Las claves se usan solo en tu navegador y no se envían a ningún servidor externo a las APIs indicadas.
Cualquier texto que pueda contener indicadores de compromiso:
.eml.El extractor busca patrones, no necesita formato específico. También puedes llegar aquí con datos prerrellenados desde el analizador DMARC (botón → IOC con todas las IPs sospechosas) o desde el analizador de cabeceras.
Los IOCs encontrados agrupados por tipo:
http, https, ftp.Cada IOC lleva una etiqueta que indica su procedencia (texto libre, URL, email) y, cuando procede, una nota automática: "IP privada/interna" para rangos RFC1918, "infraestructura conocida" para dominios de proveedores comunes como Google, Microsoft o Cloudflare — estos suelen ser ruido y no amenazas.
Si has configurado tu API key de VirusTotal o AbuseIPDB en la sección de Threat Intelligence (opcional), cada IOC muestra un botón para consultar su reputación al instante, o usa Lookup TI para enriquecer todos a la vez con rate limiting automático.
Un IOC marcado como "infraestructura conocida" casi nunca es la amenaza — filtrarlo te ayuda a centrarte en lo que importa. Los hashes y las CVEs rara vez son falsos positivos: si aparecen, merecen investigación directa.
En los resultados de VirusTotal, más de 5 detecciones maliciosas sobre el total de engines es una señal fuerte; entre 1 y 5 puede ser falso positivo de algún engine agresivo — contrasta con otras fuentes. En AbuseIPDB, confidence score superior al 50% indica IP con historial reciente de abuso documentado por múltiples reportantes.
Exporta los resultados a CSV para tu informe de incidente o a JSON para importarlos en un SIEM o TIP.
La extracción de patrones ocurre en tu navegador. Las API keys de VirusTotal y AbuseIPDB se guardan solo en tu sesión (no persisten entre recargas) y las consultas se hacen directamente desde tu navegador a las APIs oficiales — ningún IOC pasa por un servidor intermedio nuestro.