Guía para el comprador

Plataforma de capacitación en concienciación sobre seguridad

y suplantación de identidad (phishing) simulada
 Guía para el comprador: Plataforma de capacitación en concienciación sobre seguridad
y suplantación de identidad (phishing) simulada

KnowBe4 es la plataforma integrada más popular del mundo

para capacitación de concienciación sobre seguridad y
suplantación de identidad (phishing) simulada. Esta guía “Las personas acos-
explica todo lo que se incluye en la plataforma de capacitación
de concienciación sobre seguridad y suplantación de identidad tumbran a tener una
(phishing) simulada de KnowBe4.
solución tecnológica
Resumen ejecutivo
Plataforma de capacitación en concienciación sobre [pero] la ingeniería
seguridad y suplantación de identidad (phishing) simulada
social elude a todas
Problema
Sus empleados son el eslabón más débil en su seguridad de TI. las tecnologías, incluy-
La ingeniería social es la amenaza de seguridad número uno
para cualquier organización. El preocupante crecimiento de los endo los firewall. La
ataques cibernéticos sofisticados únicamente empeoran este
problema, ya que los delincuentes cibernéticos aprovechan la
opción más factible: los empleados. Numerosos informes y
tecnología es funda-
documentos técnicos demostraron que en los últimos cinco
años las organizaciones estuvieron expuestas a un aumento mental, pero, debemos
masivo en la cantidad de ataques cibernéticos.
observar a las perso-
Resumen
KnowBe4 es la plataforma integrada de capacitación de nas y los procesos. La
concienciación sobre seguridad y suplantación de identidad
(phishing) simulada más popular del mundo con más de 15.000 ingeniería social es
clientes. Gracias a los más de 30 años de experiencia de primera
mano en piratería informática de Kevin Mitnick, usted ahora una forma de piratería
cuenta con una plataforma para gestionar mejor los urgentes
problemas de seguridad de TI con respecto a la ingeniería social, informática que utiliza
la suplantación de identidad específica (spear phishing) y los
ataques de ransomware. KnowBe4 le proporciona la biblioteca tácticas de
de contenido para capacitación en concienciación sobre
seguridad más grande del mundo, que incluye módulos influencia”. –
interactivos, videos, juegos, carteles y boletines informativos.
Con una nueva escuela en concienciación sobre seguridad fácil Kevin Mitnick
de usar y de calidad internacional

TRAIN
Capacitación, KnowBe4 le brinda una opción de inscripción de
autoservicio y pruebas de seguridad sobre suplantación de
identidad (phishing) anteriores y posteriores a la capacitación,
que le demuestran el porcentaje de usuarios finales que son
susceptibles a no detectar la suplantación de identidad. Las
pruebas de seguridad contra phishing de KnowBe4 son
SH
ANA

aleatorias, frecuentes y altamente efectivas, y brindan varias

opciones de corrección en caso de que un empleado caiga en
HI

ZE P
LY

la trampa de un ataque de suplantación de identidad

simulada.

Nuestra plataforma le permite crear un programa de

concienciación sobre seguridad totalmente desarrollado.

1
Es posible que también tenga la opción de complementar estos correos electrónicos sobre suplantación de
identidad mediante “consejos y sugerencias” mensuales para aumentar la concienciación sobre seguridad del
usuario final en lo que respecta a una variedad de tácticas de ingeniería social. Los ejecutivos obtienen la
perspectiva que necesitan para maximizar el retorno de la inversión de la capacitación y hacer un seguimiento
del cumplimiento de seguridad.
Esta plataforma fue creada “por administradores para administradores”, se diseñó con una interfaz de usuario
fácil que tarda un mínimo de tiempo en cuanto a su implementación y gestión. La infraestructura es altamente
escalable y fácilmente puede manejar más de 100.000 usuarios finales. En el caso de las organizaciones que
cuentan con su propio sistema de gestión de aprendizaje (Learning Management System, LMS), la capacitación se
puede brindar en formatos estándares de la industria como SCORM y AICC. Otro sistema incluye además soporte
para inicio de sesión único de forma que los usuarios no tengan que iniciar sesión varias veces, gracias al
Lenguaje de marcado para confirmaciones de seguridad (Security Assertion Markup Language, SAML).
Requisitos previos
No se requiere de ningún requisito previo distinto del conocimiento normal a nivel de usuario final en cuanto
a correo electrónico y operar un navegador de Internet. Los usuarios finales deben contar con un PC con
sonido, no obstante, los módulos centrales de la capacitación están totalmente subtitulados para adaptarse a
todos los entornos en cumplimiento de la Ley para estadounidenses con discapacidades.
Quiénes deben participar
Todos los empleados de su organización que utilizan una computadora, correo electrónico e Internet, desde la
sala de correos hasta la sala de la junta.
Niveles de acceso a la capacitación
Ofrecemos tres niveles de acceso a la capacitación: I, II y III, que le brindan acceso a nuestra biblioteca de
contenido constantemente actualizada de más de 475 elementos en función de su nivel de suscripción.
A fin de brindar fácilmente esta nueva librería de contenido a los clientes, KnowBe4 tiene una “Tienda de
módulos” (Module Store). Como cliente, podrá utilizar la Tienda de módulos (o ModStore) para buscar,
examinar y obtener vistas previas de este contenido nuevo y, dependiendo de su nivel de suscripción,
trasladar los módulos hasta su cuenta de KnowBe4.

Módulos de capacitación

Capacitación de Kevin Mitnick para concientizar sobre la seguridad

Incluido en el nivel de acceso a la capacitación I

Capacitación de Kevin Mitnick para concientizar sobre la seguridad (45 min)

Este módulo totalmente interactivo lo lleva a recorrer el entorno de las amenazas y le muestra las formas más
comunes en que los malos tratan de engañarlo. Tres situaciones del mundo real le muestran las estrategias y
técnicas que utilizan los hackers para tomar el control del sistema de su computadora. Kevin Mitnick después
le lleva tras bambalinas para ver de qué forma los malos hacen lo que hacen. Aprenderá sobre las siete áreas
de un correo electrónico que pueden contener señales de advertencia que le alertarán de un posible ataque.
El ejercicio Zona de peligro (Danger Zone) le permitirá aplicar lo que aprendió cuando ayude a Jake Sanders,
un usuario de computadora típico, a evitar seis ataques de ingeniería social del mundo real. Este módulo está
disponible en seis versiones adicionales de idiomas: Francés europeo, francés canadiense, alemán, polaco,
español e inglés británico.

