Saltar al contenido principal

Cómo crear una campaña de simulación de QR Phishing

  • Actualización

Este artículo explica cómo realizar un ejercicio de simulación de QR Phishing en formato físico con SMARTFENSE: crear la campaña con un escenario que incluya QR, imprimir el material y revisar las estadísticas en la Auditoría de la campaña.

¿Qué es una campaña de simulación de QR Phishing?

Las campañas de QR Phishing permiten medir el comportamiento de los usuarios frente a un código QR malicioso colocado físicamente en la organización (por ejemplo, en una cartelera, ascensor o cafetería). El flujo se apoya en una campaña de Phishing o Ransomware que utiliza un escenario con QR: el QR se imprime y se coloca en el lugar deseado, y al ser escaneado redirige al usuario a la landing page del escenario.

Consideraciones importantes

  • Duración máxima: 4 días, igual que el resto de campañas de simulación.
  • Riesgo del usuario asignado: el usuario al que se asigna la campaña generará acciones de riesgo y tendrá un Scoring alto. Para evitar este impacto puede:
    • Marcar la campaña como Campaña de prueba, de modo que no quede ningún registro de auditoría asociado al usuario.
    • O bien, una vez finalizada la campaña, inactivar el usuario.
  • Retiro del material físico: retire el QR impreso al finalizar la campaña para evitar redirecciones a un error 404.

Crear la campaña

  1. Defina el escenario que utilizará: Phishing o Ransomware, y decida si incluirá un Momento Educativo.
  2. Desde el menú principal, ingrese a Campañas > Calendario.
  3. Presione el botón Nueva campaña y seleccione Phishing o Ransomware según el escenario deseado.
  4. Presione el botón Más opciones, vaya a Usuarios y seleccione un único usuario.
  5. Seleccione el escenario con QR que desea utilizar.
  6. Configure las fechas de inicio y expiración respetando la duración máxima de 4 días.
  7. Defina si añadirá un Momento Educativo y la acción que lo activará (por ejemplo, ingresar datos en la página de destino).
  8. Complete el resto de los datos de la campaña y presione el botón Guardar.
  9. Una vez que la campaña esté en curso, abra el correo del escenario, imprima el QR y colóquelo en el lugar deseado.
  10. Al finalizar la campaña, retire el QR del lugar seleccionado.

Revisar las estadísticas de la campaña

El escaneo del QR puede llevar al usuario a la página de destino (landing page) donde podrá ingresar datos. Si lo hace, puede mostrarse un Momento Educativo y, opcionalmente, una pregunta final de validación.

Para revisar los resultados:

  1. Ingrese a la Auditoría de la campaña.
  2. Vaya a la pestaña Usuarios asignados a la campaña.
  3. Haga clic sobre el username del usuario asignado para acceder al detalle y ver:
    • Cuántas veces se escaneó el QR, registrado como Click sobre el enlace.
    • Si ingresaron datos en la landing page.
    • Si vieron el Momento Educativo y, en caso de tener pregunta de validación, si fue respondida correctamente.

Limitaciones y notas de privacidad

No es posible identificar con precisión quién escaneó un QR Phishing físico: el escaneo no revela la identidad del usuario. Solo se mide el comportamiento general de las personas que encuentran un QR físico en la organización.

La landing page de destino no almacena credenciales. Por ese motivo, no existe un vínculo directo entre el escaneo y una persona específica.

💡 Mejores prácticas

  • Marque la campaña como Campaña de prueba cuando necesite evitar impacto en el Scoring y en los registros de auditoría del usuario asignado.
  • Documente la fecha, hora y ubicación donde colocó cada QR para analizar los resultados con mayor contexto en la Auditoría.
  • Retire el material físico al finalizar la campaña para evitar accesos posteriores y errores 404.
  • Utilice un diseño verosímil (logo, mensaje breve y llamada a la acción) para simular un caso realista sin generar confusión operativa.

Relacionada con

Artículos relacionados