{"id":335,"date":"2018-12-20T18:22:19","date_gmt":"2018-12-20T17:22:19","guid":{"rendered":"https:\/\/tiraquelibras.com\/blog\/?p=335"},"modified":"2019-12-26T17:00:45","modified_gmt":"2019-12-26T16:00:45","slug":"gophish-configuracion-creacion-y-envio-de-campanas","status":"publish","type":"post","link":"https:\/\/blog.tiraquelibras.com\/?p=335","title":{"rendered":"Gophish &#8211; configuraci\u00f3n, creaci\u00f3n y env\u00edo de campa\u00f1as"},"content":{"rendered":"<p>Ya hemos visto como instalar la herramienta <em><strong>Gophish<\/strong><\/em>\u00a0con Docker en una entrada anterior (accede <a href=\"https:\/\/blog.tiraquelibras.com\/?p=237\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>). Ahora vamos a ver c\u00f3mo configurar la herramienta, crear todos los elementos involucrados en la preparaci\u00f3n de una campa\u00f1a y hacer el env\u00edo de esta. <strong>Let&#8217;s go!!!<\/strong><\/p>\n<hr \/>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de contenidos<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a00a2ed68f65\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a00a2ed68f65\"  aria-label=\"Alternar\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Consideraciones_previas\"  rel=\"nofollow\" target=\"_blank\">Consideraciones previas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-2 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Acceso\"  rel=\"nofollow\" target=\"_blank\">Acceso<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-3 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Configuracion_Settings\"  rel=\"nofollow\" target=\"_blank\">Configuraci\u00f3n (Settings)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-4 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Perfiles_de_envio_Sending_Profiles\"  rel=\"nofollow\" target=\"_blank\">Perfiles de env\u00edo (Sending Profiles)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-5 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Pagina_destino_Landing_Page\"  rel=\"nofollow\" target=\"_blank\">P\u00e1gina destino (Landing Page)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-6 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Plantilla_de_email_Email_Template\"  rel=\"nofollow\" target=\"_blank\">Plantilla de email (Email Template)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-7 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Usuarios_y_grupos_Users_Groups\"  rel=\"nofollow\" target=\"_blank\">Usuarios y grupos (Users &amp; Groups)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-8 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Campanas_Campaigns\"  rel=\"nofollow\" target=\"_blank\">Campa\u00f1as (Campaigns)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-9 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Estadisticas_de_la_campana\"  rel=\"nofollow\" target=\"_blank\">Estad\u00edsticas de la campa\u00f1a<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-10 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Panel_Dashboard\"  rel=\"nofollow\" target=\"_blank\">Panel (Dashboard)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-11 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Resumen\"  rel=\"nofollow\" target=\"_blank\">Resumen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-12 external external_icon\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\/#Recursos\"  rel=\"nofollow\" target=\"_blank\">Recursos<\/a><\/li><\/ul><\/nav><\/div>\n<h1><span class=\"ez-toc-section\" id=\"Consideraciones_previas\"><\/span>Consideraciones previas<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Lo primero que debemos de tener en cuenta es que para configurar la plataforma y las campa\u00f1as debemos de empezar de abajo hacia arriba en el men\u00fa principal, tal y como veremos a continuaci\u00f3n.<\/p>\n<p>Recomiendo tener conocimientos de <em><strong>HTML<\/strong> <\/em>y <em><strong>CSS<\/strong> <\/em>para desarrollar tanto la p\u00e1gina como el formulario de entrada de datos, y tambi\u00e9n del lenguaje <em><strong>MJML<\/strong> <\/em>para el desarrollo de la plantilla del email que ser\u00e1 enviado a las v\u00edctimas, con el fin de que sea visible por cualquier cliente de correo, navegador y dispositivo. De esta forma crearemos una campa\u00f1a de calidad, aumentando su garant\u00eda de \u00e9xito.