Capacitación de Kevin Mitnick para concientizar sobre la seguridad (25 min)

Este módulo totalmente interactivo lo lleva a recorrer el entorno de las amenazas y le muestra las formas más
comunes en que los malos tratan de engañarlo. Aprenderá a detectar las señales de advertencia que le
alertarán de posibles peligros en un correo electrónico y después ayudará a Jake Sanders, un usuario de
computadora típico, a evitar seis ataques de ingeniería social del mundo real.

Capacitación de Kevin Mitnick para concientizar sobre la seguridad (15 min)

Este módulo es una versión condensada de la capacitación completa de 45 minutos, que con frecuencia se
asigna al nivel gerencial. El mismo cubre los mecanismos de correo no deseado (spam), phishing, spear
phishing, spoofing, software malintencionado (malware) oculto en archivos y las amenazas avanzadas
persistentes (Advanced Persistent Threats, APT). Este módulo está disponible en 26 versiones de idiomas.
2
 Módulos de capacitación
KnowBe4 Módulos de capacitación
También se incluye en el nivel de acceso a la capacitación II
Curso de capacitación básica de concienciación sobre
seguridad de KnowBe4 (30 min)
Este módulo totalmente interactivo lo lleva a recorrer el
entorno de las amenazas y le muestra las formas más
comunes en que los malos tratan de engañarlo. Tres
situaciones del mundo real le muestran las estrategias y
técnicas que utilizan los hackers para tomar el control del
sistema de su computadora. Aprenderá sobre las siete
áreas de un correo electrónico que pueden contener
señales de advertencia que le alertarán de un posible
ataque. El ejercicio Zona de peligro (Danger Zone) le
permitirá aplicar lo que aprendió cuando ayude a
Jake Saunders, un usuario de computadora típico, a evitar
seis ataques de ingeniería social del mundo real.
Aspectos básicos sobre la seguridad de la tarjeta
de crédito
Este módulo de 20 minutos abarca los aspectos básicos
sobre la seguridad de las tarjetas de crédito. Está
destinado a todos los empleados de cualquier
organización que manejan tarjetas de créditos en
cualquier forma, ya sea tomando pedidos por teléfono,
deslizando las tarjetas en las terminales o a través
de dispositivos conectados a teléfonos inteligentes. Enseña
a los empleados a manejar la información de la tarjeta
de crédito de forma segura a fin de evitar las filtraciones
de datos. Se cubren distintos tipos de tarjetas, cuáles son
los elementos específicos que buscan los hackers y explica
la forma en que el malware, como los registradores
de pulsaciones de teclas, recuperadores de contraseñas y
el spyware, puede poner en peligro la información de la
tarjeta de crédito. Se enseña a los empleados las reglas
relativas a las copias impresas de los datos de las tarjetas
de crédito y cosas para recordar durante la entrada de los
datos, como por ejemplo, lo que NO se debe hacer como
enviar información de tarjetas de crédito por correo
electrónico y texto. Un cuestionario finaliza este módulo.
Creación de contraseñas seguras
En este curso interactivo aprenderá sobre las reglas
importantes para crear contraseñas seguras, probará una
contraseña para comprobar cuán segura es y aprenderá
sobre la última tendencia en seguridad de contraseñas, la
frase de contraseña, y cómo crear una.
Manejo seguro de la información delicada
Este módulo de 15 minutos se especializa en garantizar
que sus empleados comprendan la importancia del
manejo seguro de la información delicada, como la
información de identificación personal (Personally
Identifiable Information, PII), la información de salud
protegida (Protected Health Information, PHI), los datos
de tarjetas de crédito según el Estándar de Seguridad
de Datos para la Industria de Tarjetas de Pago (Payment
Card Industry Data Security Standard, PCI DSS), la
información controlada no limitada (Controlled Unlimited
Information, CUI), incluida la información de propiedad
exclusiva de su organización, y que sean capaces de
utilizar este conocimiento en sus labores diarias para
cumplir con las regulaciones.
Seguridad de los dispositivos móviles
Los piratas informáticos desean utilizar su dispositivo
móvil como un portal de acceso a los datos de su
organización. Este módulo interactivo le brinda el poder
para que usted pueda proteger esos datos. Aprenderá
acerca de los peligros en torno a Bluetooth, wifi, las
aplicaciones e incluso el error humano. También
aprenderá sobre cómo proteger a su organización
de estas amenazas y, posteriormente, cómo aplicar este
conocimiento en tres situaciones del mundo real.
Fraude del CEO
En este módulo de 10 minutos, los empleados recibirán
una actualización rápida para protegerlos contra lo que el
FBI denomina “Correos electrónicos corporativos
comprometidos” (Business Email Compromise) y que se
conoce comúnmente como Fraude del CEO. Se cubren
conceptos como ingeniería social, suplantación de
identidad (spoofing) por correo electrónico y las dos
formas en que se comete el Fraude del CEO. Hay un video
breve con una demostración en vivo de un archivo Excel
infectado y al final se brinda un breve cuestionario para
comprobar si se entendió el módulo. Recursos en PDF
que se pueden descargar: Señales de advertencia de la
ingeniería social y concienciación sobre seguridad:
Mejores prácticas.
Seguridad en exploración web
En este curso entretenido y completamente interactivo
aprenderá acerca de hechos interesantes de la Internet,
cómo evitar peligros comunes y las prácticas correctas e
incorrectas de la exploración web segura.
Ransomware
Este curso entretenido e interesante le mostrará qué es el
ransomware (programa de secuestro informático), cómo
funciona, cómo mantener alejadas las posibles amenazas
y cómo identificar los principales vectores de ataque que
los criminales utilizan para tomar de rehenes a sus
sistemas informáticos.
Ransomware para hospitales
Actualmente los hospitales están en la mira de los
delincuentes cibernéticos, que penetran en sus redes y
bloquean los archivos del paciente mediante ransomware
de encriptación a fin de que ningún dato esté disponible
para los trabajadores del hospital. Este breve módulo
(de 7 minutos) le brinda a cualquier persona que trabaje
en un hospital los aspectos básicos del ransomware, la
seguridad del correo electrónico y las señales de
advertencia que deben detectar para ayudar a evitar los
extremadamente costosos ataques de este tipo.
Simplificación del cumplimiento con la PCI
Este módulo de 15 minutos utiliza ejemplos reales
de fraudes con tarjetas de crédito y explica cómo puede
proteger a su organización cumpliendo con las normas de
la Industria de Tarjetas de Pago (Payment Card Industry,
PCI). Este curso es para todos aquellos que son
responsables de manejar las tarjetas de crédito en su
organización y califica como una capacitación en
concienciación sobre seguridad. Pero especialmente los
propietarios, el director de finanzas (Chief Financial
Officer, CFO) o el Interventor, los gerentes y el personal de
TI a cargo del procesamiento de las tarjetas de créditos
deben tomar este curso. Después de la capacitación,
podrá descargar materiales de referencia fundamentales
relativos a estar en cumplimiento con las normas de la
PCI, o llegar a cumplir con las mismas.
RGPD
El objetivo de este curso es familiarizarlo con el
Reglamento General de Protección de Datos, también
conocido como “RGPD” (General Data Protection
Regulation, GDPR), lo que esto significa para su
organización y lo que significa para su función laboral.
3
 Módulos de capacitación
Amenazas comunes
En este módulo de 15 minutos aprenderá sobre las
estrategias y las técnicas que los hackers utilizan para
engañar a las personas como usted. Le proporcionamos
tres situaciones basadas en el mundo real que le
mostrarán cómo se llevan a cabo estas amenazas
comunes. Al final de cada situación, Kevin Mitnick lo
llevará tras bambalinas y le mostrará exactamente cómo
se lleva a cabo cada tipo de piratería informática.
La zona de peligro
En este módulo de 10 minutos, aprenderá a detectar
ataques de ingeniería social del mundo real ayudando a
llegar a Jake Saunders, un usuario de computadora
típico, a través de seis potenciales ataques de ingeniería
social. Jake debe tomar las decisiones correctas o sufrir
las consecuencias.
Seguridad física para instituciones financieras
(Solo para instituciones financieras)
Este módulo de 20 minutos cubre la protección de sus
empleados, clientes y sus fondos, las instalaciones,
cualquier dispositivo de seguridad, las computadoras y
redes, de circunstancias eventos físicos que podrían
provocar pérdidas o daños graves. Esto incluye la
protección contra robos, secuestros/extorsión, amenazas
de bombas, incendios, desastres naturales, hurto y
emergencias nucleares.
Su función
Las amenazas actuales son elegantes, sofisticadas y muy
escurridizas. Pueden atravesar sin problemas el software
antivirus y los filtros de correo no deseado (spam) de su
organización y llegar directamente a su bandeja de
entrada. Este es un curso de alta calidad de 9 minutos que
lo lleva a recorrer el entorno de las amenazas y le muestra
las formas comunes en que los malos tratan de engañarlo.
Señales de advertencia: Señales de aviso que le
sirven de alerta
Este módulo de 8 minutos totalmente interactivo, le
muestra las siete áreas a las que debe prestar atención
en un correo electrónico si es que no quiere ser
pirateado. Una vez que sepa dónde buscar, le muestra
siete ejemplos de la vida real y se le pedirá que detecte
las señales de advertencia en cada uno de ellos.
Curso de cumplimiento de la Ley Gramm–Leach–Bliley
(Gramm–Leach–Bliley Act, GLBA)
(Solo para instituciones financieras)
En este módulo, se guía a los empleados de las
instituciones financieras a través de los conceptos de la
“Información personal no pública” (Non-Public Personal
Information, NPPI), las mejores prácticas para proteger la
información personal de los clientes, la función del
empleado en cuanto a garantizar la protección de la NPPI,
qué es la ingeniería social y cómo evitar ser engañado,
cómo protegerse contra los accesos no autorizados y el
uso indebido de la información protegida, y cómo
proporcionar avisos de un incidente que podría poner en
peligro la seguridad de la información del cliente.
4
 Módulos de capacitación

