Introducción al uso de aprendizaje de simulación de ataques

• Se aplica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En las organizaciones con Microsoft Defender para Office 365 plan 2 (licencias de complemento o incluidas en suscripciones como Microsoft 365 E5), puede usar Entrenamiento de simulación de ataque en el Microsoft Defender portal para ejecutar escenarios de ataque realistas en su organización. Estos ataques simulados pueden ayudarle a identificar y encontrar usuarios vulnerables antes de que un ataque real afecte a sus resultados.

En este artículo se explican los conceptos básicos de Entrenamiento de simulación de ataque.

Vea este breve vídeo para obtener más información sobre Entrenamiento de simulación de ataque.

Nota:

Entrenamiento de simulación de ataque reemplaza la experiencia anterior de Attack Simulator v1 que estaba disponible en el Centro de cumplimiento de seguridad & en elsimulador de ataques de administración de> amenazas o https://protection.office.com/attacksimulator.

¿Qué necesita saber antes de empezar?

• Entrenamiento de simulación de ataque requiere una licencia Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2. Para obtener más información sobre los requisitos de licencia, consulte Términos de licencia.

• Entrenamiento de simulación de ataque admite buzones locales, pero con una funcionalidad de informes reducida. Para obtener más información, vea Notificar problemas con buzones locales.

• Para abrir el portal de Microsoft Defender, vaya a https://security.microsoft.com. Entrenamiento de simulación de ataque está disponible en Email y colaboración>Entrenamiento de simulación de ataque. Para ir directamente a Entrenamiento de simulación de ataque, use https://security.microsoft.com/attacksimulator.

• Para obtener más información sobre la disponibilidad de Entrenamiento de simulación de ataque en distintas suscripciones de Microsoft 365, consulte Microsoft Defender para Office 365 descripción del servicio.

• Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

  • Microsoft Entra permisos: debe pertenecer a uno de los siguientes roles:

    • Administrador global
    • Administrador de seguridad
    • Administradores ^*de simulación de ataques: Create y administran todos los aspectos de las campañas de simulación de ataques.
    • Autor ^*de carga de ataque: Create cargas de ataque que un administrador puede iniciar más adelante.

    ^*Actualmente no se admite la adición de usuarios a este grupo de roles en Email & permisos de colaboración en el portal de Microsoft Defender.

    Actualmente, no se admite Microsoft Defender XDR control de acceso basado en rol unificado (RBAC).

• No hay ningún cmdlet de PowerShell correspondiente para Entrenamiento de simulación de ataque.

• Los datos relacionados con la simulación de ataques y el entrenamiento se almacenan con otros datos de clientes para los servicios de Microsoft 365. Para obtener más información, consulte Ubicaciones de datos de Microsoft 365. Entrenamiento de simulación de ataque está disponible en las siguientes regiones: APC, EUR y NAM. Los países de estas regiones donde Entrenamiento de simulación de ataque están disponibles incluyen ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE y ZAF.

  Nota:

  NOR, ZAF, ARE y DEU son las últimas adiciones. Todas las características excepto la telemetría de correo electrónico notificada están disponibles en estas regiones. Estamos trabajando para habilitar las características y notificaremos a los clientes en cuanto la telemetría de correo electrónico notificada esté disponible.

• A partir de septiembre de 2023, Entrenamiento de simulación de ataque está disponible en entornos de Microsoft 365 GCC y GCC High, pero algunas características avanzadas no están disponibles en GCC High (por ejemplo, automatización de cargas útiles, cargas recomendadas, la velocidad en peligro prevista). Si su organización tiene Office 365 GCC G5 o Microsoft Defender para Office 365 (Plan 2) para La Administración Pública, puede usar Entrenamiento de simulación de ataque como se describe en este artículo. Entrenamiento de simulación de ataque aún no está disponible en entornos de DoD.

Nota:

Entrenamiento de simulación de ataque ofrece un subconjunto de funcionalidades a los clientes de E3 como prueba. La oferta de prueba contiene la capacidad de usar una carga útil de Credential Harvest y la capacidad de seleccionar experiencias de entrenamiento de "phishing isa" o "phishing de mercado masivo". Ninguna otra funcionalidad forma parte de la oferta de prueba de E3.