<\/p>\n<p>Al final de esta entrada se mostrar\u00e1n los enlaces a los recursos de los que estamos hablando.<\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Acceso\"><\/span>Acceso<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Las credenciales por defecto son:<\/p>\n<ul>\n<li>Usuario <em><strong>admin<\/strong><\/em>.<\/li>\n<li>Contrase\u00f1a <em><strong>gophish<\/strong><\/em>.<\/li>\n<\/ul>\n<figure id=\"attachment_412\" aria-describedby=\"caption-attachment-412\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/login.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-412 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/login-300x145.jpg\" alt=\"\" width=\"300\" height=\"145\" \/><\/a><figcaption id=\"caption-attachment-412\" class=\"wp-caption-text\">Login page<\/figcaption><\/figure>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Configuracion_Settings\"><\/span>Configuraci\u00f3n (Settings)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En la secci\u00f3n de configuraci\u00f3n podemos cambiar las credenciales del usuario o crear uno nuevo.<\/p>\n<p>El inconveniente es que no existe una secci\u00f3n en donde se muestren todos los usuarios creados, y por tanto para conocer este dato tendremos que acceder a la base de datos para realizar la consulta.<\/p>\n<p>Tambi\u00e9n disponemos de la <em><strong>API Key<\/strong><\/em>\u00a0que nos permitir\u00e1 interactuar con la herramienta desde cualquier lenguaje de programaci\u00f3n o scripting, por si preferimos usar otro m\u00e9todo que no sea su interfaz web.<\/p>\n<p>La documentaci\u00f3n oficial para su API se puede consultar en el enlace pinchando <a href=\"https:\/\/docs.getgophish.com\/api-documentation\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>.<\/p>\n<p>Tambi\u00e9n disponen de un cliente espec\u00edfico para Python. la documentaci\u00f3n oficial se puede consultar pinchando <a href=\"https:\/\/docs.getgophish.com\/python-api-client\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>.<\/p>\n<figure id=\"attachment_319\" aria-describedby=\"caption-attachment-319\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/1-settings.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-319 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/1-settings-300x168.jpg\" alt=\"\" width=\"300\" height=\"168\" \/><\/a><figcaption id=\"caption-attachment-319\" class=\"wp-caption-text\">Settings<\/figcaption><\/figure>\n<p>Como recomendaci\u00f3n, en la pesta\u00f1a <strong><em>UI Settings<\/em><\/strong>\u00a0podemos habilitar la opci\u00f3n para mostrar los resultados de cada campa\u00f1a en un mapa, por si las v\u00edctimas accedieran a la campa\u00f1a desde distintos pa\u00edses. El panel de la campa\u00f1a queda muy elegante, tal y como veremos m\u00e1s adelante.<\/p>\n<figure id=\"attachment_320\" aria-describedby=\"caption-attachment-320\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/2-settings-maps.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-320 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/2-settings-maps-300x300.jpg\" alt=\"\" width=\"300\" height=\"300\" \/><\/a><figcaption id=\"caption-attachment-320\" class=\"wp-caption-text\">Mostrar mapa en las campa\u00f1as<\/figcaption><\/figure>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Perfiles_de_envio_Sending_Profiles\"><\/span>Perfiles de env\u00edo (Sending Profiles)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Debemos de configurar desde donde se van a enviar los mensajes, es decir, un servidor de correo.<\/p>\n<p>Indicamos el nombre del perfil que vamos a crear.<\/p>\n<p><span style=\"color: #ff0000;\"><strong>Importante<\/strong><\/span>\u00a0indicar una direcci\u00f3n v\u00e1lida en el campo\u00a0<em><strong>From<\/strong><\/em>\u00a0e indicar un servidor junto al puerto que usar\u00e1 la herramienta para realizar el env\u00edo, <em><strong>host:port<\/strong><\/em>, por ejemplo <em>mail.example.com:25<\/em>.<\/p>\n<p>Indicamos las credenciales de la cuenta que vamos a utilizar para el env\u00edo, si las tuviera. Si por el contrario usamos un <em><strong>relay<\/strong> <\/em>sin buzones ni validaci\u00f3n podemos dejar ambos campos vac\u00edos.<\/p>\n<p>Si tuvi\u00e9ramos problemas con el certificado, bien porque sea autofirmado o porque provenga de una entidad certificadora (<em><strong>CA<\/strong><\/em>) de poca confianza, o si directamente no lo tuvi\u00e9ramos, podemos descartar cualquier problema con su chequeo.