Este artículo explica por qué se generan falsos positivos en simulaciones de Phishing, Smishing y Ransomware, cuáles son sus causas más comunes y cómo SMARTFENSE permite detectarlos y gestionarlos para obtener resultados confiables.
Introducción
Los falsos positivos en simulaciones de Phishing, Smishing y Ransomware son una realidad permanente en prácticamente todas las organizaciones.
Este problema es independiente de la herramienta utilizada para simular ataques. La diferencia no está en si ocurren o no, sino en cómo se detectan y gestionan.
Cómo se generan los falsos positivos
Los correos de simulación incluyen enlaces únicos que identifican de forma unívoca a un usuario dentro de una campaña.
Estos enlaces permiten registrar las interacciones del usuario y medir su comportamiento.
Cuando un software accede a estos enlaces, una o más veces, se generan interacciones falsas en nombre del usuario destinatario, dando lugar a falsos positivos.
| Nota: este fenómeno no es exclusivo de las simulaciones de seguridad. Ocurre también en herramientas de marketing y cualquier sistema que mida comportamiento humano mediante enlaces. |
¿Qué herramientas provocan los falsos positivos?
Respuesta breve
Casi todas.
Respuesta detallada
El origen de los falsos positivos es amplio y dinámico, por lo que no es posible mantener un listado exhaustivo. Además, este comportamiento aplica tanto a dispositivos corporativos como personales.
Entre las principales fuentes se encuentran:
Soluciones de seguridad
Filtros antispam y antiphishing
IDS / IPS
DLP
Gateways de seguridad de correo electrónico
Antivirus
Soluciones de análisis y monitoreo continuo
Archiving and Discovery
Threat Intelligence
Software del entorno del usuario
Clientes de correo desktop, web o mobile
Extensiones de navegador
Plugins de bandeja de entrada
Herramientas de previsualización de enlaces
Otras aplicaciones web o móviles
¿Cómo evitar los falsos positivos?
En el entorno corporativo
En las herramientas, dispositivos y aplicaciones bajo control de la organización, es posible intentar mitigarlos mediante Whitelist.
Es importante aclarar que el objetivo principal del Whitelist es asegurar la entrega de la simulación al usuario.
Si bien puede ayudar, no elimina el problema de fondo, ya que muchas herramientas continúan analizando los correos aun estando whitelisteados.
Además, implementar Whitelist en todas las tecnologías involucradas suele ser complejo o directamente imposible.
En el entorno personal
Cuando el usuario utiliza dispositivos personales, el margen de acción es mínimo.
La única alternativa sería intervenir directamente el dispositivo del usuario para limpiar o configurar herramientas, lo cual no es realista ni escalable.
¿Cómo detectar los falsos positivos?
Opción 1: detección automática
La mejor alternativa es utilizar una herramienta de simulación que detecte los falsos positivos automáticamente y alerte cuando una campaña está afectada.
Idealmente, esta herramienta debería ofrecer:
Direcciones IP de origen
Información Whois
User-Agent de las interacciones
Trace HTTP que generó el falso positivo
mejor aún: contar con un partner que administre SMARTFENSE y se encargue de toda esta gestión.
Opción 2: detección manual
Si no se cuenta con una herramienta que detecte falsos positivos, la detección manual es posible, aunque poco confiable.
Cuando el problema es evidente
Ejemplo:
Correos enviados: 1000
Correos abiertos: 900
Clics en enlaces: 900
En estos casos es claro que algo no es correcto.
Se pueden aplicar estrategias manuales como:
Descartar interacciones ocurridas inmediatamente después del envío.
Identificar aperturas y clics con diferencias de segundos mínimas.
Aun así, la campaña queda contaminada y los resultados no son confiables.
Cuando el problema no es evidente
Este es el escenario más peligroso.
Los resultados parecen válidos, pero contienen falsos positivos invisibles.
La organización toma decisiones basadas en datos incorrectos y el problema suele detectarse demasiado tarde, cuando un usuario reclama haber sido acusado injustamente.
Ideas finales
En 2019, un cliente de SMARTFENSE detectó que algunos usuarios negaban haber interactuado con simulaciones, pese a que los registros indicaban aperturas y clics.
La causa: soluciones de seguridad que interactuaban con los correos antes de llegar al usuario.
Frente a esto, existían dos caminos:
Culpar al cliente y recomendar Whitelist.
Desarrollar una solución real para obtener resultados confiables.
SMARTFENSE eligió el segundo camino.
Así nació el algoritmo de detección de falsos positivos, hoy robusto, personalizable y en constante evolución.
Sin una funcionalidad de este tipo, no es posible obtener resultados confiables en simulaciones de Phishing, independientemente de la organización.
💡 Mejores prácticas
Asumir que los falsos positivos siempre existirán y gestionarlos adecuadamente.4
Evitar tomar decisiones críticas basadas en campañas no depuradas.
Personalizar el algoritmo de detección según la realidad tecnológica de la organización.