Simulaciones

Una simulación en Entrenamiento de simulación de ataque es la campaña general que ofrece mensajes de phishing realistas pero inofensivos a los usuarios. Los elementos básicos de una simulación son:

• Quién obtiene el mensaje de suplantación de identidad simulado y en qué programación.
• Entrenamiento que los usuarios obtienen en función de su acción o falta de acción (para acciones correctas e incorrectas) en el mensaje de suplantación de identidad simulado.
• La carga útil que se usa en el mensaje simulado de suplantación de identidad (un vínculo o un archivo adjunto) y la composición del mensaje de suplantación de identidad (por ejemplo, paquete entregado, problema con su cuenta o ha ganado un premio).
• La técnica de ingeniería social que se usa. La técnica de ingeniería social y carga útil están estrechamente relacionadas.

En Entrenamiento de simulación de ataque, hay disponibles varios tipos de técnicas de ingeniería social. Excepto la guía de procedimientos, estas técnicas se seleccionaron en el marco de MITRE ATT&CK®. Hay diferentes cargas disponibles para diferentes técnicas.

Están disponibles las siguientes técnicas de ingeniería social:

• Cosecha de credenciales: un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.

• Datos adjuntos de malware: un atacante envía al destinatario un mensaje que contiene datos adjuntos. Cuando el destinatario abre los datos adjuntos, se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.

• Vínculo en datos adjuntos: esta técnica es un híbrido de una recopilación de credenciales. Un atacante envía al destinatario un mensaje que contiene una dirección URL dentro de un archivo adjunto. Cuando el destinatario abre los datos adjuntos y hace clic en la dirección URL, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.

• Vínculo a malware: un atacante envía al destinatario un mensaje que contiene un vínculo a un archivo adjunto en un sitio de uso compartido de archivos conocido (por ejemplo, SharePoint Online o Dropbox). Cuando el destinatario hace clic en la dirección URL, se abre el archivo adjunto y se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.

• Unidad por dirección URL: un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, se le lleva a un sitio web que intenta ejecutar código en segundo plano. Este código en segundo plano intenta recopilar información sobre el destinatario o implementar un código arbitrario en su dispositivo. Normalmente, el sitio web de destino es un sitio web conocido que se ha visto comprometido o un clon de un sitio web conocido. La familiaridad con el sitio web ayuda a convencer al usuario de que el vínculo es seguro para hacer clic. Esta técnica también se conoce como ataque de agujero de riego.

• Concesión de consentimiento de OAuth: un atacante crea un Aplicación de Azure malintencionado que busca obtener acceso a los datos. La aplicación envía una solicitud de correo electrónico que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, el mecanismo de concesión de consentimiento de la aplicación solicita acceso a los datos (por ejemplo, la Bandeja de entrada del usuario).

• Guía paso a paso: guía didáctica que contiene instrucciones para los usuarios (por ejemplo, cómo informar de mensajes de phishing).

Las direcciones URL que usa Entrenamiento de simulación de ataque se enumeran en la tabla siguiente:

https://www.attemplate.com	https://www.exportants.it	https://www.resetts.it
https://www.bankmenia.com	https://www.exportants.org	https://www.resetts.org
https://www.bankmenia.de	https://www.financerta.com	https://www.salarytoolint.com
https://www.bankmenia.es	https://www.financerta.de	https://www.salarytoolint.net
https://www.bankmenia.fr	https://www.financerta.es	https://www.securembly.com
https://www.bankmenia.it	https://www.financerta.fr	https://www.securembly.de
https://www.bankmenia.org	https://www.financerta.it	https://www.securembly.es
https://www.banknown.de	https://www.financerta.org	https://www.securembly.fr
https://www.banknown.es	https://www.financerts.com	https://www.securembly.it
https://www.banknown.fr	https://www.financerts.de	https://www.securembly.org
https://www.banknown.it	https://www.financerts.es	https://www.securetta.de
https://www.banknown.org	https://www.financerts.fr	https://www.securetta.es
https://www.browsersch.com	https://www.financerts.it	https://www.securetta.fr
https://www.browsersch.de	https://www.financerts.org	https://www.securetta.it
https://www.browsersch.es	https://www.hardwarecheck.net	https://www.shareholds.com
https://www.browsersch.fr	https://www.hrsupportint.com	https://www.sharepointen.com
https://www.browsersch.it	https://www.mcsharepoint.com	https://www.sharepointin.com
https://www.browsersch.org	https://www.mesharepoint.com	https://www.sharepointle.com
https://www.docdeliveryapp.com	https://www.officence.com	https://www.sharesbyte.com
https://www.docdeliveryapp.net	https://www.officenced.com	https://www.sharession.com
https://www.docstoreinternal.com	https://www.officences.com	https://www.sharestion.com
https://www.docstoreinternal.net	https://www.officentry.com	https://www.supportin.de
https://www.doctorican.de	https://www.officested.com	https://www.supportin.es
https://www.doctorican.es	https://www.passwordle.de	https://www.supportin.fr
https://www.doctorican.fr	https://www.passwordle.fr	https://www.supportin.it
https://www.doctorican.it	https://www.passwordle.it	https://www.supportres.de
https://www.doctorican.org	https://www.passwordle.org	https://www.supportres.es
https://www.doctrical.com	https://www.payrolltooling.com	https://www.supportres.fr
https://www.doctrical.de	https://www.payrolltooling.net	https://www.supportres.it
https://www.doctrical.es	https://www.prizeably.com	https://www.supportres.org
https://www.doctrical.fr	https://www.prizeably.de	https://www.techidal.com
https://www.doctrical.it	https://www.prizeably.es	https://www.techidal.de
https://www.doctrical.org	https://www.prizeably.fr	https://www.techidal.fr
https://www.doctricant.com	https://www.prizeably.it	https://www.techidal.it
https://www.doctrings.com	https://www.prizeably.org	https://www.techniel.de
https://www.doctrings.de	https://www.prizegiveaway.net	https://www.techniel.es
https://www.doctrings.es	https://www.prizegives.com	https://www.techniel.fr
https://www.doctrings.fr	https://www.prizemons.com	https://www.techniel.it
https://www.doctrings.it	https://www.prizesforall.com	https://www.templateau.com
https://www.doctrings.org	https://www.prizewel.com	https://www.templatent.com
https://www.exportants.com	https://www.prizewings.com	https://www.templatern.com
https://www.exportants.de	https://www.resetts.de	https://www.windocyte.com
https://www.exportants.es	https://www.resetts.es
https://www.exportants.fr	https://www.resetts.fr