<\/p>\n<p>Esta secci\u00f3n permite tambi\u00e9n agregar las cabeceras personalizadas que queramos.<\/p>\n<figure id=\"attachment_321\" aria-describedby=\"caption-attachment-321\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/3-sending-profile.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-321 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/3-sending-profile-300x171.jpg\" alt=\"\" width=\"300\" height=\"171\" \/><\/a><figcaption id=\"caption-attachment-321\" class=\"wp-caption-text\">Editar configuraci\u00f3n servidor de correo<\/figcaption><\/figure>\n<p>Adem\u00e1s podemos probar la configuraci\u00f3n antes de guardarla, enviando un mensaje a cualquier destinatario, y en donde se probar\u00e1n tambi\u00e9n ciertas etiquetas que ser\u00e1n utilizadas en la campa\u00f1a.<\/p>\n<figure id=\"attachment_336\" aria-describedby=\"caption-attachment-336\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/Test-sendingProfile.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-336 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/Test-sendingProfile-300x173.jpg\" alt=\"\" width=\"300\" height=\"173\" \/><\/a><figcaption id=\"caption-attachment-336\" class=\"wp-caption-text\">Probar configuraci\u00f3n servidor de correo<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<figure id=\"attachment_337\" aria-describedby=\"caption-attachment-337\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/testEmail.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-337 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/testEmail-300x108.jpg\" alt=\"\" width=\"300\" height=\"108\" \/><\/a><figcaption id=\"caption-attachment-337\" class=\"wp-caption-text\">Destino para la prueba de correo<\/figcaption><\/figure>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Pagina_destino_Landing_Page\"><\/span>P\u00e1gina destino (Landing Page)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>El siguiente paso es configurar la p\u00e1gina destino a la que ser\u00e1 redirigida la v\u00edctima si pincha en el enlace del correo recibido.\u00a0Con esta p\u00e1gina se pretende capturar sus credenciales.<\/p>\n<figure id=\"attachment_322\" aria-describedby=\"caption-attachment-322\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/4-landingPage.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-322 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/4-landingPage-300x170.jpg\" alt=\"\" width=\"300\" height=\"170\" \/><\/a><figcaption id=\"caption-attachment-322\" class=\"wp-caption-text\">Configuraci\u00f3n p\u00e1gina destino<\/figcaption><\/figure>\n<p>Es recomendable crear una p\u00e1gina lo m\u00e1s parecida posible a la que pretendemos suplantar.<\/p>\n<p>Existe una opci\u00f3n para importar una p\u00e1gina, pero me ha fallado en la mayor\u00eda de las ocasiones, sobre todo cuando intentamos traer el c\u00f3digo de una p\u00e1gina desarrollada en otro lenguaje que no sea <em><strong>HTML<\/strong><\/em>, o con Frameworks de JS como <strong><em>JQuery<\/em> <\/strong>o <em><strong>Node<\/strong><\/em>. <span style=\"text-decoration: underline;\">Lo m\u00e1s recomendable es crearla desde cero.<\/span><\/p>\n<p>Debemos de tener en cuenta que las etiquetas <em><strong>&lt;input&gt;&lt;\/input&gt;<\/strong><\/em>\u00a0deben contener su atributo\u00a0<em><strong>name<\/strong><\/em>, ya que de lo contrario tras introducir los datos en el formulario y darle al bot\u00f3n de env\u00edo no va a pasar nada. Un ejemplo de la configuraci\u00f3n de estas etiquetas ser\u00eda:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"html\">&lt;input type='email' name='email' placeholder='example@example.com'&gt;\r\n&lt;input type='password' name='password' placeholder='Pwd'&gt;&lt;br&gt;<\/pre>\n<p>Esta p\u00e1gina es almacenada en la base de datos configurada en el sistema, asign\u00e1ndole un ID (par\u00e1metro <em><strong>rid<\/strong><\/em>) para crear la URL completa que usaremos en las campa\u00f1as en donde est\u00e1 involucrada.<\/p>\n<figure id=\"attachment_323\" aria-describedby=\"caption-attachment-323\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/5-landingPage-captureData.