Compartir a través de

Introducción al uso de aprendizaje de simulación de ataques

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la versión de prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En organizaciones con Microsoft Defender para Office 365 Plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5), puede usar el entrenamiento de simulación de ataques en el portal de Microsoft Defender para ejecutar escenarios de ataque realistas en su organización. Estos ataques simulados pueden ayudarle a identificar y encontrar usuarios vulnerables antes de que un ataque real afecte a sus resultados.

En este artículo se explican los conceptos básicos del entrenamiento de simulación de ataques.

Vea este breve vídeo para obtener más información sobre el entrenamiento de simulación de ataques.

Nota:

El entrenamiento de simulación de ataque reemplaza la experiencia anterior de Attack Simulator v1 que estaba disponible en el Centro de cumplimiento de seguridad & en elsimulador de ataquesde administración de> amenazas o https://protection.office.com/attacksimulator.

¿Qué necesita saber antes de empezar?

  • El entrenamiento de simulación de ataques requiere una licencia de Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2 . Para obtener más información sobre los requisitos de licencia, consulte Términos de licencia.

  • El entrenamiento de simulación de ataques admite buzones locales, pero con una funcionalidad de informes reducida. Para obtener más información, vea Notificar problemas con buzones locales.

  • Para abrir el portal de Microsoft Defender, vaya a https://security.microsoft.com. El entrenamiento de simulación de ataques está disponible en Elentrenamiento de simulación de ataques por correo electrónico y colaboración>. Para ir directamente al entrenamiento de simulación de ataques, use https://security.microsoft.com/attacksimulator.

  • Para obtener más información sobre la disponibilidad del entrenamiento de simulación de ataques en distintas suscripciones de Microsoft 365, consulte Descripción del servicio Microsoft Defender para Office 365.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Permisos de Microsoft Entra: debe pertenecer a uno de los siguientes roles:

      • Administrador global¹
      • Administrador de seguridad
      • Administradores de simulación de ataques²: crea y administra todos los aspectos de las campañas de simulación de ataques.
      • Autor² de carga de ataque: cree cargas de ataque que un administrador pueda iniciar más adelante.

      Importante

      ¹ Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

      ² Actualmente no se admite la adición de usuarios a este grupo de roles en Correo electrónico & permisos de colaboración en el portal de Microsoft Defender .

      Actualmente, no se admite el control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR .

  • No hay ningún cmdlet de PowerShell correspondiente para el entrenamiento de simulación de ataques.

  • Los datos relacionados con la simulación de ataques y el entrenamiento se almacenan con otros datos de clientes para los servicios de Microsoft 365. Para obtener más información, consulte Ubicaciones de datos de Microsoft 365. El entrenamiento de simulación de ataques está disponible en las siguientes regiones: APC, EUR y NAM. Los países dentro de estas regiones donde está disponible el entrenamiento de simulación de ataques incluyen ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE y ZAF.

    Nota:

    NOR, ZAF, ARE y DEU son las últimas adiciones. Todas las características excepto la telemetría de correo electrónico notificada están disponibles en estas regiones. Estamos trabajando para habilitar las características y notificaremos a los clientes en cuanto la telemetría de correo electrónico notificada esté disponible.

  • A partir de septiembre de 2023, el entrenamiento de simulación de ataques está disponible en entornos de Microsoft 365 GCC y GCC High, pero algunas características avanzadas no están disponibles en GCC High (por ejemplo, automatización de carga, cargas recomendadas, la tasa de riesgo prevista). Si su organización tiene GCC de Office 365 G5 o Microsoft Defender para Office 365 (Plan 2) para Government, puede usar el entrenamiento de simulación de ataques como se describe en este artículo. El entrenamiento de simulación de ataques aún no está disponible en entornos de DoD.

Nota:

El entrenamiento de simulación de ataques ofrece un subconjunto de funcionalidades a los clientes de E3 como prueba. La oferta de prueba contiene la capacidad de usar una carga útil de Credential Harvest y la capacidad de seleccionar experiencias de entrenamiento de "phishing isa" o "phishing de mercado masivo". Ninguna otra funcionalidad forma parte de la oferta de prueba de E3.

Simulaciones

Una simulación en el entrenamiento de simulación de ataques es la campaña general que ofrece mensajes de suplantación de identidad realistas pero inofensivos a los usuarios. Los elementos básicos de una simulación son:

  • Quién obtiene el mensaje de suplantación de identidad simulado y en qué programación.
  • Entrenamiento que los usuarios obtienen en función de su acción o falta de acción (para acciones correctas e incorrectas) en el mensaje de suplantación de identidad simulado.
  • La carga útil que se usa en el mensaje simulado de suplantación de identidad (un vínculo o un archivo adjunto) y la composición del mensaje de suplantación de identidad (por ejemplo, paquete entregado, problema con su cuenta o ha ganado un premio).
  • La técnica de ingeniería social que se usa. La técnica de ingeniería social y carga útil están estrechamente relacionadas.