Micromódulos de capacitación de KnowBe4

También se incluyen en el nivel de acceso a la capacitación II (y cada uno dura aprox. 5 minutos)

Seguridad de la tarjeta de crédito (Parte 1) Ransomware

Seguridad de la tarjeta de crédito (Parte 2) Seguridad en exploración web
Micromódulo del ejercicio Zona de peligro Ingeniería social
Suplantación de correo electrónico Mejores prácticas para las redes sociales
Manejo seguro de la información delicada (Parte 1) Contraseñas seguras
Manejo seguro de la información delicada (Parte 2) Ataque por USB

Micromódulos de la serie ejecutiva

Fraude del CEO
Seguridad de los dispositivos móviles
Peligros del Wi-Fi mientras se viaja y remotos
Ransomware y Bitcoin
Precauciones en las redes sociales para ejecutivos
Ingeniería social del ejecutivo
Amenazas al correo electrónico del encargado
de tomar las decisiones
Seguridad en exploración web mediante
dispositivos corporativos
Trabajar desde el hogar de forma segura
Destrucción segura de la información delicada

Securable.io Videos
También se incluyen en el nivel de acceso a la capacitación III

Ley Federal de Administración de la Seguridad de la Seguridad de wifi público

Información (Federal Information Security Management Ataques de Ransomware
Act, FISMA) Viajar al exterior
Introducción a la suplantación de identidad (Phishing) Seguridad de Twitter
Seguridad de LinkedIn Seguridad de USB
Monitoreo de los servicios de Facebook
Proteger a sus hijos cuando están en línea