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-323 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/5-landingPage-captureData-300x160.jpg\" alt=\"\" width=\"300\" height=\"160\" \/><\/a><figcaption id=\"caption-attachment-323\" class=\"wp-caption-text\">Configuraci\u00f3n p\u00e1gina destino<\/figcaption><\/figure>\n<p>Podemos escoger la opci\u00f3n de capturar o no las credenciales introducidas por el usuario. Si no escogemos esa opci\u00f3n la contrase\u00f1a no ser\u00e1 almacenada en la campa\u00f1a. De lo contrario solo se almacenar\u00e1n los campos del formulario que no sean de tipo <em><strong>password<\/strong><\/em>. <span style=\"color: #ff0000;\"><strong>OJO<\/strong><\/span>, las credenciales se almacenan en formato <em>texto plano<\/em>.<\/p>\n<p>Tambi\u00e9n podemos redireccionar a la v\u00edctima a otra URL una vez env\u00ede los datos del formulario. As\u00ed podemos mostrarle una p\u00e1gina que le indique que ha sido v\u00edctima de una campa\u00f1a de phising u ocultar cualquier sospecha redireccionando a una web leg\u00edtima.<\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Plantilla_de_email_Email_Template\"><\/span>Plantilla de email (Email Template)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En esta secci\u00f3n vamos a crear el email que ser\u00e1 enviado a las v\u00edctimas. Este email contiene la URL que redirecciona a la p\u00e1gina en donde tenemos el formulario para capturar las credenciales de las v\u00edctimas, comentada en el apartado anterior.<\/p>\n<figure id=\"attachment_324\" aria-describedby=\"caption-attachment-324\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/6-emailTemplate.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-324 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/6-emailTemplate-300x169.jpg\" alt=\"\" width=\"300\" height=\"169\" \/><\/a><figcaption id=\"caption-attachment-324\" class=\"wp-caption-text\">Configuraci\u00f3n plantilla de email<\/figcaption><\/figure>\n<p>Personalmente he tenido muchos problemas a la hora de desarrollar un email en formato HTML con hojas de estilos, en resumidas cuentas, que se vea bonito. Cada cliente de correo y navegador formatea los mensajes de manera distinta, aceptando algunas etiquetas \/ atributos y descartando otros. Esto hacen de esta labor una aut\u00e9ntica pesadilla.<\/p>\n<p>Para redactar un buen email en formato HTML recomiendo el uso de la herrmaienta <strong>MJML<\/strong>, accede a su web oficial haciendo click <a href=\"https:\/\/mjml.io\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>. Este no es m\u00e1s que otro lenguaje de etiquetas con el que se genera el c\u00f3digo HTML para que sea visto correctamente en la mayor\u00eda de los clientes de correo y webmail. Requiere de aprendizaje en su sintaxis y atributos, pero teniendo conocimientos de HTML y CSS esto no ser\u00e1 un problema. \u00a0Esta entrada no se centra en explicar este software, por lo que os animamos a buscar entre la abundante documentaci\u00f3n que hay online.<\/p>\n<p>Si por el contrario solo queremos enviar un email en texto, sin formato, podemos hacer uso de c\u00f3digo HTML sencillo, con etiquetas simples como p\u00e1rrafos y enlaces.<\/p>\n<p>Esta secci\u00f3n tambi\u00e9n ofrece \u00a0el poder importar una web externa, pero, como coment\u00e9 en el apartado anterior, yo tuve problemas con esta opci\u00f3n. <span style=\"text-decoration: underline;\">Lo mejor es crearlo de cero<\/span>.<\/p>\n<p>La plantilla permite agregar determinadas variables, las cuales corresponden con los datos que hemos introducido cuando agregamos las direcciones a un grupo, como veremos m\u00e1s adelante, adem\u00e1s de otros datos. Estas variables son:<\/p>\n<ul>\n<li><strong>{{.RId}}<\/strong> El ID de la p\u00e1gina objetivo.<\/li>\n<li><strong>{{.FirstName}}<\/strong> Nombre agregado al buz\u00f3n.<\/li>\n<li><strong>{{.LastName}}<\/strong> Apellido agregado al buz\u00f3n.<\/li>\n<li><strong>{{.Position}}<\/strong> La posici\u00f3n del objetivo.<\/li>\n<li><strong>{{.Email}}<\/strong> Direcci\u00f3n del email introducido.<\/li>\n<li><strong>{{.From}}<\/strong> El remitente configurado para la campa\u00f1a.<\/li>\n<li><strong>{{.TrackinURL}}<\/strong> El elemento que indica si el email ha sido abierto. Los clientes de correo lo interpretan como una imagen, por lo que si este ha bloqueado las im\u00e1genes del mensaje no se ejecuta la acci\u00f3n, pero si el usuario descarga las im\u00e1genes si la ejecuta.