Skip to content

Un usuario reporta un correo sospechoso. Explícame cómo lo trías de forma segura.

Respuesta breve

Examina el correo sin hacer clic: revisa las cabeceras y la autenticación del remitente (SPF/DKIM/DMARC), inspecciona las URL y adjuntos en un sandbox o con herramientas de reputación, y luego mide el alcance: quién más lo recibió, si alguien hizo clic o introdujo credenciales. Según los hallazgos, remedia purgando el correo, bloqueando los indicadores y restableciendo las credenciales expuestas.

El phishing es el vector de acceso inicial más común, así que el triage de phishing es trabajo diario de un SOC. Los entrevistadores preguntan esto para comprobar dos cosas: que investigas de forma segura (sin hacer clic en enlaces activos) y que piensas en el alcance, no solo en el único correo reportado.

Examinar el correo de forma segura

Nunca hagas clic. Trabaja a partir del mensaje en bruto. Lee las cabeceras: la verdadera IP de envío y la ruta, así como los resultados de SPF, DKIM y DMARC, que te indican si el dominio remitente estaba autorizado y el mensaje sin manipular. Comprueba el nombre mostrado frente a la dirección real (spoofing y dominios parecidos), y busca las pistas habituales de ingeniería social: urgencia, reply-to incoherente, pretextos de recolección de credenciales.

Analizar enlaces y adjuntos

Extrae las URL e inspecciónalas con servicios de reputación o un entorno de sandbox/detonación en lugar de con tu propio navegador. Detona los adjuntos en un sandbox para observar su comportamiento. Los indicadores «defanged» (hxxp://) evitan que hagas clic por accidente.

Medir el radio de impacto

Este es el paso que los juniors olvidan. Busca en la pasarela de correo y el SIEM: quién más recibió este mensaje o similares. ¿Alguien hizo clic en el enlace o abrió el adjunto? ¿Alguien introdujo credenciales en la página de destino? Un reporte suele representar una campaña que golpea muchos buzones.

Remediar de forma proporcional

Purga el mensaje de todos los buzones afectados, bloquea el dominio remitente, las URL y los hashes de archivos en la pasarela y el proxy, y añade los indicadores a la detección. Si se introdujeron credenciales, trátalo como una cuenta comprometida: restablece contraseñas, revoca sesiones y vigila los inicios de sesión posteriores.

Documentar y cerrar

Registra los indicadores y las conclusiones para que el siguiente correo similar se gestione más rápido.

Por qué importa

Un manejo seguro junto con la medición del alcance demuestra criterio. Un analista que trata un solo reporte de phishing como una posible campaña a escala de toda la organización —y que nunca detona una carga útil en su propia máquina— es exactamente quien los entrevistadores quieren haciendo el triage del buzón.

Posibles preguntas de seguimiento

  • ¿Qué te dicen SPF, DKIM y DMARC respectivamente sobre un remitente?
  • ¿Cómo medirías el radio de impacto en toda la organización?
  • ¿Qué haces distinto si alguien ya introdujo sus credenciales?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.