Este artículo explica por qué es fundamental realizar un proceso de Whitelist antes de lanzar campañas de simulación de Phishing o Ransomware en SMARTFENSE, cómo impacta en la calidad de las métricas y qué dominios e IP deben permitirse para obtener resultados confiables.
Configuración disponible en la sección Configuración > Seguridad > Whitelist
Importancia del proceso de Whitelist
Antes de lanzar una campaña de simulación de Phishing o Ransomware, es fundamental realizar un proceso de Whitelist en cada una de las herramientas de seguridad de la organización.
Uno de los principales objetivos de este proceso es asegurar que el correo de la simulación llegue a la bandeja de entrada del usuario y no sea clasificado como SPAM.
¿Por qué es importante?
El objetivo final de una simulación es medir el comportamiento de los usuarios para determinar el nivel de riesgo de la organización.
Para lograrlo, es indispensable que todos los usuarios que forman parte del universo a evaluar reciban efectivamente la simulación.
Frecuentemente, los equipos de seguridad o IT esperan que las simulaciones superen todas las barreras tecnológicas sin configurar Whitelist.
Este enfoque puede funcionar en algunos casos y fallar en otros, pero el resultado es siempre el mismo: métricas incorrectas sobre el nivel real de riesgo.
Una simulación no está diseñada para medir la efectividad de las herramientas de seguridad, sino el comportamiento, las conductas y las acciones de las personas.
Por este motivo, configurar correctamente las Whitelists es clave para medir lo que realmente se desea medir.
Estadísticas generadas por software
El proceso de Whitelist también ayuda a reducir la generación de estadísticas falsas producidas por herramientas de seguridad.
Los correos de simulación contienen enlaces únicos que identifican de manera unívoca a un usuario dentro de una campaña.
Estos enlaces permiten registrar interacciones y evaluar el comportamiento del usuario.
Sin un Whitelist adecuado, las herramientas de seguridad:
Analizan los correos.
Acceden a los enlaces una o más veces.
Generan interacciones falsas en nombre del usuario destinatario.
Esto impide medir correctamente el comportamiento real del usuario, que es el objetivo principal de la simulación.
Un proceso correcto de Whitelist de dominios e IP permite obtener resultados limpios, confiables y útiles.
¿Cómo detecta SMARTFENSE las interacciones generadas por software?
Si en una campaña aparece la advertencia:
Advertencia: se ha detectado al menos una interacción generada por software
significa que SMARTFENSE identificó al menos una interacción no realizada por un usuario humano.
Las causas más comunes son:
Interacciones desde IPs o User-Agents configurados en Whitelist
En Configuración > Seguridad > Whitelist es posible definir rangos de direcciones IP y User-Agents.
Si una interacción proviene de alguno de estos valores, SMARTFENSE la clasifica automáticamente como generada por software.
Activación de enlaces especiales
Los correos, momentos educativos y archivos de las simulaciones incluyen enlaces especiales que no pueden ser activados por un usuario.
Solo las herramientas de seguridad pueden activarlos.
Cuando esto ocurre, la interacción se registra y se cataloga automáticamente como generada por software.
Análisis de interacciones previas
SMARTFENSE analiza las interacciones ocurridas dentro del rango de segundos configurado en Configuración > Seguridad > Whitelist.
Si existe al menos una interacción generada por software en ese rango, las nuevas interacciones también se clasifican de la misma manera.
Configuración de Whitelist
1. Direcciones IP y dominios de envío de correos
Se debe permitir el tráfico entrante desde las direcciones IP y dominios utilizados por los servidores de SMARTFENSE para notificaciones y simulaciones.
Direcciones IP
50.6.200.66
160.153.250.248
190.210.135.44
52.16.33.192
Dominios
livefense.com: simulaciones de phishing y ransomware
smartfense.com: correos de notificaciones externas
mail-takesecurity.com: correos de notificaciones
phishalertbutton.com: botón de reporte de phishing (versión nueva)
palertbutton.com: botón de reporte de phishing (versión anterior)
2. Dominios de navegación web
Estos dominios deben agregarse a la whitelist de navegación en proxy o firewall para el correcto funcionamiento de la plataforma.
Recursos y contenidos
sf-production-eu.s3.amazonaws.com: imágenes y recursos
cdn.takesecurity.com: visualización de videos
takesecurity.com: acciones de formación
takesecurity2.com: dominio de backup
takesecurity-ws.com: medición de tiempo dedicado
phishalertbutton.com
palertbutton.com
Dominios de páginas de destino de simulaciones
tk2.io: simulaciones de smishing
updates-app.com: simulaciones de phishing o ransomware
protected-request.com: simulaciones de phishing o ransomware
social-media-network.com: simulaciones de phishing o ransomware
shoppinglogin.com: simulaciones de phishing o ransomware
travel-checkout.com: simulaciones de phishing o ransomware
free-products-site.com: simulaciones de phishing o ransomware
correctcertificate.com: simulaciones de phishing o ransomware
registo-seguro.com: simulaciones de phishing o ransomware
proxy-www.com: simulaciones de phishing o ransomware
calls-link.com: simulaciones de phishing o ransomware
solucion-problemas.com: simulaciones de phishing o ransomware
pass-login.com: simulaciones de phishing o ransomware
online-corpweb.com: simulaciones de phishing o ransomware
official-org.com: simulaciones de phishing o ransomware
register-access.com: simulaciones de phishing o ransomware
compras-ok.com: simulaciones de phishing o ransomware
reclamos-online.com: simulaciones de phishing o ransomware
securewebdomains.com: simulaciones de phishing o ransomware
it-support-desk.com: simulaciones de phishing o ransomware
logincorporate.com: simulaciones de phishing o ransomware
registro-seguro.com: simulaciones de phishing o ransomware
store-access.com: simulaciones de phishing o ransomware
inicioseguro.com: simulaciones de phishing o ransomware
registro-sicuro.com: simulaciones de phishing o ransomware
e-mail-access.com: simulaciones de phishing o ransomware
hr-staff-net.com: simulaciones de phishing o ransomware
canjear-ahora.com: simulaciones de phishing o ransomware
vpn-corporativa.com: simulaciones de phishing o ransomware
actualizar-app.com: simulaciones de phishing o ransomware
Dominios para ambientes de prueba (Trial)
trial.inicioseguro.com
sf-trial-eu.s3.amazonaws.com
💡 Mejores prácticas
Realizar el proceso de Whitelist antes de lanzar cualquier campaña de simulación.
Configurar Whitelist tanto para correo electrónico como para navegación web.
Revisar periódicamente Configuración > Seguridad > Whitelist para ajustar IPs y User-Agents.