario. Cuando una URL se envía a VirusTotal, este analiza la URL para determinar si hay que añadirla a sus definiciones de amenazas como hostil. A veces, este análisis de enlace es instantáneo. Otras veces, puede suceder durante el transcurso de varias horas. Estas direcciones IP pueden registrarse como un proveedor de seguridad o como un ISP.

Motivos comunes de la aparición de falsos positivos

Los falsos positivos de las simulaciones de phishing suelen originarse por tres motivos principales:

  • Interferencia del analizador de enlaces: herramientas de seguridad que seleccionan enlaces de manera automática antes de que los usuarios vean los correos electrónicos
  • Inclusión inadecuada en la lista de permitidos: los dominios de KnowBe4 no se excluyen como es debido del escaneo de seguridad
  • Error en la configuración de políticas de seguridad: filtros de spam o reglas de flujo de correo que entran en conflicto con la entrega de pruebas de phishing

Para minimizar los falsos positivos, configure los filtros de spam para excluir los correos electrónicos de phishing de KnowBe4 del análisis y la inspección de enlaces. Asegúrese de que los hospedajes inteligentes y las políticas de entrega avanzada coinciden con la configuración de la campaña. Al investigar errores relacionados con el analizador de enlaces, revise la configuración de la inclusión en la lista de permitidos con los administradores de TI para encontrar un equilibrio entre los requisitos de seguridad y métricas de formación precisas.

Cómo evitar los falsos positivos

Conocer su infraestructura es el paso más importante para prevenir los falsos positivos. Puesto que existe una amplia variedad de software de seguridad, es posible que quiera consultar la documentación de los proveedores de software o servicio que usa para ver si hay una sección dedicada a la exclusión de enlaces o dominios del escaneo de enlaces, análisis de enlaces o inspección de enlaces.

También puede ejecutar campañas de prueba con dos plantillas diferentes en máquinas que tendrían la misma configuración que las estaciones de trabajo de los usuarios. Estas campañas de prueba pueden ayudarle a ver si la configuración actual causará falsos positivos.

Asegúrese de que los usuarios solo denuncien correos electrónicos a través del Phish Alert Button y no del botón de phishing del servidor de correo ni desde cualquier otra función de denuncias de terceros.

Compruebe si sus productos de seguridad tienen la opción de inclusión en la lista de permitidos adicional. Si puede, incluya en la lista de permitidos nuestros dominios de enlace de phishing y dominios de página de aterrizaje. Este paso adicional puede ayudarle a prevenir falsos positivos. Para ver una lista de nuestros dominios de phishing raíz, vaya a la pestaña Phishing de su consola KnowBe4 y seleccione la subpestaña Dominios. Para obtener más información sobre la subpestaña Dominios, consulte el artículo Gestión de dominios de enlace de phishing.

Si sigue teniendo problemas con los falsos positivos, póngase en contacto con el equipo de asistencia técnica equipo de asistencia técnica.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 9 de 13

¿No encuentra lo que busca?

Hablar con asistencia técnica