En El entrenamiento de simulación de ataques, hay disponibles varios tipos de técnicas de ingeniería social. Excepto la guía de procedimientos, estas técnicas se seleccionaron en el marco de MITRE ATT&CK®. Hay diferentes cargas disponibles para diferentes técnicas.

Están disponibles las siguientes técnicas de ingeniería social:

  • Cosecha de credenciales: un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.

  • Datos adjuntos de malware: un atacante envía al destinatario un mensaje que contiene datos adjuntos. Cuando el destinatario abre los datos adjuntos, se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.

  • Vínculo en datos adjuntos: esta técnica es un híbrido de una recopilación de credenciales. Un atacante envía al destinatario un mensaje que contiene una dirección URL dentro de un archivo adjunto. Cuando el destinatario abre los datos adjuntos y hace clic en la dirección URL, se le lleva a un sitio web que normalmente muestra un cuadro de diálogo que pide al usuario su nombre de usuario y contraseña. Normalmente, la página de destino está temática para representar un sitio web conocido con el fin de generar confianza en el usuario.

  • Vínculo a malware: un atacante envía al destinatario un mensaje que contiene un vínculo a un archivo adjunto en un sitio de uso compartido de archivos conocido (por ejemplo, SharePoint Online o Dropbox). Cuando el destinatario hace clic en la dirección URL, se abre el archivo adjunto y se ejecuta código arbitrario (por ejemplo, una macro) en el dispositivo del usuario para ayudar al atacante a instalar código adicional o a consolidarse aún más.

  • Unidad por dirección URL: un atacante envía al destinatario un mensaje que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, se le lleva a un sitio web que intenta ejecutar código en segundo plano. Este código en segundo plano intenta recopilar información sobre el destinatario o implementar un código arbitrario en su dispositivo. Normalmente, el sitio web de destino es un sitio web conocido que se ha visto comprometido o un clon de un sitio web conocido. La familiaridad con el sitio web ayuda a convencer al usuario de que el vínculo es seguro para hacer clic. Esta técnica también se conoce como ataque de agujero de riego.

  • Concesión de consentimiento de OAuth: un atacante crea una aplicación de Azure malintencionada que busca obtener acceso a los datos. La aplicación envía una solicitud de correo electrónico que contiene una dirección URL. Cuando el destinatario hace clic en la dirección URL, el mecanismo de concesión de consentimiento de la aplicación solicita acceso a los datos (por ejemplo, la Bandeja de entrada del usuario).

  • Guía paso a paso: guía didáctica que contiene instrucciones para los usuarios (por ejemplo, cómo informar de mensajes de phishing).

Las direcciones URL que usa el entrenamiento de simulación de ataques se enumeran en la tabla siguiente:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Nota:

Compruebe la disponibilidad de la dirección URL de suplantación de identidad simulada en los exploradores web compatibles antes de usar la dirección URL en una campaña de suplantación de identidad (phishing). Para obtener más información, consulte Direcciones URL de simulación de suplantación de identidad bloqueadas por Google Safe Browsing.

Creación de simulaciones

Para obtener instrucciones sobre cómo crear e iniciar simulaciones, consulte Simulación de un ataque de suplantación de identidad (phishing).

La página de aterrizaje de la simulación es donde van los usuarios cuando abren la carga. Al crear una simulación, se selecciona la página de aterrizaje que se va a usar. Puede seleccionar entre páginas de aterrizaje integradas, páginas de aterrizaje personalizadas que ya ha creado o puede crear una nueva página de aterrizaje para usarla durante la creación de la simulación. Para crear páginas de aterrizaje, consulte Páginas de aterrizaje en Entrenamiento de simulación de ataques.

Las notificaciones de usuario final de la simulación envían recordatorios periódicos a los usuarios (por ejemplo, notificaciones de asignación de entrenamiento y avisos). Puede seleccionar entre notificaciones integradas, notificaciones personalizadas que ya ha creado o puede crear nuevas notificaciones para usarlas durante la creación de la simulación. Para crear notificaciones, consulte Notificaciones de usuario final para el entrenamiento de simulación de ataques.

Sugerencia

Las automatizaciones de simulación proporcionan las siguientes mejoras en comparación con las simulaciones tradicionales:

  • Las automatizaciones de simulación pueden incluir varias técnicas de ingeniería social y cargas relacionadas (las simulaciones solo contienen una).
  • Las automatizaciones de simulación admiten opciones de programación automatizadas (más que solo la fecha de inicio y la fecha de finalización en las simulaciones).

Para obtener más información, consulte Automatizaciones de simulación para el entrenamiento de simulación de ataques.

Cargas

Aunque la simulación de ataque contiene muchas cargas integradas para las técnicas de ingeniería social disponibles, puede crear cargas personalizadas para satisfacer mejor sus necesidades empresariales, incluida la copia y personalización de una carga existente. Puede crear cargas en cualquier momento antes de crear la simulación o durante la creación de la simulación. Para crear cargas, consulte Creación de una carga personalizada para el entrenamiento de simulación de ataques.

