STIC3-COLTEL-OPS-IN-ID000-

DISTRIBUCIÓN DE SPAM
 Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
DISTRIBUCIÓN DE SPAM ELABORACIÓN DE DOCUMENTOS
Fecha:29-11-2019
Versión: 1

REGISTRO DE CAMBIOS
VERSIÓN FECHA DE CAMBIO MOTIVO DEL CAMBIO
1 23-05-2020 Ajustes de calidad

CONTROL DEL DOCUMENTO

VERSIÓN ELABORADO REVISADO APROBADO
0 Alejandra Daza Jaime Chacón Deyber Molina
Analista SOC Junior Analista SOC Líder de
Wilson Mora G. Ciberseguridad
Líder de Calidad
1 Alejandra Daza Jaime Chacón Deyber Molina
Analista SOC Junior Analista SOC Líder de
Wilson Mora G. Ciberseguridad
Líder de Calidad
 Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
DISTRIBUCIÓN DE SPAM ELABORACIÓN DE DOCUMENTOS
Fecha:29-11-2019
Versión: 1

TABLA DE CONTENIDO
Pág.
1. INTRODUCCIÓN........................................................................................................................
2. OBJETIVO..................................................................................................................................
3. ALCANCE...................................................................................................................................
4. DEFINICIONES Y SIGLAS.........................................................................................................
4.1. DEFINICIONES..............................................................................................................
4.2. SIGLAS...........................................................................................................................
5. NOTAS DE SOPORTE...............................................................................................................
5.1. SPAM.............................................................................................................................
5.2. IDENTIFICAR EL SPAM.................................................................................................
5.3. CLASIFICACIÓN EN LA HERRAMIENTA DE GESTIÓN...............................................
6. ACCIONES PARA LA GESTIÓN DEL INCIDENTE....................................................................
6.1. VALIDACIÓN DEL INCIDENTE......................................................................................
6.1.1. Solicitar correo original...............................................................................................
6.1.2. Consultar reputación IP y dominio..............................................................................
7. ANÁLISIS Y DOCUMENTACIÓN................................................................................................
7.1. ACCIONES PARA EL ANÁLISIS DEL INCIDENTE........................................................
7.1.1 Análisis cabecera de correo...........................................................................................
7.1.2 Reputación de la IP encontrada......................................................................................
7.2. RESOLUCIÓN DEL INCIDENTE..................................................................................11
8. ELABORACIÓN DEL INFORME DEL INCIDENTE DE SEGURIDAD.......................................11
 Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
DISTRIBUCIÓN DE SPAM ELABORACIÓN DE DOCUMENTOS
Fecha:29-11-2019
Versión: 1

TABLA DE FIGURAS

Figura 1 Copiar Correo.............................................................................................

Figura 2 Crear nuevo correo.....................................................................................
Figura 3 Adjuntar correo Web...................................................................................
Figura 4 Enviar correo malicioso..............................................................................
Figura 5 Búsqueda IP en MXTOOLBOX..................................................................
Figura 6 Búsqueda IP en Talos................................................................................
Figura 7 Análisis cabecera de correo -IP origen......................................................
Figura 8 Análisis cabecera de correo-Cuenta origen...............................................
Figura 9 Reputación de IP en MXTOOLBOX.........................................................10
Figura 10 Reputación de IP en Talos.....................................................................10
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

1. INTRODUCCIÓN

Los ciberataques o ataques informáticos son acciones ofensivas, realizadas por una o varias
personas con el objetivo principal de obtener cierto beneficio al generar daños en los
sistemas tecnológicos de una organización, dominarlos o robar información contenida en
ellos. Estos ataques se aprovechan de las vulnerabilidades existentes en el hardware y/o
software. Un ejemplo de ello es la distribución excesiva de mensajes comerciales no
solicitados mediante correos electrónicos y/o telefónicos conocidos como SPAM, el cual
será analizado en este documento.

2. OBJETIVO

Establecer las acciones que deberá ejecutar el Analista SOC al recibir y/o identificar un
evento de seguridad categorizado como SPAM.

