Saltar al contenido principal

Cómo crear una campaña de simulación de Ransomware

  • Actualización

Este artículo explica cómo calendarizar una campaña de simulación de Ransomware en SMARTFENSE, detallando cada campo de configuración disponible y los indicadores que recolecta la campaña.

¿Qué es una campaña de simulación de Ransomware?

Las campañas de simulación de Ransomware consisten en correos que buscan engañar al usuario con el objetivo de que descargue un archivo y, finalmente, haga doble clic en él. El archivo puede llegar como adjunto al correo electrónico o ser referenciado mediante un enlace de descarga. Ambos métodos pueden utilizarse en un mismo escenario.

Los archivos de cada escenario pueden ser de tres tipos:

  • Archivo HTML.
  • Archivo HTML comprimido dentro de un ZIP.
  • Archivo ejecutable (para Windows o Mac): crea un archivo temporal en la carpeta del usuario e intenta cifrar ese archivo temporal. Una vez completado el proceso, borra el archivo temporal.

El tipo de archivo se define al momento de crear o personalizar un escenario de Ransomware.

Crear la campaña

  1. Desde el menú principal, ingrese a Campañas > Calendario.
  2. Presione el botón Nueva campaña.
  3. Seleccione Ransomware.

Configuración de la campaña

Esencialmente, las campañas de simulación de Ransomware requieren los siguientes datos para ser calendarizadas:

  • Grupos
  • Escenario
  • Fecha de inicio
  • Fecha de expiración

SMARTFENSE detecta automáticamente la zona horaria del dispositivo del administrador al calendarizar. Las fechas y horarios que configure quedarán definidos en la zona horaria del dispositivo desde el cual está creando la campaña.

Grupos

Por defecto, SMARTFENSE permite seleccionar Grupos como destinatarios de una campaña. El resto de las opciones pueden desplegarse haciendo clic en el botón Más opciones ubicado en la parte inferior de la pantalla.

La plataforma requiere seleccionar al menos un destinatario para calendarizar una campaña.

Escenario

Define la temática de la campaña de simulación de Ransomware. Es posible seleccionar más de un escenario.

Si elige más de un escenario, al momento de enviarse la campaña cada usuario recibirá un escenario puntual seleccionado de manera aleatoria dentro del conjunto elegido. Esto significa que, aunque se seleccionen varios escenarios, cada usuario participará únicamente en uno. No es posible enviar múltiples escenarios al mismo usuario en una única campaña.

Fecha de inicio

Fecha en la que la campaña comienza a enviar los correos de simulación y a recolectar estadísticas de interacción.

A partir de la fecha de inicio, solo podrá modificar la fecha de expiración de la campaña mientras ésta se encuentre en curso. Esta acción puede realizarse desde el Calendario o Lista de campañas. Para hacerlo, ubique la campaña que desea editar y acceda a Ver detalle de campaña > Información y acciones.

Fecha de expiración

Fecha en la que la campaña deja de recolectar estadísticas.

La duración máxima de una campaña de simulación de Ransomware es de 4 días. Esto permite simular ataques más ajustados a la realidad y obtener resultados similares a los de campañas realizadas por ciberdelincuentes.

Más opciones

Los siguientes campos se despliegan haciendo clic en el botón Más opciones, ubicado en la parte inferior de la pantalla.

Modalidad

Define cómo se asignan los usuarios a la campaña. Existen dos opciones:

  • Asignación inicial única y fecha de expiración específica: todos los usuarios destinatarios son asignados al llegar la Fecha de inicio. Los cambios realizados en las agrupaciones después de esa fecha no se consideran.
  • Asignación recurrente y duración relativa: la campaña verifica periódicamente los usuarios que cumplen las condiciones de destinatario y los asigna de forma automática. La fecha de expiración de cada usuario se calcula en función de la Duración en días definida, a partir del momento en que es asignado.

Gestión de usuarios en campañas de Asignación recurrente y duración relativa:

  • Los usuarios que se agregan a una agrupación destinataria después de la fecha de inicio se asignan automáticamente, pero al día siguiente de la edición y en el mismo horario que la fecha de inicio (no es inmediato).
  • Los usuarios que se quitan de la agrupación después de estar asignados siguen asignados a la campaña.