<\/li>\n<li><strong>{{.Tracker}}<\/strong> Es un alias de la etiqueta <em><strong>&lt;img src=\u00bb{{.TrackingURL}}\u00bb\/&gt;<\/strong><\/em>.<\/li>\n<li><strong>{{.BaseURL}}<\/strong> URL completa con el <em><strong>rid<\/strong> <\/em>de la <em><strong>Landing Page<\/strong> <\/em>configurada.<\/li>\n<li><em><strong>{{.URL}}<\/strong> <\/em>URL con la <em><strong>Landing Page<\/strong> <\/em>creada en el apartado anterior, a donde pretendemos redirigir a la v\u00edctima.<\/li>\n<\/ul>\n<p>Estas variables ser\u00e1n sustituidas por la informaci\u00f3n del usuario en cada mensaje enviado, uno por cada direcci\u00f3n agregada al grupo configurado, v\u00edctima de la campa\u00f1a.<\/p>\n<p>La variable <em><strong>{{.Tracker}}<\/strong> <\/em>es imprescindible. Si no la agregamos podemos seleccionar la opci\u00f3n para que lo haga la propia herramienta durante la creaci\u00f3n de la plantilla.<\/p>\n<p>Tabi\u00e9n podemos agregar un archivo adjunto, en donde podemos incluir un <em><strong>Payload<\/strong> <\/em>o <em><strong>Malware<\/strong><\/em>, o simplemente una funci\u00f3n personalizada o un enlace a otra URL en donde capturar la informaci\u00f3n, pudiendo ser la misma <strong><em>Landing Page<\/em> <\/strong>configurada en el apartado anterior.<\/p>\n<figure id=\"attachment_325\" aria-describedby=\"caption-attachment-325\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/7-emailTemplate-attach.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-325 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/7-emailTemplate-attach-300x166.jpg\" alt=\"\" width=\"300\" height=\"166\" \/><\/a><figcaption id=\"caption-attachment-325\" class=\"wp-caption-text\">Configuraci\u00f3n plantilla de email<\/figcaption><\/figure>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Usuarios_y_grupos_Users_Groups\"><\/span>Usuarios y grupos (Users &amp; Groups)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En esta secci\u00f3n damos de alta los grupos de v\u00edctimas a las que ir\u00e1n dirigidas las campa\u00f1as.<\/p>\n<figure id=\"attachment_326\" aria-describedby=\"caption-attachment-326\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/8-userGroups.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-326 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/8-userGroups-300x168.jpg\" alt=\"\" width=\"300\" height=\"168\" \/><\/a><figcaption id=\"caption-attachment-326\" class=\"wp-caption-text\">Configuraci\u00f3n de destinatarios<\/figcaption><\/figure>\n<p>La informaci\u00f3n opcional a agregar ser\u00eda:<\/p>\n<ul>\n<li>Nombre (<em><strong>First Name<\/strong><\/em><em>).<\/em><\/li>\n<li>Apellidos (<em><strong>Last Name<\/strong><\/em>).<\/li>\n<li>Posici\u00f3n en la empresa (<em><strong>Position<\/strong><\/em><em>).<\/em><\/li>\n<\/ul>\n<p>El campo obligatorio es el de <em><strong>Email<\/strong><\/em>, ya que sin \u00e9l no permite la creaci\u00f3n del usuario ni del grupo.<\/p>\n<p>Se puede hacer una importaci\u00f3n en bloque mediante la carga de un archivo exclusivamente en formato <em><strong>.CSV<\/strong><\/em>\u00a0y con la siguiente sintaxis:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">First Name,Last Name,Email,Position\r\nManolo,Fern\u00e1ndez,manolo@example.com,Gerente\r\nPepe,,pepe@example.com,\r\nMar\u00eda,Garc\u00eda,mgarcia@example.com,Secretaria<\/pre>\n<p>Prestar atenci\u00f3n a las entradas que no disponen de alguno de los apartados. Se dejar\u00edan en blanco. Imprescindible indicar <strong>siempre<\/strong>\u00a0la cabecera tal y como se muestra en el ejemplo, y por cada entrada cuatro campos con contenido o bien y separados por comas.<\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Campanas_Campaigns\"><\/span>Campa\u00f1as (Campaigns)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En esta secci\u00f3n crearemos la campa\u00f1a para su env\u00edo.<\/p>\n<figure id=\"attachment_327\" aria-describedby=\"caption-attachment-327\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/9-campagna.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-327 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/9-campagna-300x170.jpg\" alt=\"\" width=\"300\" height=\"170\" \/><\/a><figcaption id=\"caption-attachment-327\" class=\"wp-caption-text\">Configuraci\u00f3n de campa\u00f1a<\/figcaption><\/figure>\n<p>En esta se indican los siguientes datos:<\/p>\n<ul>\n<li>Nombre de la campa\u00f1a.