Cyber Guru Phishing permite detectar y registrar los reportes realizados por los usuarios (Cyber Defenders) que identifican correctamente un ataque simulado y lo reenvían al departamento correspondiente.
Para que estos reportes sean reconocidos y valorados por la plataforma, es fundamental configurar correctamente el flujo de reenvío, de modo que se puedan rastrear los llamados "Ataques Reportados".
Un reporte no se registra si el usuario hace clic primero en el enlace del correo y solo después realiza el reporte.
Si tu organización utiliza Google Workspace o Microsoft 365, te recomendamos consultar las secciones dedicadas para una configuración específica y optimizada del flujo de reporte.
Guía de configuración de reporte MICROSOFT 365
Guía de configuración de reporte GOOGLE WORKSPACE
En todos los demás casos, esta guía muestra las pautas generales para el enrutamiento de los reportes hacia Cyber Guru, para que sirvan de referencia al configurar correctamente los sistemas de la empresa.
Es fundamental que el flujo de reporte esté filtrado de manera que solo se envíen a Cyber Guru los mensajes de phishing simulado generados y enviados por la plataforma directamente al usuario, excluyendo otros mensajes no relevantes o de phishing real. Los mensajes que no provengan de Cyber Guru pueden ser bloqueados o redirigidos al SOC/CERT del cliente para un análisis más profundo en términos de ciberseguridad.
Condiciones para reenviar el reporte a Cyber Guru
Para que un reporte sea registrado en la Plataforma Cyber Guru, deben cumplirse las siguientes condiciones:
- Debe enviarse un correo electrónico por cada reporte de cada usuario a la dirección: defenders@cyberguru.report
- El correo electrónico objeto del reporte puede ser reenviado directamente en el cuerpo del mensaje (mensaje in-body) o enviado como archivo adjunto.
- El reporte, independientemente del método elegido (in-body o adjunto), debe contener al menos la parte "?rid=" seguida del identificador RID, un código alfanumérico único para cada campaña, usuario y cliente.
Ejemplos de reportes correctamente registrados
A continuación se muestran algunos escenarios a modo de ejemplo, en los que el sistema registra correctamente los reportes recibidos:
- El usuario reenvía el correo de phishing al SOC/CERT, que luego lo reenvía a defenders@cyberguru.report
- El usuario reenvía el correo de phishing a un sistema de tickets y desde allí se reenvía posteriormente a defenders@cyberguru.report
Ejemplos de reportes NO válidos
A continuación se muestran algunos ejemplos en los que el sistema no registra correctamente los reportes recibidos:
- Se envía una lista de direcciones de correo electrónico
- Se envía una lista de nombres de usuario
- Se envía una lista de rid
- Se envía una dirección de correo electrónico
- Se envía un nombre de usuario
- Se envía un código RID sin la partícula "?rid="
- Se envía un conjunto de correos electrónicos de varios usuarios
Procedimiento para el enrutamiento automático de los correos reportados
Cada correo enviado desde la plataforma se puede identificar mediante los siguientes elementos:
-
Firma DKIM en el dominio de simulación utilizado para la campaña — verificar que la firma DKIM sea válida (
dkim=pass) y que el dominio firmante (d=) corresponda a un dominio de simulación autorizado de Cyber Guru. Disponible en el momento de la entrega. - Dirección IP de origen — Salvo acuerdos diferentes: 85.235.135.191. Verificable en el momento de la entrega.
-
Parámetro
?rid=en las URL — identificador único para campaña, usuario y cliente. Presente en el cuerpo del mensaje, disponible también después del reenvío.
Enrutamiento del reporte
En la entrega (delivery time): si el sistema de correo lo permite, configura una regla de flujo de correo que verifique la firma DKIM para un dominio de simulación autorizado de Cyber Guru y aplique una marca al mensaje, que luego se pueda usar para el enrutamiento del reporte.
En el reporte (reporting time): para el enrutamiento automático, verifica que:
- el dominio del enlace pertenezca a un dominio de simulación esperado de Cyber Guru
- el enlace contenga el parámetro
?rid= - el valor RID tenga el formato generado por la plataforma
Los mensajes que cumplan con estos criterios deben ser reenviados a defenders@cyberguru.report. Todos los demás mensajes reportados deben gestionarse según los procedimientos de seguridad de la organización (SOC/CERT).