Extraer IOCs de un email sospechoso en 5 minutos: guía de triaje técnico

Un usuario reporta un correo inusual. El tiempo de respuesta es el factor determinante entre una neutralización exitosa y un incidente de seguridad a gran escala. No necesitas un informe pericial de veinte páginas; necesitas datos accionables para alimentar tus sistemas de bloqueo en menos de trescientos segundos.

La identificación de Indicadores de Compromiso (IOCs) permite transformar una amenaza aislada en inteligencia colectiva para tu red. En este documento aprenderás el procedimiento técnico para extraer IPs de origen, dominios de comando y control (C2), y firmas de archivos maliciosos directamente desde el código fuente del mensaje, sin ejecutar carga útil alguna.

Los Indicadores de Compromiso (IOCs) son evidencias forenses que sugieren con alta probabilidad que un sistema o red ha sido vulnerado. En el análisis de correos electrónicos, un IOC no es la sospecha de que un mensaje es falso, sino el dato técnico inmutable que vincula ese mensaje con una infraestructura hostil conocida o emergente.

Existen tres categorías primarias de IOCs en un email: de red (direcciones IP y dominios de tránsito), de host (hashes de archivos adjuntos y nombres de procesos) y de comportamiento (patrones de envío y esquemas de ofuscación). Los recibes porque los sistemas de filtrado han fallado o porque la campaña utiliza infraestructura de "día cero".

La extracción sistemática de estos datos es lo que permite a un analista pasar de una postura reactiva a una proactiva. Si extraes una URL maliciosa, no solo proteges al usuario que reportó el correo; proteges a toda la organización bloqueando el acceso a ese dominio en el firewall perimetral. Es una operación de suma positiva.

La primera fuente de IOCs reside en las cabeceras SMTP. Debes aislar la dirección IP que realizó la inyección inicial del mensaje. Este dato es el indicador de red más sólido, ya que, a diferencia del dominio del remitente, la IP de origen es una coordenada técnica difícil de ocultar sin el uso de proxies o redes de anonimato.

Busca la línea Received: más cercana al final del bloque de cabeceras. Extrae la dirección IP pública y el ASN asociado. Si la IP pertenece a un rango de hosting barato o a una red residencial de un país sin relación comercial con la organización, márcala como un IOC de alta fidelidad.

Received: from [185.151.242.10] (unknown [185.151.242.10])
by https://www.google.com/search?q=mx.google.com with ESMTPS id ...
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Fri, 24 Apr 2026 08:12:04 -0700 (PDT)

En este bloque, el IOC de red es 185.151.242.10. Cualquier otro correo proveniente de esta IP debe ser tratado como malicioso por defecto durante la ventana de ataque.

Los atacantes raramente apuntan directamente al servidor de destino final. Utilizan acortadores de URL, redirecciones abiertas en sitios legítimos vulnerados o dominios de "homoglifos" que imitan visualmente a marcas conocidas. Tu objetivo es extraer la URL final, no la que aparece en la superficie del HTML.

Utiliza herramientas de "de-fanging" para neutralizar las URLs antes de procesarlas. Esto evita ejecuciones accidentales. Un enlace neutralizado se transforma de http://dominio-malvado.com a hxxp[://]dominio-malvado[.]com. Los IOCs clave aquí son el dominio raíz y cualquier parámetro único en la URL que sugiera el rastreo de la víctima.

Identificación de redirecciones y encadenamiento

Inspecciona el código fuente HTML del mensaje buscando la etiqueta <a href="...">. Si el enlace apunta a un servicio de almacenamiento en la nube (Dropbox, Google Drive) que aloja un archivo .zip o .html, el enlace al servicio es tu primer IOC, y el archivo alojado será el segundo.

La clave: De-fanging

Nunca copies y pegues una URL sospechosa en tu navegador. Utiliza entornos aislados o herramientas de línea de comandos como curl con banderas de inspección de cabeceras (-I) para seguir la cadena de redirección hasta el IOC final sin renderizar el contenido malicioso.

