Saltar al contenido principal

Cómo crear una campaña de simulación de Smishing

  • Actualización

Este artículo explica cómo calendarizar una campaña de simulación de Smishing en SMARTFENSE, detallando cada campo de configuración disponible y los indicadores que recolecta la campaña.

¿Qué es una campaña de simulación de Smishing?

Las campañas de simulación de Smishing consisten en SMS que buscan engañar al usuario con el objetivo de que revele información confidencial. Estos SMS incluyen enlaces que redirigen a una página con un formulario que intenta capturar esa información.

Permiten medir el comportamiento real de los usuarios frente a un ataque controlado por mensajería móvil y, en caso de detectar un comportamiento inseguro, activar un Momento Educativo para concienciar al usuario en el momento justo.

Crear la campaña

  1. Desde el menú principal, ingrese a Campañas > Calendario.
  2. Presione el botón Nueva campaña.
  3. Seleccione Smishing.

Configuración de la campaña

Esencialmente, las campañas de simulación de Smishing requieren los siguientes datos para ser calendarizadas:

  • Grupos
  • Escenario
  • Fecha de inicio
  • Fecha de expiración

SMARTFENSE detecta automáticamente la zona horaria del dispositivo del administrador al calendarizar. Las fechas y horarios que configure quedarán definidos en la zona horaria del dispositivo desde el cual está creando la campaña.

Grupos

Por defecto, SMARTFENSE permite seleccionar Grupos como destinatarios de una campaña. El resto de las opciones pueden desplegarse haciendo clic en el botón Más opciones ubicado en la parte inferior de la pantalla.

La plataforma requiere seleccionar al menos un destinatario para calendarizar una campaña.

Escenario

Define la temática de la campaña de simulación de Smishing. Es posible seleccionar más de un escenario.

Si elige más de un escenario, al momento de enviarse la campaña cada usuario recibirá un escenario puntual seleccionado de manera aleatoria dentro del conjunto elegido. Esto significa que, aunque se seleccionen varios escenarios, cada usuario participará únicamente en uno. No es posible enviar múltiples escenarios al mismo usuario en una única campaña.

Fecha de inicio

Fecha en la que la campaña comienza a enviar los SMS de simulación y a recolectar estadísticas de interacción.

A partir de la fecha de inicio, solo podrá modificar la fecha de expiración de la campaña mientras ésta se encuentre en curso. Esta acción puede realizarse desde el Calendario o Lista de campañas. Para hacerlo, ubique la campaña que desea editar y acceda a Ver detalle de campaña > Información y acciones.

Fecha de expiración

Fecha en la que la campaña deja de recolectar estadísticas.

La duración máxima de una campaña de simulación de Smishing es de 4 días. Esto permite simular ataques más ajustados a la realidad y obtener resultados similares a los de campañas realizadas por ciberdelincuentes.

Más opciones

Los siguientes campos se despliegan haciendo clic en el botón Más opciones, ubicado en la parte inferior de la pantalla.

Modalidad

Define cómo se asignan los usuarios a la campaña. Existen dos opciones:

  • Asignación inicial única y fecha de expiración específica: todos los usuarios destinatarios son asignados al llegar la Fecha de inicio. Los cambios realizados en las agrupaciones después de esa fecha no se consideran.
  • Asignación recurrente y duración relativa: la campaña verifica periódicamente los usuarios que cumplen las condiciones de destinatario y los asigna de forma automática. La fecha de expiración de cada usuario se calcula en función de la Duración en días definida, a partir del momento en que es asignado.

Gestión de usuarios en campañas de Asignación recurrente y duración relativa:

  • Los usuarios que se agregan a una agrupación destinataria después de la fecha de inicio se asignan automáticamente, pero al día siguiente de la edición y en el mismo horario que la fecha de inicio (no es inmediato).
  • Los usuarios que se quitan de la agrupación después de estar asignados siguen asignados a la campaña.

Número de teléfono

Para enviar los mensajes de Smishing se utiliza el número de teléfono configurado en el perfil del usuario. Asegúrese de que el número esté guardado en el formato correcto, incluyendo el código de país.

Por defecto se recomienda que el código de país se añada sin un signo + ni dobles ceros al inicio. Por ejemplo, un destinatario válido podría ser el número 34541498675, donde:

  • 34 es el código de país.
  • 54 es el prefijo.
  • 1498675 es el número de teléfono.