Nota:

Compruebe la disponibilidad de la dirección URL de suplantación de identidad simulada en los exploradores web compatibles antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Para obtener más información, consulte Direcciones URL de simulación de suplantación de identidad bloqueadas por Google Safe Browsing.

simulaciones de Create

Para obtener instrucciones sobre cómo crear e iniciar simulaciones, consulte Simulación de un ataque de suplantación de identidad (phishing).

La página de aterrizaje de la simulación es donde van los usuarios cuando abren la carga. Al crear una simulación, se selecciona la página de aterrizaje que se va a usar. Puede seleccionar entre páginas de aterrizaje integradas, páginas de aterrizaje personalizadas que ya ha creado o puede crear una nueva página de aterrizaje para usarla durante la creación de la simulación. Para crear páginas de aterrizaje, consulte Páginas de aterrizaje en Entrenamiento de simulación de ataque.

Las notificaciones de usuario final de la simulación envían recordatorios periódicos a los usuarios (por ejemplo, notificaciones de asignación de entrenamiento y avisos). Puede seleccionar entre notificaciones integradas, notificaciones personalizadas que ya ha creado o puede crear nuevas notificaciones para usarlas durante la creación de la simulación. Para crear notificaciones, consulte Notificaciones de usuario final para Entrenamiento de simulación de ataque.

Sugerencia

Las automatizaciones de simulación proporcionan las siguientes mejoras en comparación con las simulaciones tradicionales:

• Las automatizaciones de simulación pueden incluir varias técnicas de ingeniería social y cargas relacionadas (las simulaciones solo contienen una).
• Las automatizaciones de simulación admiten opciones de programación automatizadas (más que solo la fecha de inicio y la fecha de finalización en las simulaciones).

Para obtener más información, consulte Automatizaciones de simulación para Entrenamiento de simulación de ataque.

Cargas

Aunque la simulación de ataque contiene muchas cargas integradas para las técnicas de ingeniería social disponibles, puede crear cargas personalizadas para satisfacer mejor sus necesidades empresariales, incluida la copia y personalización de una carga existente. Puede crear cargas en cualquier momento antes de crear la simulación o durante la creación de la simulación. Para crear cargas, consulte Create una carga personalizada para Entrenamiento de simulación de ataque.

En las simulaciones que usan Credential Harvest o Link en técnicas de ingeniería social de datos adjuntos , las páginas de inicio de sesión forman parte de la carga que seleccione. La página de inicio de sesión es la página web donde los usuarios escriben sus credenciales. Cada carga aplicable usa una página de inicio de sesión predeterminada, pero puede cambiar la página de inicio de sesión que se usa. Puede seleccionar entre páginas de inicio de sesión integradas, páginas de inicio de sesión personalizadas que ya ha creado o puede crear una nueva página de inicio de sesión para usarla durante la creación de la simulación o la carga útil. Para crear páginas de inicio de sesión, consulte Páginas de inicio de sesión en Entrenamiento de simulación de ataque.