5
 Módulos de capacitación

Biblioteca del contenido de Security Awareness Company

También se incluyen en el nivel de acceso a la capacitación III

Aprendizaje interactivo de la concienciación Módulos de los conceptos sobre seguridad

sobre seguridad cibernética Módulos cibernética
Concienciación de ILM para el centro de llamadas y el Tirador activo y respuesta ante incidentes físicos
dpto. de soporte técnico Concienciación sobre el centro de llamadas y el dpto. de
Desarrollar un plan de Respuesta ante Incidentes soporte técnico
ILM de la seguridad de la computadora y la protección de Seguridad de la computadora y protección de los datos
los datos Clasificación de los datos
ILM sobre la clasificación de los datos Módulo sobre concienciación ejecutiva y liderazgo
ILM del firewall humano Firewall humano
ILM de los 10 principales del proyecto abierto de Identificación y autenticación del usuario
seguridad de aplicaciones web (Open Web Application Malware
Security Project, OWASP) Aspectos básicos de la seguridad de los dispositivos
ILM de la suplantación de identidad (phishing) de la móviles
bandeja de entrada de Andrew Seguridad no técnica
ILM sobre el ransomware Aspectos básicos sobre las contraseñas
Preevaluación SAF Concienciación sobre la suplantación de identidad
ILM sobre cómo comprender y proteger la PII (phishing)
Privacidad
Comportamiento en línea seguro
Tríadas de seguridad
Módulos de cumplimiento para la Ingeniería social
concienciación sobre seguridad cibernética Los 10 fundamentos principales de la concienciación sobre
FERPA (educación) seguridad
FFIEC (cumplimiento financiero) Diez principales problemas de concienciación sobre
GLBA (finanzas) seguridad para los nuevos empleados
HIPAA (atención médica) Cómo comprender y proteger la PII
HIPAA para profesionales no médicos (atención médica) Violencia y seguridad en el lugar de trabajo
PCI-DSS (cumplimiento del sector minorista)
Sarbanes-Oxley (contabilidad)
Seguridad de los empleados y concienciación sobre seguridad Más de 120 carteles de concienciación sobre
seguridad cibernética
Más de 30 juegos de concienciación sobre
seguridad cibernética

Videos de concienciación sobre seguridad

cibernética (2 a 5 minutos)
10 formas de evitar los fraudes del phishing Ganador del concurso de suplantación de identidad (phishing)
10 formas de mantener privada la PII Phishing desde Facebook
10 formas de mantenerse seguro en las redes sociales Phishing desde Netflix
Un día de contraseñas malas Phishing desde su banco
APT Phishing en acción
Copia de seguridad Amenazas de seguridad física
Ser un firewall humano PII y cumplimiento
Más allá de la suplantación de identidad (phishing) Pretexto 1 (protección falsa contra el fraude)
Cómo capturar el malware Pretexto 2 (dpto. de soporte técnico falso)
Los delitos cibernéticos empiezan con usted Pretexto desde un departamento de TI falso
Los peligros del USB Pretexto: Empleado falso al dpto. de soporte técnico
Resumen sobre la filtración de datos Pretexto: Ejecutivo falso al dpto. de TI
La filtración de datos y usted Pretexto: Desde una compañía de tarjetas de crédito es falsa
Resumen sobre la clasificación de los datos Privacidad vs. Seguridad
Pérdida de datos y cómplice Eliminación apropiada del disco duro
Definición de ingeniería social Road Warriors
Búsquedas en contenedores de basura Navegación segura 1: HTTP vs. HTTPS y autenticación en línea
Suplantación de correo electrónico Mitos de seguridad derrumbados
Ejemplos de trabajos de cómplices Redes sociales
Ejemplos de suplantación de identidad (phishing) Extracción de datos desde las redes sociales
Firewalls Consejos y advertencias sobre las redes sociales
Wi-Fi gratuito Correo no deseado (o spam)
Ocultar sus contraseñas La tríada CIA
Firewall humano y clasificación de los datos LA tríada de dominios
Aspectos básicos de la respuesta ante incidentes 101 Las inquietudes principales del firewall humano en los
Introducción al ransomware tres dominios
Introducción a la nube Las muchas vidas de la PII
Pirateos de baja tecnología pueda robar su Ident. La tríada de las muchas vidas
Cómo crear contraseñas seguras Tipos de ingeniería social
Delito cibernético móvil Comprender la encriptación
Resumen de la seguridad de los dispositivos móviles ¿A qué se parece un ingeniero social?
Cómo usar el mouse ¿Qué es ladrón de ident.?
Habilidades de seguridad no técnicas ¿Qué es la PII?
Consejos y trucos de seguridad no técnicos y físicos Por qué los ejecutivos deben saber sobre la seguridad informática
Seguridad de la contraseña ¿Por qué llevar a cabo la concienciación sobre seguridad?
Su experiencia en cuanto a la concienciación 6
sobre seguridad
 Módulos de capacitación

Contenidos de la capacitación en concienciación sobre seguridad

por nivel de suscripción
MÁS POPULAR

CONTENIDO DE LA CAPACITACIÓN PLATA ORO PLATINO DIAMANTE

Módulos de capacitación 3 21 21 53
Micromódulos 23 23 50
Módulos de cumplimiento 6 6 16
Juegos 26
Videos (3 a 5 min) 84
Carteles/imágenes 171
Boletines
informativos/seguridad 126
Láminas y recopilaciones

7
Programa automatizado de concienciación sobre seguridad (Automated Security Awareness Program, ASAP)

Muchos profesionales de TI no saben exactamente dónde comenzar en lo que respecta a un programa de

concienciación sobre seguridad que funcionará para su organización.

Gracias a nuestro generador del Programa

automatizado de concienciación sobre seguridad
(Automated Security Awareness Program, ASAP)
eliminamos todas las conjeturas. ASAP es una
herramienta novedosa y revolucionaria para los
profesionales de TI, que genera un programa de
concienciación sobre seguridad personalizado para
su organización, a fin de mostrarle los pasos que se
necesitan para crear un programa de capacitación
totalmente desarrollado en cuestión de minutos.

El proceso de crear el programa es lo suficientemente

sencillo, se deben responder entre 15 a 25 preguntas
acerca de sus objetivos y la organización, y de forma
automática se planificará un programa para usted. Las
tareas de programa se basarán en las mejores
prácticas sobre cómo alcanzar los objetivos de
concienciación sobre seguridad. Muchos profesionales
de TI no saben exactamente dónde comenzar en lo
que respecta a un programa de concienciación sobre
seguridad que funcionará para su organización.

El programa incluye tareas factibles, consejos útiles, Tiene una vista del calendario sencilla para planificar
sugerencias didácticas y un calendario de gestión. Su e implementar su programa de concienciación sobre
programa personalizado se puede gestionar seguridad.
completamente desde la consola KnowBe4. También
tendrá la capacidad de exportar el programa
completo como una versión detallada o de resumen
ejecutivo en formato PDF, utilizarlo para los
requisitos de cumplimiento y la generación de
informes para la gerencia.
8
 Tablero

Tablero
Nuestro tablero de suplantación de identidad (phishing) y capacitación le permite ver un panorama general
sobre cómo les está yendo a sus usuarios finales.