3. ALCANCE

Inicia con la recepción y/o identificación del evento de seguridad, continua con el análisis
preliminar para determinar si este corresponde a un evento o a un incidente de seguridad en
cuyo caso deberá ser escalado al directo responsable del servicio y/o plataforma afectada y
posteriormente deberá notificar a los líderes del proyecto y gestor de incidentes, por último,
deberá gestionar y apoyar todo lo concerniente al cierre y elaboración del informe del
incidente se seguridad. De ser un evento de seguridad se documentará y cerrará en la
herramienta de gestión adjuntado las evidencias tomadas durante el análisis preliminar.

4. DEFINICIONES Y SIGLAS

4.1. DEFINICIONES

 Árbol de categorías: Documento que reúne la clasificación general de los

incidentes y requerimientos que soportan la mesa de servicio y que se encuentran
configurados en la herramienta de Hélix.
 Banner: Es un formato publicitario bastante presente en internet, por no decir que
es el que más presencia posee. Se trata de una pieza de publicidad de contenido

1
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

gráfico que se introduce en cualquier portal online para dar visibilidad a una marca,
negocio o campaña de cualquier tipo y puede ser tanto estática como dinámica.
 Confidencialidad: Propiedad de la información, por la que se garantiza que está
accesible únicamente a personal autorizado a acceder a dicha información.
 Disponibilidad: Propiedad de la información, que garantiza el acceso a los datos
en el momento, formato y tiempo que se requiera.
 Incidente de seguridad informática: Un incidente de seguridad de la información
es la violación o amenaza inminente a una política de seguridad de la información
implícita o explícita. compromete la seguridad de un sistema (confidencialidad,
integridad y disponibilidad). Algunos ejemplos de incidentes de seguridad que
pueden mencionarse son:
o Acceso no autorizado
o Robo de contraseñas
o Robo de información
o Denegación de servicio
 Integridad: Propiedad de la información, que garantiza que los datos generados no
sufren modificaciones por personal no autorizado.
 Log: Registro oficial de eventos durante un rango de tiempo en particular.

 Mesa de Servicio: Conjunto de recursos tecnológicos y humanos, para prestar

servicios con la posibilidad de gestionar y solucionar todas las posibles incidencias
de manera integral, junto con la atención de requerimientos relacionados a las
Tecnologías (TIC).
 Modificación Sitio web: Es la práctica de modificar o alterar una o varias páginas
web de un sitio, sin autorización de su autor o dueño.
 Repositorio: Ubicación lógica donde reposa y se almacena información importante
para la compañía.
 Servidor: Aplicación en ejecución (software) capaz de atender las peticiones de un
cliente y devolverle una respuesta en concordancia
 Seguridad de la información: Es la disciplina que se encarga de proteger la
integridad y la privacidad de la información almacenada en un sistema informático.

2
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

 Seguridad informática: Es el área de la informática que se enfoca en la

protección de la infraestructura computacional y todo lo relacionado con esta y,
especialmente, la información contenida o circulante.
 SOC: El Security Operation Center (SOC) proporciona los niveles de gestión que
permiten la interacción y escalamiento de eventos y solicitudes de Seguridad
informática y de la información.
 SPAM: Correo basura o mensaje basura a los mensajes no solicitados, no
deseados o de remitente desconocido. El SPAM normalmente es de tipo
publicitario y generalmente es enviado de forma masiva mediante el correo
electrónico, motores de búsqueda, redes sociales, páginas wiki, foros, blogs, entre
otros, incluso mensajes de texto a teléfonos móviles.

4.2. SIGLAS

 MS: Mesa de Servicio

 SOC: Security Operation Center

 TIC: Tecnología de Información y Comunicaciones

5. NOTAS DE SOPORTE

5.1. SPAM

Spam es la denominación del correo electrónico no solicitado que recibe una persona.
Dichos mensajes, también llamados correo no deseado o correo basura, suelen ser
publicidades de toda clase de productos y servicios.

5.2. IDENTIFICAR EL SPAM

 Correos electrónicos no solicitados, no deseados o de remitente desconocido con

contenido basura.

3
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

 Correos electrónicos que mencionan conocer al destinatario, anunciando productos o

servicios publicitarios, subastas, cursos, premios, contenido pornográfico, contenidos
con supuestas fórmulas para ganar dinero, entre otros.
 Páginas web y mensajes emergentes que generalmente anuncian productos o
servicios publicitarios, subastas, sitos web con contenido pornográfico, contenidos
con supuestas fórmulas para ganar dinero.
 Correos de remitentes con cuentas que tienen cuentas o dominios con patrones o
caracteres sospechosos.