La mejor experiencia de entrenamiento para los mensajes de suplantación de identidad simulados es hacerlos lo más cercanos posible a los ataques de phishing reales que su organización podría experimentar. ¿Qué ocurre si pudiera capturar y usar versiones inofensivas de mensajes de suplantación de identidad del mundo real que se detectaron en Microsoft 365 y usarlos en campañas de suplantación de identidad simuladas? Puede, con automatizaciones de carga ( también conocidas como recolección de carga). Para crear automatizaciones de carga, consulte Automatizaciones de carga para Entrenamiento de simulación de ataque.

Informes e información

Después de crear e iniciar la simulación, debe ver cómo va. Por ejemplo:

• ¿Todos lo han recibido?
• Quién hizo lo que al mensaje de suplantación de identidad simulado y a la carga que contiene (eliminar, informar, abrir la carga, escribir credenciales, etc.).
• Quién completó el entrenamiento asignado.

Los informes y las conclusiones disponibles para Entrenamiento de simulación de ataque se describen en Conclusiones e informes para Entrenamiento de simulación de ataque.

Tasa de riesgo prevista

A menudo es necesario adaptar una campaña de suplantación de identidad simulada para audiencias específicas. Si el mensaje de suplantación de identidad está demasiado cerca de ser perfecto, casi todo el mundo se dejará engañar por él. Si es demasiado sospechoso, no se dejará engañar por ello. Además, los mensajes de suplantación de identidad que algunos usuarios consideran difíciles de identificar se consideran fáciles de identificar por otros usuarios. ¿Cómo logras un equilibrio?

La tasa de compromiso prevista (PCR) indica la eficacia potencial cuando se usa la carga útil en una simulación. PCR usa datos históricos inteligentes en Microsoft 365 para predecir el porcentaje de personas que se verán comprometidas por la carga útil. Por ejemplo:

• Contenido de carga.
• Tasas de riesgo agregadas y anonimizadas de otras simulaciones.
• Metadatos de carga.

PCR le permite comparar las tasas de clic previstas frente a reales para las simulaciones de phishing. También puede usar estos datos para ver cómo funciona su organización en comparación con los resultados previstos.

La información de PCR de una carga está disponible siempre que vea y seleccione las cargas, y en los informes e información siguientes:

• Impacto del comportamiento en la tarjeta de velocidad de riesgo
• Pestaña De eficacia de entrenamiento para el informe de simulación de ataques

Sugerencia

El simulador de ataques usa vínculos seguros en Defender para Office 365 para realizar un seguimiento seguro de los datos de clic de la dirección URL en el mensaje de carga que se envía a los destinatarios de destino de una campaña de suplantación de identidad (phishing), incluso si la configuración Seguimiento de clics del usuario en Directivas de vínculos seguros está desactivada.

Entrenamiento sin trucos

Las simulaciones de suplantación de identidad tradicionales presentan a los usuarios mensajes sospechosos y los siguientes objetivos:

• Hacer que los usuarios notifiquen el mensaje como sospechoso.
• Proporcione entrenamiento después de que los usuarios haga clic o inicie la carga malintencionada simulada y entregue sus credenciales.

Sin embargo, a veces no quiere esperar a que los usuarios realicen acciones correctas o incorrectas antes de darles entrenamiento. Entrenamiento de simulación de ataque proporciona las siguientes características para omitir la espera e ir directamente al entrenamiento:

• Campañas de entrenamiento: una campaña de entrenamiento es una asignación de solo entrenamiento para los usuarios de destino. Puede asignar directamente el entrenamiento sin poner a los usuarios a prueba de una simulación. Las campañas de aprendizaje facilitan la realización de sesiones de aprendizaje, como la formación mensual de concienciación sobre ciberseguridad. Para obtener más información, consulte Campañas de entrenamiento en Entrenamiento de simulación de ataque.

• Guías de procedimientos en simulaciones: las simulaciones basadas en la técnica de ingeniería social Guía de procedimientos no intentan probar a los usuarios. Una guía paso a paso es una experiencia de aprendizaje ligera que los usuarios pueden ver directamente en su Bandeja de entrada. Por ejemplo, están disponibles las siguientes cargas integradas de guía de procedimientos y puede crear las suyas propias (incluida la copia y personalización de una carga existente):

  • Guía didáctica: Cómo notificar mensajes de suplantación de identidad (phishing)
  • Guía de enseñanza: Cómo reconocer e informar de mensajes de suplantación de identidad QR