Muestra del panorama general de la suplantación de identidad (phishing) y la capacitación

9
 Suplantación de identidad (phishing) simulada

Plataforma de suplantación de identidad (phishing)

Tiene la capacidad de programar y enviar una cantidad ilimitada de pruebas de seguridad contra la
suplantación de identidad (phishing) (Phishing Security Tests, PST) simuladas a sus usuarios durante el periodo
de la suscripción.

Nuestra amplia biblioteca de plantillas le permite utilizar la plataforma para “phishing listo para usar”. Puede
estar funcionando en menos de 30 minutos. Nuestra biblioteca de plantillas incluye correos electrónicos en las
siguientes categorías: Banca, redes sociales, TI, gobierno, servicios en línea, eventos actuales, atención médica
y mucho más. Existe una sección comunitaria donde puede intercambiar plantillas con miles de otros clientes
de KnowBe4.

Muestra de las plantillas de suplantación de identidad (phishing) del sistema

10
Personalización de la plantilla de suplantación de identidad (phishing)
También tiene la capacidad de personalizar cualquier plantilla del sistema además de incluir archivos adjuntos
y macros simulados.

Muestra de la creación de las plantillas de suplantación de identidad (phishing) personalizadas

11
 Muestra de páginas de inicio

Planificar una prueba de seguridad contra la suplantación de identidad (phishing)

Planificar una prueba de seguridad contra la suplantación de identidad (phishing) es extremadamente sencil-
lo; todo se diseñó para imitar ataques de phishing del mundo real.

Muestra de la creación de las campañas de suplantación de identidad (phishing)

12
Seguimiento de respuesta al phishing
El seguimiento de respuesta al phishing de KnowBe4 le permite hacer un seguimiento en caso de que el
usuario haya respondido a un correo electrónico de phishing simulado y también puede capturar la
información de la respuesta para su revisión en la consola administrativa de KnowBe4.

Creamos una nueva categoría de las plantillas de suplantación de identidad (phishing) del sistema que se
denomina “Respuesta en línea” que se diseñó específicamente para probar si el usuario interactuará con los
“malos” por su parte. No obstante, el seguimiento de respuesta al phishing también funciona con cualquiera
de nuestras más de 2.000 plantillas de phishing.

El seguimiento de la respuesta al phishing es sencillo de utilizar, se encuentra activado de forma

predeterminada para las nuevas campañas contra la suplantación de identidad (phishing) a través de la opción
“Hacer un seguimiento de las respuestas a los correos electrónicos de phishing” (Track replies to phising emails).

Las opciones adicionales para esta función incluyen las siguientes:

• Almacenamiento del contenido de la respuesta, esta opción está activada de forma predeterminada,
pero se puede desactivar.
• Subdominio de la dirección de respuesta que se puede personalizar, haciendo que la dirección de
respuesta parezca igual a su dominio actual.
• Seguimiento de las respuestas fuera de la oficina para detectar si sus usuarios incluyen directorios de
la compañía y otra información en sus mensajes fuera de la oficina (Out of Office, OOO).

13
Indicadores de ingeniería social (Social Engineering Indicators, SEI)
Tecnología patentada que convierte cada correo electrónico de phishing simulado en una herramienta que TI
para utilizar instantáneamente para capacitar a los empleados. Cuando un usuario hace clic en cualquiera de
los más de 2.000 correos electrónicos de phishing simulados de KnowBe4, son enviados hasta una página de
inicio que incluye una copia dinámica de ese correo electrónico de phishing que muestra todas las señales de
advertencia.

También puede personalizar cualquier correo electrónico de phishing simulado y puede crear sus propias
señales de advertencia.

De ese modo, los usuarios podrán ver de inmediato las trampas potenciales y aprender a detectar en el futuro
los indicadores que pasaron por alto.

14
Botón de alerta de phishing
Los empleados pueden informar los ataques de phishing con un solo clic

El complemento del botón de alerta de phishing KnowBe4 le brinda a sus usuarios una forma segura de reen-
viar las amenazas en los correos electrónicos a un equipo de seguridad para su análisis y se elimina el correo
electrónico de la bandeja de entrada del usuario a fin de evitar una exposición futura. ¡Todo eso con sola-
mente un clic!

• Cuando el usuario hace clic en el botón de alerta de phishing en una prueba de seguridad contra la
suplantación de identidad (phishing) simulada, se informa la acción correcta de este usuario.
• Cuando el usuario hace clic en el botón de alerta de phishing en un correo electrónico de phishing no
simulado, el correo electrónico se reenvía directamente al equipo de respuesta ante incidentes.
• Tiene texto de botón y cuadros de diálogo para el usuario totalmente personalizables.
• Clientes compatibles: Outlook 2010, 2013, 2016 y Outlook para Office 365, Exchange 2013 y 2016,
IBM Notes 8.5.3 y 9.0, Chrome 54 y posterior (Linux, OS X y Windows)

Barra de herramientas de Outlook Complemento del panel para Office 365

Agrega el botón de alerta de phishing Agrega un enlace de alerta de phishing
para los usuarios para los usuarios

Extensión para Gmail

Agrega el botón de alerta de phishing para los usuarios

15
 Funciones avanzadas de phishing

EZXploit™
EZXploit tiene una funcionalidad de patente pendiente que le permite llevar a cabo una “prueba de penetración
humana” interna y totalmente automatizada a una fracción del costo de hacer esto de forma manual.

EZXploit lleva los ataques de phishing simulados al siguiente nivel. Ahora podrá saber cuál de sus usuarios puede
realmente ser explotado por los hackers.

Al usar EZXploit, puede iniciar un ataque de phishing simulado en un usuario (o grupo de usuarios) que incluya un
enlace hasta una página web, que en caso de que se haga clic en el mismo, se registra como una “falla” en su
consola de administración, pero después lleva a cabo otra cosa y presenta una estratagema secundaria como una
ventana emergente en Java en la cual el usuario querrá hacer clic debido a la ingeniería social.

Si el usuario hace clic en la acción secundaria, se registra otra “falla” en la consola de administración y su estación
de trabajo puede examinarse para detectar varias cosas como nombre de usuario, dirección IP y otros datos
relacionados con la estación de trabajo de ese usuario y la información de Active Directory que usted especifique
en la consola de administración.