<\/li>\n<li>Plantilla creada previamente para el env\u00edo de la campa\u00f1a.<\/li>\n<li>P\u00e1gina creada previamente a donde redirigimos a la v\u00edctima para capturar sus datos.<\/li>\n<li>URL del servidor en donde tenemos <em><strong>Gophish<\/strong> <\/em>instalado. Es la URL Base del enlace a la <em><strong>Landing Page<\/strong><\/em>.<\/li>\n<li>Programaci\u00f3n cuando queremos enviar la campa\u00f1a.<\/li>\n<li>Opcionalmente podemos indicar la fecha y hora finales del env\u00edo, de tal forma que el sistema programa los env\u00edos durante el periodo de tiempo indicado entre esta y la fecha de inicio.<\/li>\n<li>Perfil de env\u00edo del servidor de correo que usaremos para la campa\u00f1a.<\/li>\n<li>Grupo v\u00edctima de la campa\u00f1a.<\/li>\n<\/ul>\n<p>Al enviar la campa\u00f1a esta ser\u00e1 programada para la fecha y horas indicadas, o si es una fecha anterior a la actual el sistema la enviar\u00e1 inmediatamente.<\/p>\n<p>Una vez creada la campa\u00f1a podemos acceder a su estado, estad\u00edsticas, duplicarla o eliminarla.<\/p>\n<figure id=\"attachment_411\" aria-describedby=\"caption-attachment-411\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/campagnas.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-411 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/campagnas-300x45.jpg\" alt=\"\" width=\"300\" height=\"45\" \/><\/a><figcaption id=\"caption-attachment-411\" class=\"wp-caption-text\">Listado de campa\u00f1as<\/figcaption><\/figure>\n<p>Te recomiendo que antes de enviar una campa\u00f1a a las v\u00edctimas se hagan pruebas con cuentas propias para confirmar que todo se vea y funcione correctamente. <span style=\"text-decoration: underline;\">De lo contrario la campa\u00f1a puede ser un aut\u00e9ntico fracaso.<\/span><\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Estadisticas_de_la_campana\"><\/span>Estad\u00edsticas de la campa\u00f1a<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Una vez creada una campa\u00f1a, podemos acceder a su estado para comprobar si las v\u00edctimas han abierto el mensaje, pulsado en el enlace a la <em>Landing Page y<\/em>\u00a0enviado el formulario con datos. La opci\u00f3n de\u00a0<strong><em>Email Reported<\/em><\/strong> est\u00e1 en fase \u00a0beta, destinada a introducir alg\u00fan elemento que permita a la v\u00edctima a usarlo para alertar que es un phishg, y por tanto confirmar que es una <strong>v\u00edctima concienciada <\/strong>con este riesgo.<\/p>\n<figure id=\"attachment_328\" aria-describedby=\"caption-attachment-328\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/10-campagna-resultados-1.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-328 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/10-campagna-resultados-1-300x144.jpg\" alt=\"\" width=\"300\" height=\"144\" \/><\/a><figcaption id=\"caption-attachment-328\" class=\"wp-caption-text\">Estad\u00edsticas de la campa\u00f1a<\/figcaption><\/figure>\n<p>Tambi\u00e9n podemos ver el estado y la informaci\u00f3n de cada buz\u00f3n, junto a un mapa desde donde cada usuario accede al mensaje.<\/p>\n<figure id=\"attachment_329\" aria-describedby=\"caption-attachment-329\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/11-campagna-resultados-2.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-329 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/11-campagna-resultados-2-300x171.jpg\" alt=\"\" width=\"300\" height=\"171\" \/><\/a><figcaption id=\"caption-attachment-329\" class=\"wp-caption-text\">Estad\u00edsticas de la campa\u00f1a<\/figcaption><\/figure>\n<p>Tambi\u00e9n en esta secci\u00f3n disponemos de las opciones de:<\/p>\n<ul>\n<li>Exportar el estado de la campa\u00f1a en formato <em><strong>.CSV<\/strong><\/em>.<\/li>\n<li>Completar la campa\u00f1a, bloqueando el acceso a la Landing Page creada.<\/li>\n<li>Borrar la campa\u00f1a.<\/li>\n<li>Recargar la pantalla con la informaci\u00f3n de la campa\u00f1a. Esta se autorecarga frecuentemente.<\/li>\n<\/ul>\n<p>Una vez queramos finalizar la campa\u00f1a usaremos la opci\u00f3n\u00a0<strong><em>Completar campa\u00f1a<\/em><\/strong> para deshabilitar la URL de acceso a la <em><strong>Landing Page<\/strong><\/em>, es decir la URL base seguido del <em><strong>rid<\/strong> <\/em>de esta p\u00e1gina. Los usuarios no podr\u00e1n acceder de nuevo al enlace del mensaje recibido, y por tanto enviar sus datos.