Destinatarios

En esta sección pueden seleccionarse distintos tipos de agrupaciones como destinatarios de la campaña: Grupos, Áreas funcionales, Niveles jerárquicos, Grupos inteligentes y Usuarios individuales.

Puede combinar las agrupaciones seleccionadas de dos maneras:

  • Asignar a los usuarios que pertenecen al menos a una agrupación de cada tipo.
  • Asignar a los usuarios que pertenecen a cualquiera de las agrupaciones seleccionadas.

Los usuarios deben pertenecer al menos a una agrupación de cada tipo

Serán asignados a la campaña aquellos usuarios que cumplan con cada uno de los siguientes puntos:

  • Formar parte de al menos uno de los Grupos seleccionados.
  • Además, formar parte de al menos una de las Áreas funcionales seleccionadas.
  • Adicionalmente, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
  • Y finalmente, formar parte de al menos uno de los Grupos inteligentes seleccionados.

Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas

Serán asignados a la campaña aquellos usuarios que cumplan con cualquiera de los siguientes puntos:

  • Formar parte de al menos uno de los Grupos seleccionados.
  • O bien, formar parte de al menos una de las Áreas funcionales seleccionadas.
  • O bien, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
  • O bien, formar parte de al menos uno de los Grupos inteligentes seleccionados.

Planificación

Además de la elección de fecha de inicio y expiración, las campañas de simulación de Ransomware permiten seleccionar el tipo de envío:

  • Envío normal: los correos se envían a todos los usuarios destinatarios al llegar la fecha y hora de inicio de la campaña.
  • Envío aleatorio: los correos se envían en diferentes momentos del día a cada usuario. El envío se realiza en la primera mitad del rango entre la fecha de inicio y la fecha de expiración, entre las 09:00 y las 18:00 horas.

La plataforma garantiza que todos los usuarios asignados reciban el correo durante los días de envío. La campaña continúa vigente y recolectando estadísticas hasta el día seleccionado como fecha de expiración.

El envío aleatorio no puede utilizarse para que cada usuario reciba un escenario aleatorio. La aleatoriedad se refiere únicamente al día y hora de envío.

Las campañas con envío aleatorio no pueden comenzar el mismo día en que son creadas o calendarizadas. Es necesario configurar una fecha de inicio futura.

Datos de la campaña

  • Nombre: identifica la campaña dentro de la plataforma.
  • Descripción: se muestra en el calendario al posicionar el cursor sobre la campaña.
  • Campaña de prueba: si activa esta opción, la campaña se ejecuta sin afectar los reportes ni generar registros en la auditoría de usuarios o campañas.

Acciones derivadas

Permite añadir un Momento Educativo a la campaña de simulación de Ransomware. Los Momentos Educativos se utilizan para concienciar al usuario en el instante en que realiza un comportamiento inseguro dentro de la simulación.

Para configurarlo debe definir:

  • Tópico del Momento Educativo.
  • Acción del usuario que activa su envío:
    • Hacer clic en el enlace de descarga de Ransomware recibido por correo electrónico.
    • Abrir el Ransomware descargado.
    • Ejecutar el Ransomware y provocar una encriptación exitosa.
  • Modo de entrega:
    • Instantáneamente al ocurrir la acción en el navegador web.
    • Instantáneamente al ocurrir la acción en el navegador web y además enviarlo por correo en ese mismo momento.
    • Seleccionar una fecha posterior a la expiración de la campaña para enviar todos los Momentos Educativos que correspondan mediante correo electrónico.

El Momento Educativo tendrá una pregunta final de validación y un feedback posterior a la respuesta del usuario. Ambos tienen componentes editables desde Configuración > Simulaciones > Momentos educativos.

Avanzado

Envío muestral

Si activa esta opción, el correo de simulación se envía únicamente a una muestra del total de destinatarios. Debe ingresar el tamaño de la muestra como un porcentaje. Los usuarios incluidos se eligen de manera aleatoria sobre el total de destinatarios.