16
Ninguna acción maliciosa se lleva a cabo en el sistema del usuario y todos los datos privados se borran tras
eliminar la campaña. En su consola de administración KnowBe4 en una vista previa de secuencia miento podrá
observar los datos del resultado que EZXploit recopiló además de descargar por completo los datos reunidos.

EZXploit le brinda una forma novedosa y automatizada de realizar una prueba de penetración a sus usuarios y
evitar que los hackers apoderen de su red.

17
USB Drive Test™
Le permite probar las reacciones del usuario con respecto a unidades USB desconocidas, en promedio, el 45%
de los usuarios conectará la unidad USB que encuentre.

Fácilmente podrá crear su USB Drive Test desde la consola de administración KnowBe4 y podrá descargar
archivos de Microsoft Office especiales, “que sirven de baliza”. También puede cambiar el nombre de sus
archivos para que los empleados se sientan tentados a abrirlos. Después, con lo que estos archivos en
cualquier unidad USB, que puede dejar caer en cualquier área con mucho tránsito en el sitio.

Si un empleado recoge la unidad USB, la conecta a su estación de trabajo y abre el archivo, este “llamará a
casa” e informará la falla además de datos como hora de acceso y dirección IP. En caso de que el usuario
también habilite las macros en el archivo, entonces, también se hará un seguimiento de datos adicionales
como nombre de usuario y el nombre de la computadora, y estos datos estarán disponibles en la consola
de administración.

GEOlocalización
Vea en un mapa el lugar donde se encuentran las fallas con respecto a los ataques de phishing simulado,
gracias a la capacidad de desglose y a las opciones de exportación de archivos CSV.

18
Detección de complementos de navegador vulnerables
Durante una campaña de phishing se recopila de forma automática la información acerca de los
complementos vulnerables que los usuarios instalaron en sus navegadores. Cuando un usuario falla y hace
clic en la prueba de phishing, llega hasta nuestra página de inicio la cual recopilará información sobre los
complementos que se instalaron en el navegador de ese usuario. Analizamos los resultados y los comparamos
con una base de datos de complementos vulnerables conocidos y le presentamos un informe al respecto.

Podrá haber una lista detallada de cuáles son los complementos vulnerables que el usuario instaló. Esta lista
también proporcionará un enlace hasta información adicional que podemos proporcionar sobre ese
complemento vulnerable.

Ejemplo de informe detallado

Muestra los complementos vulnerables

Ejemplo de informe detallado

Muestra los complementos potencialmente vulnerables

19
 Campañas de capacitación

Campañas de capacitación
Le permiten implementar de manera totalmente automática la capacitación, incluyendo correos recordatorios
planificados automáticos que se envían a todos los usuarios finales.

Muestra de campañas de capacitación

Esta consola permite planificar varias campañas de capacitación que pueden superponerse

20
21
 Gestión de usuarios

Integración de Active Directory

La integración de Active Directory (Active Directory Integration, ADI) de KnowBe4 le permite cargar fácilmente
los datos del usuario y le ahorra tiempo al eliminar la necesidad de gestionar de forma manual los cambios
del usuario. Una vez que se configuró la ADI, los usuarios agregarán, cambiarán y archivarán de forma
sincronizada con las modificaciones realizadas automáticamente en Active Directory (AD). También podrá
cargar usuarios mediante archivos CSV.

22
21
Grupos inteligentes
Con los Grupos inteligentes podrá activar el piloto automático con respecto al phishing, la capacitación
y la generación de informes.
Automatice la ruta que los empleados deben seguir para tomar decisiones de seguridad más inteligentes.
Gracias a la potente característica de Grupos inteligentes (Smart Groups), podrá utilizar el comportamiento de
cada empleado y los atributos del usuario para personalizar las campañas de phishing, las asignaciones de
capacitación, el aprendizaje de medidas correctivas y la generación de informes.
Podrá crear campañas de phishing y capacitación del tipo “establecerlas y olvidarse” para que pueda
responder instantáneamente a cualquier clic de phishing mediante una capacitación de medidas correctivas o
notificar automáticamente a los empleados nuevos de la capacitación de incorporación, y mucho más. Elija
entre cinco tipos de criterios claves por grupo inteligente y después incorpore los desencadenantes, las
condiciones y las acciones para enviar los correos electrónicos de phishing o capacitación correctos al
empleado correcto en el momento correcto.
Lo mejor de todo es que usted tiene la posibilidad de filtrar y extraer los informes en función de los diferentes
criterios que se utilizan en las normas de sus grupos inteligentes (Smart Group). Por ejemplo, usted
probablemente desee filtrar los criterios específicos de los “eventos de suplantación de identidad” y crear un
informe que muestre qué usuarios están mejorando o no como resultado de las pruebas de suplantación
de identidad que usted ha llevado a cabo, lo cual le permite asignar campañas de capacitación correctivas o
pruebas avanzadas de suplantación de identidad para este grupo inteligente.
Vea y personalice fácilmente los flujos de trabajo
Genere flujos de trabajo sofisticados y específicos sin ningún tipo de problemas, y asegúrese de que cada
empleado es una pieza sólida de su firewall humano. Podrá ver la intersección de los criterios que especifica,
ya sea que esté desarrollando un flujo de trabajo simple para la capacitación sobre medidas correctivas
mediante acciones de clic para phishing o un flujo de trabajo complejo, con criterios múltiples basado en
ubicación, comportamiento y plazos. Utilice la lógica de segmentación avanzada para determinar con
exactitud a quién se inscribirá o se cancelará la inscripción en los flujos de trabajo y cuándo.
Haga que su tiempo rinda al máximo gracias a la potente automatización de tareas.
Podrá utilizar flujos de trabajo para establecer una capacitación sobre medidas correctivas e inscribir
automáticamente a los nuevos empleados en la capacitación. Podrá fácilmente crear inscripciones para
capacitación basadas en plazos, enviar correos electrónicos de suplantación de identidad (phishing), gestionar
los datos, crear informes personalizados y mucho más. ¡Las posibilidades son infinitas!

23
Funciones de seguridad
Las funciones de seguridad de KnowBe4 pueden utilizarse para otorgar acceso granular a lo largo de toda la
consola de KnowBe4. Cada función de seguridad es completamente personalizable a fin de facilitar la creación
de funciones exactas que resulten necesarias para su organización.