Si existen problemas con la entrega, puede probar las siguientes variantes:

  • Reemplazar el código de país por +34.
  • Reemplazar el código de país por 0034.
  • Añadir un punto luego del código de país: +34.541498675.

Importación de usuarios

Los procesos de importación permiten cargar el número de teléfono del usuario.

  • Para importaciones mediante archivo CSV o API, el teléfono es un campo más que debe completarse con el formato correcto.
  • Para la importación desde Microsoft Entra ID, el teléfono se obtiene del campo mobilePhone. Si es null, se busca el primer número disponible en la lista de businessPhones.
  • Para la importación desde Google, se utiliza la lista de teléfonos del campo phones. Si hay uno marcado como primary, se toma ese; en caso contrario, se utiliza el primero de la lista.

Si el usuario final o el administrador establecieron manualmente un teléfono, no se sobrescribe con los datos de la importación. El usuario puede establecer un teléfono desde su perfil, o un administrador puede modificarlo desde la tabla de Usuarios.

Destinatarios

En esta sección pueden seleccionarse distintos tipos de agrupaciones como destinatarios de la campaña: Grupos, Áreas funcionales, Niveles jerárquicos, Grupos inteligentes y Usuarios individuales.

Puede combinar las agrupaciones seleccionadas de dos maneras:

  • Asignar a los usuarios que pertenecen al menos a una agrupación de cada tipo.
  • Asignar a los usuarios que pertenecen a cualquiera de las agrupaciones seleccionadas.

Los usuarios deben pertenecer al menos a una agrupación de cada tipo

Serán asignados a la campaña aquellos usuarios que cumplan con cada uno de los siguientes puntos:

  • Formar parte de al menos uno de los Grupos seleccionados.
  • Además, formar parte de al menos una de las Áreas funcionales seleccionadas.
  • Adicionalmente, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
  • Y finalmente, formar parte de al menos uno de los Grupos inteligentes seleccionados.

Los usuarios deben pertenecer a cualquiera de las agrupaciones seleccionadas

Serán asignados a la campaña aquellos usuarios que cumplan con cualquiera de los siguientes puntos:

  • Formar parte de al menos uno de los Grupos seleccionados.
  • O bien, formar parte de al menos una de las Áreas funcionales seleccionadas.
  • O bien, formar parte de al menos uno de los Niveles jerárquicos seleccionados.
  • O bien, formar parte de al menos uno de los Grupos inteligentes seleccionados.

Planificación

Además de la elección de fecha de inicio y expiración, las campañas de simulación de Smishing permiten seleccionar el tipo de envío:

  • Envío normal: los SMS se envían a todos los usuarios destinatarios al llegar la fecha y hora de inicio de la campaña.
  • Envío aleatorio: los SMS se envían en diferentes momentos del día a cada usuario. El envío se realiza en la primera mitad del rango entre la fecha de inicio y la fecha de expiración, entre las 09:00 y las 18:00 horas.

Los usuarios asignados recibirán el SMS durante los días de envío. La campaña continúa vigente y recolectando estadísticas hasta el día seleccionado como fecha de expiración.

El envío aleatorio no puede utilizarse para que cada usuario reciba un escenario aleatorio. La aleatoriedad se refiere únicamente al día y hora de envío.

Datos de la campaña

  • Nombre: identifica la campaña dentro de la plataforma.
  • Descripción: se muestra en el calendario al posicionar el cursor sobre la campaña.
  • Campaña de prueba: si activa esta opción, la campaña se ejecuta sin afectar los reportes ni generar registros en la auditoría de usuarios o campañas.

Acciones derivadas

Permite añadir un Momento Educativo a la campaña de simulación de Smishing. Los Momentos Educativos se utilizan para concienciar al usuario en el instante en que realiza un comportamiento inseguro dentro de la simulación.

Para configurarlo debe definir:

  • Tópico del Momento Educativo.
  • Acción del usuario que activa su envío:
    • Hacer clic en el enlace de Smishing recibido por SMS.
    • Ingresar datos en la página de Smishing.
  • Modo de entrega:
    • Instantáneamente al ocurrir la acción en el navegador web.
    • Instantáneamente al ocurrir la acción en el navegador web y además enviarlo por correo en ese mismo momento.
    • Seleccionar una fecha posterior a la expiración de la campaña para enviar todos los Momentos Educativos que correspondan mediante correo electrónico.