En las simulaciones que usan Credential Harvest o Link en técnicas de ingeniería social de datos adjuntos , las páginas de inicio de sesión forman parte de la carga que seleccione. La página de inicio de sesión es la página web donde los usuarios escriben sus credenciales. Cada carga aplicable usa una página de inicio de sesión predeterminada, pero puede cambiar la página de inicio de sesión que se usa. Puede seleccionar entre páginas de inicio de sesión integradas, páginas de inicio de sesión personalizadas que ya ha creado o puede crear una nueva página de inicio de sesión para usarla durante la creación de la simulación o la carga útil. Para crear páginas de inicio de sesión, consulte Páginas de inicio de sesión en Entrenamiento de simulación de ataques.

La mejor experiencia de entrenamiento para los mensajes de suplantación de identidad simulados es hacerlos lo más cercanos posible a los ataques de phishing reales que su organización podría experimentar. ¿Qué ocurre si pudiera capturar y usar versiones inofensivas de mensajes de suplantación de identidad del mundo real que se detectaron en Microsoft 365 y usarlos en campañas de suplantación de identidad simuladas? Puede, con automatizaciones de carga ( también conocidas como recolección de carga). Para crear automatizaciones de carga, consulte Automatizaciones de carga para el entrenamiento de simulación de ataques.

Informes e información

Después de crear e iniciar la simulación, debe ver cómo va. Por ejemplo:

  • ¿Todos lo han recibido?
  • Quién hizo lo que al mensaje de suplantación de identidad simulado y a la carga que contiene (eliminar, informar, abrir la carga, escribir credenciales, etc.).
  • Quién completó el entrenamiento asignado.

Los informes y las conclusiones disponibles para el entrenamiento de simulación de ataques se describen en Información e informes para el entrenamiento de simulación de ataques.

Tasa de riesgo prevista

A menudo es necesario adaptar una campaña de suplantación de identidad simulada para audiencias específicas. Si el mensaje de suplantación de identidad está demasiado cerca de ser perfecto, casi todo el mundo se dejará engañar por él. Si es demasiado sospechoso, no se dejará engañar por ello. Además, los mensajes de suplantación de identidad que algunos usuarios consideran difíciles de identificar se consideran fáciles de identificar por otros usuarios. ¿Cómo logras un equilibrio?

La tasa de compromiso prevista (PCR) indica la eficacia potencial cuando se usa la carga útil en una simulación. PCR usa datos históricos inteligentes en Microsoft 365 para predecir el porcentaje de personas que se verán comprometidas por la carga útil. Por ejemplo:

  • Contenido de carga.
  • Tasas de riesgo agregadas y anonimizadas de otras simulaciones.
  • Metadatos de carga.

PCR le permite comparar las tasas de clic previstas frente a reales para las simulaciones de phishing. También puede usar estos datos para ver cómo funciona su organización en comparación con los resultados previstos.

La información de PCR de una carga está disponible siempre que vea y seleccione las cargas, y en los informes e información siguientes:

Sugerencia

El simulador de ataques usa vínculos seguros en Defender para Office 365 para realizar un seguimiento seguro de los datos de clic de la dirección URL en el mensaje de carga que se envía a los destinatarios de destino de una campaña de phishing, incluso si la opción Seguimiento de clics del usuario en Directivas de vínculos seguros está desactivada.

Entrenamiento sin trucos

Las simulaciones de suplantación de identidad tradicionales presentan a los usuarios mensajes sospechosos y los siguientes objetivos:

  • Hacer que los usuarios notifiquen el mensaje como sospechoso.
  • Proporcione entrenamiento después de que los usuarios haga clic o inicie la carga malintencionada simulada y entregue sus credenciales.

Sin embargo, a veces no quiere esperar a que los usuarios realicen acciones correctas o incorrectas antes de darles entrenamiento. El entrenamiento de simulación de ataques proporciona las siguientes características para omitir la espera e ir directamente al entrenamiento:

  • Campañas de entrenamiento: una campaña de entrenamiento es una asignación de solo entrenamiento para los usuarios de destino. Puede asignar directamente el entrenamiento sin poner a los usuarios a prueba de una simulación. Las campañas de aprendizaje facilitan la realización de sesiones de aprendizaje, como la formación mensual de concienciación sobre ciberseguridad. Para obtener más información, consulte Campañas de entrenamiento en Entrenamiento de simulación de ataques.

  • Guías de procedimientos en simulaciones: las simulaciones basadas en la técnica de ingeniería social Guía de procedimientos no intentan probar a los usuarios. Una guía paso a paso es una experiencia de aprendizaje ligera que los usuarios pueden ver directamente en su Bandeja de entrada. Por ejemplo, están disponibles las siguientes cargas integradas de guía de procedimientos y puede crear las suyas propias (incluida la copia y personalización de una carga existente):

    • Guía didáctica: Cómo notificar mensajes de suplantación de identidad (phishing)
    • Guía de enseñanza: Cómo reconocer e informar de mensajes de suplantación de identidad QR