Debido a que las funciones no son simplemente un conjunto de permisos predefinidos, se puede crear el
modelo de permiso exacto que se adapte a sus necesidades. A continuación, podrá encontrar algunas situaciones
comunes en las que las funciones de seguridad le permitirán al administrador de la consola brindar acceso a los
usuarios únicamente a las partes de la consola de KnowBe4 que necesitan para obtener sus resultados:

• Auditores que necesitan revisar el historial de capacitación

• Departamentos de RR. HH. que desean ver resultados individuales de los usuarios
• Grupos de capacitación que desean revisar el contenido de la capacitación antes de implementarla

Estos son solo algunos ejemplos de controles de acceso que pueden establecerse:

• revisar (¡pero no tocar!) resultados de las pruebas de suplantación de identidad;

• administrar usuarios y grupos;
• crear nuevas campañas de seguridad de suplantación de identidad;
• revisar el contenido de la capacitación disponible en la Tienda de módulos (ModStore).

24
 Generación de informes

Está disponible la capacidad de descargar todas las acciones de clic en la forma de un archivo CSV

Los informes también están disponibles para las evacuaciones anuales de los empleados

25
26
 Funciones claves

Programa automatizado de concienciación sobre seguridad (Automated Security Awareness Program, ASAP):
Le permite generar un programa de concienciación sobre seguridad personalizado para su organización, que le ayudará a
implementar todos los pasos que se necesitan para crear un programa de capacitación totalmente desarrollado en
cuestión de minutos.
Plantillas de suplantación de identidad (phishing) personalizadas: Capacidad de generar desde cero plantillas de
correos electrónicos de phishing personalizadas o de modificar nuestras plantillas existentes a fin de enviarlas a los
usuarios. Ahora tendrá más opciones y podrá personalizar las situaciones en función de la información pública y/o
personal, crear campañas de spear phishing específicas, que reemplaza los campos con datos personalizados.
Dominios de suplantación de identidad (phishing) personalizados: Dominio de phishing (Phish Domain) es el nombre
que pedimos a la URL que se completa en la esquina inferior izquierda de su pantalla cuando pasa el cursor del mouse por
encima del enlace de un correo electrónico sospechoso. Tenemos una variedad de distintos dominios de phishing que
puede seleccionar para que la URL que se completa cambie siempre, para que los usuarios finales estén atentos en todo
momento. A solicitud se pueden agregar dominios de phishing personalizados.
Archivos adjuntos simulados: Estas plantillas de phishing personalizadas también pueden incluir archivos adjuntos
simulados en los siguientes formatos: Word, Excel, PowerPoint y zip, y pueden incluir macros (también las versiones
comprimidas [zip] de estos archivos).
Páginas de inicio personalizadas: Cada plantilla de correo electrónico de phishing también puede tener su propia página
de inicio personalizada, lo que permite capacitar con respecto al punto de falla y páginas de inicio que de forma específica
suplantan la identidad para obtener información delicada.
Vigilante como perro de la pradera: La exclusiva función “vigilante como perro de la pradera” de KnowBe4 le permite
enviar plantillas de phishing aleatorias en momentos aleatorios durante toda una campaña de phishing, imitando los
ataques de phishing de la vida real que impiden a los empleados alertarse mutuamente sobre una prueba de phishing.
Botón de alerta de phishing: Los empleados ahora tienen una forma segura de reenviar las amenazas en los correos
electrónicos al equipo de seguridad para su análisis y se elimina el correo electrónico de la bandeja de entrada del usuario
a fin de evitar una exposición futura. Todo eso con solamente un clic.
Seguimiento de respuesta al phishing: Le permite hacer un seguimiento en caso de que el usuario haya respondido a
un correo electrónico de phishing simulado y puede capturar la información que se envió en la respuesta.
Indicadores de ingeniería social: Tecnología patentada que convierte cada correo electrónico de phishing simulado en
una herramienta que TI puede utilizar para capacitar a los empleados de forma dinámica al mostrarles al instante las
señales de advertencia ocultas que pasaron por alto en ese correo electrónico.
Capacitación en concienciación sobre seguridad: La biblioteca de contenido para capacitación en concienciación sobre
seguridad más grande del mundo, que incluye módulos interactivos, videos, juegos, carteles y boletines informativos con
la suscripción nivel diamante.
Campañas de capacitación: En la consola de administración podrá crear rápidamente campañas permanentes o de
tiempo limitado, seleccionar el módulo de capacitación por grupos de usuarios, inscribir automáticamente a usuarios
nuevos y automatizar correos electrónicos “de toque” para los usuarios que no han completado el entrenamiento.
Grupos inteligentes: Le permiten utilizar el comportamiento de cada empleado y los atributos del usuario para
personalizar y automatizar las campañas de phishing, las asignaciones de capacitación, el aprendizaje de medidas
correctivas y la generación de informes.
Generación de informes detallados: Las funciones de generación de informes sobre la seguridad de la empresa
proporciona estadísticas y gráficos tanto para la capacitación como para la suplantación de identidad, incluidos los
informes instantáneos sobre las fallas de la suplantación de identidad por grupos y ubicación, y los informes sobre las 50
“acciones de clic” principales que muestran a sus usuarios más susceptibles a no detectar la suplantación de identidad.
Para conocer más detalles, puede examinar a fondo las campañas únicas y recurrentes.
EZXploit: Una funcionalidad de patente pendiente que le permite realizar una “prueba de penetración humana” interna y
totalmente automatizada.
USB Drive Test: Le permite probar las reacciones del usuario con respecto a unidades USB desconocidas que encuentren.
Detección de complementos de navegador vulnerables: En su consola, podrá detectar automáticamente cuáles son los
complementos vulnerables que las acciones de clic en sus pruebas de phishing instalaron en los navegadores.
Integración de Active Directory: Le permite cargar fácilmente los datos del usuario y le ahorra tiempo al eliminar la
necesidad de gestionar de forma manual los cambios del usuario.
Funciones de seguridad: Le permiten definir el nivel de acceso y la habilidad administrativa que le gustaría que tengan los
grupos de usuarios específicos. Esta función le ayuda a seguir el principio de menor privilegio en su consola KnowBe4, lo
que le asegura que las distintas áreas de su cuenta KnowBe4 sean solo accesibles para aquellos que las necesitan.
AIDATM Agente basado en inteligencia artificial: Utiliza la inteligencia artificial para proteger a sus usuarios contra
varios vectores de ataques de la ingeniería social. AIDA le permite simular rápida y fácilmente un ataque de ingeniería
social multifacético, que instará a sus usuarios a hacer clic en un enlace de suplantación de identidad o de un mensaje
de texto o a responder un mensaje de voz, cualquiera de los cuales podría comprometer su red. Usted podrá ver
exactamente quiénes se creen su prueba y quiénes dejan a su organización vulnerable.