El Momento Educativo tendrá una pregunta final de validación y un feedback posterior a la respuesta del usuario. Ambos tienen componentes editables desde Configuración > Simulaciones > Momentos educativos.

Avanzado

Envío muestral

Si activa esta opción, el SMS de simulación se envía únicamente a una muestra del total de destinatarios. Debe ingresar el tamaño de la muestra como un porcentaje. Los usuarios incluidos se eligen de manera aleatoria sobre el total de destinatarios.

URL de Smishing

Define la URL utilizada en los SMS de simulación de Smishing.

  • Utilizar URLs de SMARTFENSE (opción por defecto): el enlace se forma con el subdominio de la plataforma y un dominio seleccionado aleatoriamente de una lista de dominios de SMARTFENSE destinados a alojar trampas de Smishing simulado.
  • Utilizar URL personalizada: permite seleccionar un Nombre de host personalizado, gestionado en Configuración > Organización > Nombres de host, y elegir explícitamente un dominio de la lista de dominios disponibles.

Si selecciona la opción de Dominio aleatorio, la plataforma elegirá un dominio de manera aleatoria para todos los enlaces de la campaña. Este dominio será el mismo para todos los usuarios destinatarios. Si desea utilizar un dominio personalizado, comuníquese con soporte técnico desde el Centro de ayuda.

Ingreso de contraseña

Define el comportamiento del formulario de login en la página de destino de la simulación.

  • Permitir al usuario introducir su contraseña (opción por defecto): se registra únicamente si se ingresaron o no datos en el formulario. Los datos ingresados no se guardan, no se analizan, ni se manipulan en ningún momento.
  • Impedir al usuario introducir su contraseña: el campo de contraseña queda deshabilitado. El usuario solo puede ingresar un carácter en el campo de nombre de usuario. Al hacerlo, el formulario se envía automáticamente y se registra la estadística de Datos ingresados.

En la página de destino, los campos que hacen referencia al nombre de usuario y contraseña deben tener el atributo name="user" y name="password" respectivamente, para que la plataforma capture correctamente la acción del usuario.

Enviarme prueba

Antes de calendarizar la campaña, puede recibir una prueba en su número configurado presionando el botón Enviarme prueba. La prueba toma en cuenta los siguientes parámetros configurados:

  • Escenario: la prueba se envía con el escenario configurado.
  • Ingreso de contraseña: el formulario permitirá o no el ingreso de la contraseña según lo configurado.
  • Momento Educativo: se aplicará la configuración definida.

Otros parámetros como URL de Smishing no tienen efecto en el botón Enviarme prueba. Su efecto solo puede verse en una campaña calendarizada.

Disparos de SMS disponibles

Para utilizar la funcionalidad de Smishing es necesario disponer de Disparos de SMS. Cada SMS enviado consume un disparo.

Puede consultar la cantidad de disparos disponibles en:

  • En la nota informativa que aparece al seleccionar Destinatarios, muestra a cuántos usuarios alcanzará la campaña y cuántos disparos de SMS quedan disponibles.
  • Dashboard > General, en el cuadro Información de contratación, junto a la fecha de fin de vigencia y los componentes contratados.

Indicadores que recolecta la campaña

Una vez iniciada, la campaña registra los siguientes indicadores:

  • Enviados: se envió el SMS al usuario.
  • Entregados: se entregó el SMS al usuario.
  • Click sobre el enlace: el usuario hizo clic en un enlace dentro del SMS de simulación de Smishing.
  • Datos ingresados: el usuario ingresó datos en el formulario de la página de destino de la simulación de Smishing.
  • Momentos educativos enviados por email: el usuario realizó una acción que activó el envío del Momento Educativo por email.
  • Momentos educativos abiertos: el usuario visualizó el Momento Educativo en su correo electrónico o de manera instantánea en su navegador.
  • Momentos educativos contestados correctamente: el usuario contestó correctamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.
  • Momentos educativos contestados incorrectamente: el usuario contestó incorrectamente la pregunta del Momento Educativo utilizada para validar la lectura del mismo.

