Este artículo describe qué son las campañas de simulación en SMARTFENSE, qué tipos incluyen y cuándo conviene utilizar cada uno. El objetivo es ayudarle a elegir el formato adecuado según el vector de ataque que desee evaluar y la audiencia objetivo.
¿Qué son las campañas de simulación?
Las campañas de simulación son las que miden el comportamiento real de los usuarios frente a un ataque controlado. A diferencia de las campañas de concienciación, que se enfocan en transmitir conocimiento, las simulaciones reproducen escenarios de ataque para observar cómo reaccionan los usuarios y, opcionalmente, activar un Momento Educativo que concientice en el instante exacto en que se realiza una acción de riesgo.
La duración máxima de una campaña de simulación es de 4 días, lo que permite obtener resultados similares a los de campañas reales realizadas por ciberdelincuentes.
Tipos disponibles
SMARTFENSE incluye cinco tipos de campañas de simulación. Cada uno reproduce un vector de ataque distinto, lo que permite cubrir múltiples superficies de riesgo dentro de la organización.
Phishing
Correos que buscan engañar al usuario para que revele información confidencial. Incluyen enlaces que redirigen a una página con un formulario que intenta capturar esos datos. Permiten medir clics, ingreso de datos y reportes del correo.
Recomendado para evaluar el comportamiento frente al vector de ataque más común y reforzar el reconocimiento de correos maliciosos.
Cómo crear una campaña de simulación de Phishing.
Ransomware
Correos que buscan que el usuario descargue un archivo y haga doble clic en él. El archivo puede llegar como adjunto o mediante un enlace de descarga, y puede ser un HTML, un HTML comprimido en ZIP o un archivo ejecutable que verifica si es posible cifrar archivos en la carpeta del usuario.
Recomendado para evaluar la respuesta frente a archivos sospechosos y validar la efectividad de las herramientas de seguridad endpoint.
Cómo crear una campaña de simulación de Ransomware.
Smishing
SMS que buscan engañar al usuario para que revele información confidencial mediante mensajería móvil. Incluyen enlaces que redirigen a una página con un formulario que intenta capturar esos datos. Requiere disponer de Disparos de SMS y un número de teléfono válido en el perfil del usuario.
Recomendado para evaluar el comportamiento frente a ataques móviles, cada vez más frecuentes fuera del entorno corporativo.
Cómo crear una campaña de simulación de Smishing.
QR Phishing
Ejercicio en formato físico que utiliza un escenario con QR dentro de una campaña de Phishing o Ransomware. El QR se imprime y se coloca en un lugar físico de la organización (cartelera, ascensor, cafetería) y, al ser escaneado, redirige a la landing page del escenario.
Recomendado para evaluar el comportamiento frente a vectores de ataque físicos y reforzar la concienciación en espacios compartidos.
Cómo crear una campaña de simulación de QR Phishing.
USB Drop
Campañas que miden el comportamiento de los usuarios cuando encuentran una memoria USB que no les pertenece. Permiten conocer si abren los archivos contenidos en la memoria y si activan las Macros de los archivos abiertos. No requiere selección de usuarios: los datos se recolectan según las acciones realizadas con el contenido del dispositivo.
Recomendado para evaluar la respuesta frente a vectores de ataque físicos basados en dispositivos extraíbles.
Cómo crear una campaña de simulación de USB Drop.
Momento Educativo
Componente complementario que no se calendariza de forma independiente: se añade a una campaña de simulación de Phishing, Ransomware o Smishing desde la sección Acciones derivadas. Concientiza al usuario en el instante exacto en que realiza un comportamiento de riesgo dentro de la simulación, lo que aumenta el grado de asimilación del mensaje y promueve la adopción de hábitos seguros.
Recomendado para reforzar la concienciación dentro de simulaciones, enseñando al usuario en el momento más relevante del aprendizaje.
Qué es un Momento Educativo y cómo se utiliza.
💡 Mejores prácticas
- Aplicar un proceso de Whitelist en todas las herramientas de seguridad de la organización antes de lanzar campañas de Phishing o Ransomware, para evitar bloqueos y estadísticas generadas por software.
- Lanzar una Campaña de prueba previa a la campaña real para detectar falsos positivos, validar la navegabilidad de la landing page y confirmar la entrega de los correos o SMS.
- Combinar las simulaciones con un Momento Educativo para concientizar al usuario en el instante exacto en que realiza una acción insegura.
- Utilizar la opción de Envío aleatorio para reproducir comportamientos reales y reducir el efecto "aviso entre usuarios" durante la campaña.
- Mantener la duración de la campaña dentro del máximo de 4 días para obtener resultados realistas y comparables con ataques reales.
- Combinar simulaciones con campañas de concienciación para medir el impacto del contenido formativo en el comportamiento real del usuario.