27
 Niveles de suscripción
El precio de nuestra suscripción de Software como servicio (Software as a Service, SaaS) es por usuario, por año.
Ofrecemos niveles de suscripción Plata, Oro, Platino o Diamante para satisfacer las necesidades de su organización.
MÁS POPULAR

FUNCIONES PLATA ORO PLATINO DIAMANTE

Pruebas de seguridad contra phishing ilimitadas
Programa automatizado de concienciación sobre seguridad
(Automated Security Awareness Program, ASAP)
“Sugerencias y consejos” de seguridad
Nivel de acceso a la capacitación I
Campañas de capacitación automatizadas
Garantías de rescate encriptado (Crypto-Ransom)
Botón de alerta de phishing

Integración de Active Directory

Seguimiento de respuesta al phishing
Nivel de acceso a la capacitación II
Comprobación mensual de exposición
del correo electrónico
Prueba de seguridad contra vishing
Grupos inteligentes
Indicadores de ingeniería social
EZXploit: “pruebas de penetración
humana automáticas”
USB Drive Test™
Detección de complementos
de navegador vulnerables
Soporte por nivel de prioridad

Nivel de acceso a la capacitación III

AIDA™ Agente basado en inteligencia artificial BETA

Nivel plata: Nivel de acceso a la capacitación I, que incluye la capacitación de Kevin Mitnick para concientizar sobre la seguridad en el
módulo completo de 45 minutos, el módulo más breve de 25 minutos y la versión ejecutiva de 15 minutos. También incluye pruebas
de phishing simuladas ilimitadas y generación de informes sobre la seguridad de la empresa mientras dure la suscripción.
Nivel oro: Incluye todas las funciones del nivel Plata más el nivel de acceso a la capacitación II, que también incluye módulos de
capacitación KnowBe4. El nivel oro también incluye informes de comprobación mensual de exposición del correo electrónico (Email
Exposure Check, EEC) y pruebas de seguridad contra la suplantación de identidad a través de llamadas telefónicas (vishing).
• Los informes mensuales de comprobación de exposición del correo electrónico le muestran cuáles son las direcciones de
correo electrónico de su dominio que están expuestas en Internet y son un objetivo para los ataques de phishing.
• Las pruebas de seguridad contra el vishing utilizan ataques de respuesta de voz interactiva (Interactive Voice Response,
IVR) por teléfono (disponible en EE. UU. y Canadá)
Nivel platino: Incluye todas las funciones del nivel Plata y Oro. El nivel platino también incluye nuestras funciones avanzadas de
phishing; EZXploit, USB Drive Test, detección de complementos de navegador vulnerables, grupos inteligentes, funciones de
seguridad e indicadores de ingeniería social en la página de inicio.
• EZXploit™ es una funcionalidad de patente pendiente que le permite llevar a cabo una “prueba de penetración humana”
interna y totalmente automatizada (disponible en EE. UU. y Canadá)
• USB Drive Test™ le permite probar las reacciones del usuario con respecto a unidades USB desconocidas que encuentre.
• La detección de complementos de navegador vulnerables informa qué navegador/dispositivo se utilizó para ver un correo
electrónico de phishing y cuáles son los complementos de navegador vulnerables que instaló el usuario.
• Los grupos inteligentes le permiten utilizar el comportamiento de cada empleado y los atributos de los usuarios para adaptar y
automatizar sus campañas de suplantación de identidad, asignaciones de capacitación, aprendizaje correctivo y generación
de informes.
• Las funciones de seguridad le permiten brindarles acceso basado en funciones a las áreas específicas de la administración
de su consola de KnowBe4.
• La tecnología de indicadores de ingeniería social de patente pendiente, convierte cada correo electrónico de phishing simulado
en una herramienta que TI puede utilizar para capacitar a los empleados de forma dinámica al mostrarles al instante las señales
de advertencia ocultas que pasaron por alto en ese correo electrónico
Nivel diamante: Incluye todas las funciones del nivel Plata, Oro y Platino. El nivel Diamante también incluye nivel de acceso a la
capacitación III, que le brinda acceso completo a nuestra biblioteca de contenido de más de 500 elementos, entre ellos, módulos
interactivos, videos, juegos, carteles y boletines informativos. Además, tendrá acceso a nuestro innovador agente basado en
inteligencia artificial (AIDATM), actualmente en su versión beta.
• AIDATM utiliza la inteligencia artificial para proteger a sus usuarios contra diferentes vectores de ataques de la ingeniería social. 28
AIDA le permite simular un ataque de ingeniería social multifacético mediante el uso de correos electrónicos, líneas telefónicas y
mensajería instantánea (disponible para EE. UU. y Canadá).
“El eslabón más débil de la seguridad de la información es la ingeniería social”.
– Kevin Mitnick, “El hacker más famoso del mundo”, consultor de seguridad de TI.

Prueba visible de que el sistema KnowBe4 funciona

Después de años de ayudar a que nuestros clientes capaciten a sus empleados para que gestionen mejor los
urgentes problemas de seguridad de TI con respecto a la ingeniería social, la suplantación de identidad
específica (spear phishing) y los ataques de ransomware, decidimos hacer una retrospectiva y analizamos las
cantidades reales de un periodo de 12 meses.

Consolidamos las cantidades y el porcentaje general de Phish-prone™ disminuye de un promedio de 15,9%

hasta un sorprendente 1,2% en tan solo 12 meses. Realmente funciona el combinar capacitación basada en la
web y ataques de suplantación de identidad simulada muy regulares.

KnowBe4, Inc. | 33 N Garden Ave, Suite 1200, Clearwater, FL 33755 | Tel: 855-KNOWBE4 (566-9234) | www.KnowBe4.com | Email: Sales@KnowBe4.com
© 2018 2018 KnowBe4, Inc. Todos los derechos reservados. Otros nombres de empresas y productos mencionados en este documento pueden ser marcas comerciales
o marcas comerciales registradas de sus respectivas empresas.