URL de Ransomware

Define la URL utilizada en los correos de simulación de Ransomware.

  • Utilizar URLs de SMARTFENSE (opción por defecto): el enlace se forma con el subdominio de la plataforma y un dominio seleccionado aleatoriamente de una lista de dominios de SMARTFENSE destinados a alojar trampas de Ransomware simulado.
  • Utilizar URL personalizada: permite seleccionar un Nombre de host personalizado, gestionado en Configuración > Organización > Nombres de host, y elegir explícitamente un dominio de la lista de dominios disponibles.

Si selecciona la opción de Dominio aleatorio, la plataforma elegirá un dominio de manera aleatoria para todos los enlaces de la campaña. Este dominio será el mismo para todos los usuarios destinatarios. Si desea utilizar un dominio personalizado, comuníquese con soporte técnico desde el Centro de ayuda.

Enviarme prueba

Antes de calendarizar la campaña, puede recibir una prueba en su correo presionando el botón Enviarme prueba. La prueba toma en cuenta los siguientes parámetros configurados:

  • Escenario: la prueba se envía con el escenario configurado.
  • Momento Educativo: se aplicará la configuración definida.

Otros parámetros como URL de Ransomware no tienen efecto en el botón Enviarme prueba. Su efecto solo puede verse en una campaña calendarizada.

Estadísticas generadas por software

Antes de lanzar una campaña de simulación de Phishing o Ransomware es importante aplicar un proceso de Whitelist en todas las herramientas de la organización que interactúan con los correos enviados desde SMARTFENSE. Esto garantiza que:

  • El correo de la simulación llegue a la bandeja de entrada y no a SPAM.
  • Las herramientas de seguridad no interactúen con el correo generando estadísticas en nombre del usuario.

Antes de Guardar la campaña, la plataforma solicita confirmar que el Whitelist se aplicó correctamente y que se lanzaron campañas de prueba a una muestra representativa sin evidenciar bloqueos ni interacciones de software.

Indicadores que recolecta la campaña

Una vez iniciada, la campaña registra los siguientes indicadores:

  • Enviados: se envió el correo al usuario.
  • Abiertos: el usuario abrió el correo.
  • Ransomware descargado: se descargó el Ransomware por medio de un enlace.
  • Ransomware abierto: se abrió el Ransomware descargado por medio de un enlace.
  • Ransomware adjunto abierto: se abrió el Ransomware descargado por medio de un archivo adjunto.
  • Momentos educativos enviados por email: el usuario realizó una acción que activó el envío del Momento Educativo por email.
  • Momentos educativos abiertos: el usuario visualizó el Momento Educativo en su correo electrónico o de manera instantánea en su navegador.
  • Momentos educativos contestados correctamente: el usuario contestó correctamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.
  • Momentos educativos contestados incorrectamente: el usuario contestó incorrectamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.
  • Campaña de ransomware reportada: el usuario reportó el correo recibido. Este indicador estará disponible si instaló el botón de reporte de phishing.

Solo para escenarios con archivos ejecutables:

  • Encriptación posible en carpeta del usuario: la simulación verificó que es posible encriptar archivos en la carpeta del usuario.

💡 Mejores prácticas

  • Envíe una Campaña de prueba para analizar las estadísticas y revisar si existen falsos positivos. De ser necesario revise la aplicación de whitelist.
  • Defina una Fecha de expiración acorde al objetivo y mantenga la campaña dentro del máximo de 4 días para obtener resultados realistas.
  • Utilice Envío aleatorio para simular comportamientos reales y reducir el efecto "aviso entre usuarios" durante la campaña.
  • Combine la simulación de Ransomware con un Momento Educativo para concienciar al usuario en el momento exacto en que realiza un comportamiento inseguro.
  • Use Enviarme prueba para validar el escenario antes de calendarizar la campaña.
  • Si utiliza escenarios con archivos ejecutables, revise el indicador Encriptación posible en carpeta del usuario para evaluar el comportamiento de la simulación.

Relacionada con

Artículos relacionados