Un archivo adjunto es una mina de IOCs de host. No te limites al nombre del archivo; los atacantes lo cambian en cada envío para evadir firmas simples. El indicador verdaderamente útil es el hash criptográfico del archivo (SHA-256 es el estándar actual por su baja probabilidad de colisión).

Si el archivo está embebido en el email mediante codificación Base64, puedes extraer el bloque de texto y generar el hash sin necesidad de guardar el archivo en disco. Esto es fundamental para evitar que los sistemas antivirus locales activen alertas o bloqueos que interfieran con la investigación.

Categorías de IOCs en adjuntos

• SHA-256: La huella digital única del archivo. Es el IOC más potente para compartir con otros equipos de seguridad.
• Fuzzy Hashing (SSDEEP): Permite identificar archivos similares con pequeñas variaciones de código.
• Metadatos: El autor del documento, la fecha de creación y la versión de la herramienta utilizada (frecuente en documentos de Office maliciosos).

Recibimos un correo con el asunto "Factura Pendiente - Pago Urgente". El remitente parece ser un proveedor legítimo, pero la cabecera Authentication-Results muestra dmarc=fail.

1. Minuto 1: Abrimos el código fuente. Identificamos en el último Received la IP 45.133.1.5. Es un servidor en una zona de riesgo. IOC 1 extraído.
2. Minuto 2: Buscamos enlaces. El botón "Ver Factura" apunta a hxxps[://]bit[.]ly/3xYz123. Usamos un expansor de URLs y llegamos a hxxp[://]portal-pagos-verificados[.]info/login. IOC 2 extraído (dominio de phishing).
3. Minuto 3: Localizamos el bloque Content-Disposition: attachment; filename="Factura_9921.zip".
4. Minuto 4: Copiamos el bloque Base64 del adjunto y calculamos su SHA-256 mediante consola. Obtenemos e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. IOC 3 extraído.
5. Minuto 5: Consultamos los tres IOCs en fuentes de inteligencia (OSINT). Confirmamos que la IP y el hash están vinculados a una campaña de malware tipo Infostealer.

Diagnóstico final: Ataque activo de robo de credenciales. Acción: Bloqueo de la IP en el firewall, del dominio en el DNS y búsqueda del hash en todos los endpoints de la red.

El análisis bajo presión induce a errores técnicos que pueden comprometer la investigación o la seguridad del analista. Los más críticos son:

• Ignorar las cabeceras de tránsito: Extraer la IP del primer servidor que ves, que suele ser el de tu propia organización, perdiendo el rastro del atacante.
• No de-fangear los IOCs: Enviar por accidente un email interno con los IOCs activos, provocando que otros compañeros pinchen en los enlaces maliciosos durante la coordinación del incidente.
• Confiar en el nombre del archivo: Filtrar por "Factura.exe" en lugar de por el hash SHA-256. El atacante simplemente renombrará el archivo a "Documento.exe" para evadir tu regla.
• Analizar solo la superficie: No revisar los campos Reply-To, que a menudo contienen una dirección de correo diferente a la del From, constituyendo un IOC de host adicional.

La extracción técnica de IOCs transforma la sospecha en datos ejecutables. Al dominar el análisis de IPs, la neutralización de URLs y la generación de hashes, reduces drásticamente el tiempo de exposición de tu organización ante ataques de ingeniería social.

Si quieres profundizar en el ciclo completo de respuesta ante incidentes de correo, hemos publicado una guía técnica de 24 páginas sobre defensa perimetral y automatización de IOCs. Es gratuita: pídela aquí →

En el próximo artículo de esta serie técnica analizaremos la Persistencia en servidores de correo: qué ocurre cuando el atacante no solo envía un email, sino que logra comprometer el propio MTA. [Próximamente].