<\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Panel_Dashboard\"><\/span>Panel (Dashboard)<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En esta secci\u00f3n podemos ver un resumen de todas las campa\u00f1as configuradas, completas o no, con la informaci\u00f3n global de todas ellas.<\/p>\n<figure id=\"attachment_413\" aria-describedby=\"caption-attachment-413\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/dashboard-1.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-413 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/dashboard-1-300x162.jpg\" alt=\"\" width=\"300\" height=\"162\" \/><\/a><figcaption id=\"caption-attachment-413\" class=\"wp-caption-text\">Panel general de campa\u00f1as<\/figcaption><\/figure>\n<p>Tambi\u00e9n podemos acceder a las estad\u00edsticas de cada campa\u00f1a o eliminarla.<\/p>\n<figure id=\"attachment_414\" aria-describedby=\"caption-attachment-414\" style=\"width: 300px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/dashboard-2.jpg\" class=\"external\" rel=\"nofollow\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-414 size-medium\" src=\"https:\/\/blog.tiraquelibras.com\/wp-content\/uploads\/2018\/12\/dashboard-2-300x94.jpg\" alt=\"\" width=\"300\" height=\"94\" \/><\/a><figcaption id=\"caption-attachment-414\" class=\"wp-caption-text\">Panel general de campa\u00f1as<\/figcaption><\/figure>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Resumen\"><\/span>Resumen<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>En resumen, esta potente herramienta con licencia libre nos permite realizar campa\u00f1as de concienciaci\u00f3n para identificar posibles v\u00edctimas a trav\u00e9s de las cuales pongamos en riesgo la informaci\u00f3n privada de una compa\u00f1\u00eda.<\/p>\n<p>Espero que esta entrada sea de utilidad para todo aquel que quiera usar esta herramienta. Cualquier duda me pod\u00e9is preguntar usando el formulario de contacto pinchando <a href=\"https:\/\/blog.tiraquelibras.com\/?page_id=66\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>, o si ya eres un usuario registrado en el blog agregando un comentario.<\/p>\n<div class=\"entry-content\">\n<p>Aaaadios!!!!<\/p>\n<hr \/>\n<h1><span class=\"ez-toc-section\" id=\"Recursos\"><\/span>Recursos<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<\/div>\n<p>Gophish p\u00e1gina oficial pincha <a href=\"https:\/\/getgophish.com\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed.<\/a><\/p>\n<p>Gophish documentaci\u00f3n oficial pincha <a href=\"https:\/\/getgophish.com\/documentation\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed.<\/a><\/p>\n<p>MJML p\u00e1gina oficial pincha <a href=\"https:\/\/mjml.io\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>.<\/p>\n<p>HTML recursos pincha <a href=\"https:\/\/www.w3schools.com\/html\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>.<\/p>\n<p>CSS recursos pincha <a href=\"https:\/\/www.w3schools.com\/css\/default.asp\" target=\"_blank\" rel=\"noopener noreferrer nofollow\" class=\"external external_icon\">aqu\u00ed<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ya hemos visto como instalar la herramienta Gophish\u00a0con Docker en una entrada anterior (accede aqu\u00ed). Ahora vamos a ver c\u00f3mo configurar la herramienta, crear todos<span class=\"read-more-link\"><a class=\"read-more\" href=\"https:\/\/blog.tiraquelibras.com\/?p=335\">Read More<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":238,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,10],"tags":[30,32,34],"class_list":["post-335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-sistemas","tag-concienciacion","tag-ingenieriasocial","tag-phishing"],"post_mailing_queue_ids":[],"_links":{"self":[{"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/posts\/335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=335"}],"version-history":[{"count":0,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/posts\/335\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=\/wp\/v2\/media\/238"}],"wp:attachment":[{"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.tiraquelibras.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}