Estados de los SMS

En la Auditoría de la campaña, dentro de Detalle de campaña, cada SMS puede tener los siguientes estados:

  • Esperando confirmación de entrega: el SMS fue enviado al operador y se espera confirmación de entrega exitosa.
  • Entregado: el SMS fue entregado al destinatario.
  • Reintentando entrega: el operador reintentará entregarlo hasta que expire la campaña.
  • Expirado: el operador no pudo entregar el mensaje y la campaña expiró.
  • Error en la entrega: el SMS no pudo ser entregado al destinatario.

Motivos de error en la entrega

  • Unknown subscriber: el número del destinatario no está asociado a una línea activa.
  • Insufficient balance: el costo del envío es mayor que el crédito disponible en la cuenta.
  • Generic delivery failure: el operador no brindó más información sobre el error.
  • Unavailable subscriber: la línea del destinatario no está disponible en este momento.
  • Received network error: la red del destinatario presenta un problema que impide entregar el SMS.
  • Opted out: el destinatario revocó el consentimiento para recibir SMS desde la línea emisora.
  • Carrier rejected: el operador del receptor bloquea el mensaje. Puede deberse a la falta de registro de la campaña (en algunos países es obligatorio registrar campañas de SMS) o a contenido prohibido o ilegal según las normativas del país.
  • Capacity limit reached: el operador bloquea la recepción por límites de cantidad de SMS en un período o políticas del país (por ejemplo, envíos permitidos solo en horarios específicos).

Problemas conocidos

A continuación se listan los problemas más frecuentes al trabajar con campañas que envían SMS.

Suplantación de identidad

En algunos países no es posible enviar SMS realizando suplantación de identidad. En casos puntuales, este tipo de SMS solo se entrega si el número del remitente utiliza un código de país diferente al del receptor. En esas situaciones, el remitente puede reemplazarse por un número genérico (por ejemplo, 1234).

Adicionalmente, enviar un SMS de suplantación de identidad dentro del mismo operador de telefonía móvil y dentro del mismo país puede no funcionar.

Problemas con el remitente del SMS

En SMARTFENSE es posible personalizar el remitente de los SMS con una cadena alfanumérica de hasta 11 caracteres o un número de teléfono. Si el remitente deseado no es aceptado, pruebe con variantes como:

  • Reemplazar el código de país por +34.
  • Reemplazar el código de país por 0034.
  • Añadir un punto luego del código de país: +34.541498675.

Si ninguna variante funciona, puede utilizar un remitente vacío. En ese caso, el operador asignará un valor de remitente por defecto. Si el envío funciona correctamente con el remitente por defecto, se recomienda utilizar como remitente una cadena alfanumérica (por ejemplo, José Vicente) en lugar de un número telefónico.

Problemas con el número del receptor

Un mensaje puede no entregarse si el número del receptor no está guardado con el formato correcto. Asegúrese de que el número de los usuarios incluya el código de país, sin signo + ni dobles ceros al inicio. Si existen problemas de entrega, pruebe las variantes mencionadas en la sección Número de teléfono.

Problemas con enlaces

Algunos operadores bloquean los enlaces presentes en los SMS. En estos casos puede probar eliminar el protocolo (http o https) de la URL.

💡 Mejores prácticas

  • Envíe una Campaña de prueba para analizar las estadísticas y detectar posibles problemas de entrega antes de un envío masivo.
  • Verifique el Número de teléfono en el perfil de los usuarios y asegúrese de que el código de país tenga el formato recomendado.
  • Defina una Fecha de expiración acorde al objetivo y mantenga la campaña dentro del máximo de 4 días para obtener resultados realistas.
  • Utilice Envío aleatorio para simular comportamientos reales y reducir el efecto "aviso entre usuarios" durante la campaña.
  • Combine la simulación de Smishing con un Momento Educativo para concienciar al usuario en el momento exacto en que realiza un comportamiento inseguro.
  • Use Enviarme prueba para validar el escenario y el comportamiento del formulario antes de calendarizar la campaña.
  • Revise los Disparos de SMS disponibles en Dashboard > General y en la nota informativa al seleccionar Destinatarios para evitar fallas por crédito insuficiente.
  • Si detecta Error en la entrega o Carrier rejected, ajuste el remitente o el formato del número y considere las restricciones del país u operador antes de relanzar la campaña.

Relacionada con

Artículos relacionados