Investiga denuncias de correos electrónicos maliciosos

Herramienta de investigación de seguridad

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Como administrador, es posible que te enteres de que varios usuarios de tu organización recibieron un correo electrónico malicioso.

Con la herramienta de investigación, puedes identificar a todos los usuarios de tu dominio que recibieron el mensaje (por ejemplo, un correo electrónico de phishing). Luego, puedes usar la herramienta de investigación para borrar el correo electrónico de las carpetas Recibidos de Gmail de tus usuarios (ten en cuenta que los datos de registro pueden tardar unos minutos en estar disponibles en la herramienta de investigación).

También puedes usar la herramienta de investigación para realizar otras acciones, como marcar un correo electrónico como spam o phishing, o enviarlo a la bandeja de entrada del usuario.

Cómo buscar y borrar correos electrónicos maliciosos

Paso 1: Comienza tu investigación

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.

    Nota: Los eventos de registro de Gmail solo están disponibles en las ediciones Frontline Plus, Enterprise Plus y Education Plus.

  3. Haga clic en Agregar condición.
  4. Haz clic en Atributo y luego To (Sobre).
  5. Haz clic en Contiene y luego Es.
  6. En Para (sobre), ingresa el nombre de usuario que recibió el correo electrónico malicioso, por ejemplo, user@example.com.
  7. Haga clic en Agregar condición.
  8. Haz clic en Atributo y luego Asunto y asegúrate de que la condición esté establecida en Contiene (la opción predeterminada).
  9. En Asunto, ingresa palabras que coincidan con el asunto del correo electrónico malicioso, por ejemplo, Papá Noel bailando.
    Las palabras de tu búsqueda no tienen que coincidir exactamente con el asunto del correo electrónico.
  10. Haga clic en Agregar condición.
  11. En Condición, haz clic en Fecha.
  12. Cambia la condición a Después de.
  13. En Fecha, ingresa la fecha y hora más tempranas en que tus usuarios recibieron el correo electrónico sospechoso.
  14. Haz clic en Buscar.

Paso 2: Consulta y exporta los resultados de la búsqueda

Después de completar los pasos anteriores, los resultados de la búsqueda se mostrarán en una tabla en la parte inferior de la página. En la tabla, se muestran la fecha y la hora en que se envió el mensaje, el ID del mensaje, el asunto, la dirección de correo electrónico del remitente y la dirección de correo electrónico del destinatario.

Para exportar estos resultados de la búsqueda a tu carpeta de Mi unidad, haz clic en Exportar todos en la parte superior de la tabla.

Para obtener más detalles, consulta Cómo ver los resultados de la búsqueda en la herramienta de investigación.

Paso 3: Busca otros usuarios que puedan haber recibido el correo electrónico malicioso

  1. Para quitar la condición Destinatario de los criterios de búsqueda anteriores, haz clic en . Tu búsqueda solo incluirá los criterios de Asunto y Fecha.
  2. Para buscar otros usuarios que puedan haber recibido el correo electrónico malicioso, haz clic en Buscar.

    Los resultados de la búsqueda se muestran en una tabla en la parte inferior de la página. Al igual que los resultados de la búsqueda del paso 1 anterior, la tabla muestra la fecha y la hora en que se envió el mensaje, el ID del mensaje, el asunto, el tipo de evento y la dirección de correo electrónico del remitente. Sin embargo, los resultados también incluyen las direcciones de correo electrónico de otros usuarios de tu organización que recibieron el correo electrónico malicioso.
  3. Para exportar estos resultados de la búsqueda a tu carpeta de Mi unidad, haz clic en el ícono de exportación que se encuentra en la parte superior de la tabla.

Paso 4: Borra los correos electrónicos maliciosos de las carpetas Recibidos de tus usuarios

  1. En la tabla que se encuentra en la parte inferior de la herramienta de investigación, haz clic en la casilla de verificación para seleccionar todo. De esta manera, se marcarán automáticamente todas las casillas de la página actual de los resultados de la búsqueda.
  2. En el menú Acciones, haz clic en Borrar mensajes.
  3. Escribe una justificación para la tarea de eliminación, por ejemplo,"Se sospecha que son correos electrónicos maliciosos".
  4. Haz clic en Borrar.

    Esta acción borra de las carpetas Recibidos de los usuarios los mensajes que coincidan con el ID y el propietario del mensaje, ya sea el remitente o el destinatario, en función del tipo de evento y en relación con los eventos de registro de Gmail que se hayan seleccionado. Los mensajes borrados seguirán sujetos a todas las reglas de retención y las conservaciones aplicables que se hayan establecido en Vault (para obtener más detalles sobre las reglas de retención y las conservaciones, consulta el Centro de ayuda de Vault).

Nota: Además de borrar un correo electrónico, también tienes la opción de realizar otras acciones, como marcarlo como spam o phishing, o enviarlo a la carpeta Recibidos del usuario.