5.3. CLASIFICACIÓN EN LA HERRAMIENTA DE GESTIÓN

En la herramienta de gestión del servicio se clasifica el evento de seguridad de la siguiente

forma:

SERVICIO CATEGORÍA OPERACIONAL

TIPOLOGÍA CATEGORÍA OPERACIONAL 2
AFECTADO 3

INCIDENTE SOC Ataques Internos - Externos

Distribución de SPAM

6. ACCIONES PARA LA GESTIÓN DEL INCIDENTE

6.1. VALIDACIÓN DEL INCIDENTE

A continuación, se documentan las acciones que debe realizar el grupo SOC para
determinar si corresponde a un evento de seguridad de tipo SPAM:

6.1.1. Solicitar correo original

Solicitar el correo original que el usuario reporta como SPAM, para analizar la cabecera del
correo donde se identifique: cuenta origen, IP de origen y fecha de envío.

Para guardar el correo origen se le debe solicitar al usuario realizar los siguientes pasos:
 Outlook

4
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

o En la bandeja de entrada dar clic derecho en el correo malicioso para que se

despliegue un submenú en el cual el usuario debe dar clic en la opción copiar tal
como se muestra en la Figura 1.
Figura 1 Copiar Correo

Fuente: Tomado de Outlook

o Crear un nuevo correo, dando clic en “Nuevo correo electrónico” y adjuntar el correo
malicioso con la opción pegar - (Ctrl+v), como se evidencia en la siguiente imagen
Figura 2 Crear nuevo correo

Fuente: Tomado de Outlook

o De esa forma podrá ser enviado el correo original al grupo SOC para ser analizado.
o La otra forma es adjuntar el correo identificado como SPAM en la herramienta de
gestión, para esto después de copiar el correo que se encuentra en la bandeja de
entrada como se explica en el punto anterior, este se puede guardar en la carpeta
“Documentos” en la cual se puede dar clic derecho y seleccionar la opción pegar.

 Office 365: Si el buzón de correo es visualizado desde un navegador se deben realizar los
siguientes pasos para guardar el correo malicioso.

5
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

o En la bandeja de entrada dar clic sobre “Mensaje nuevo”, luego arrastrar el correo
malicioso a la derecha para que se adjunte al nuevo mensaje, como se evidencia
en la figura 3.

Figura 3 Adjuntar correo Web

Fuente: Tomado de Office 365 Web

o Enviar el nuevo correo al grupo SOC adjuntando el correo malicioso y

describiendo en el asunto el número de la orden de trabajo entregado en la
herramienta de gestión.

Figura 4 Enviar correo malicioso

Fuente: Tomado de Office 365 Web

6
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

6.1.2. Consultar reputación IP y dominio

Validar la reputación del dominio y de la IP de la cuenta origen para determinar si

está reportado como SPAM, esta verificación se puede realizar en las siguientes
páginas:

 MXTOOLBOX -https://mxtoolbox.com/blacklists.aspx

Figura 5 Búsqueda IP en MXTOOLBOX

Fuente: Tomado de sitio Web MXTOOLBOX.com

 TALOS - https://talosintelligence.com/

Figura 6 Búsqueda IP en Talos

Fuente: Tomado de sitio Web Talos.com

7
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

7. ANÁLISIS Y DOCUMENTACIÓN

7.1. ACCIONES PARA EL ANÁLISIS DEL INCIDENTE

Se debe tener en cuenta los siguientes pasos para el análisis del correo malicioso, con el fin
de documentar el evento de seguridad reportado y la solución que se dio, teniendo en
cuenta las evidencias recopiladas y su análisis, la vulnerabilidad que origino el evento y la
fecha y hora en la que se produjo.

7.1.1 Análisis cabecera de correo

o IP de origen:
Figura 7 Análisis cabecera de correo -IP origen

Fuente: Tomado de Outlook

8
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

 Cuenta del emisor y las del receptor:

Figura 8 Análisis cabecera de correo-Cuenta origen

Fuente: Tomado de Outlook

7.1.2 Reputación de la IP encontrada

En los siguientes ejemplos se evidencia la reputación de la IP 103.99.1.141, la cual se

encuentra registrada en 87 listas negras, una de ellas “RATAS Spam” reportado por envío
de correo masivo.

9
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

Figura 9 Reputación de IP en MXTOOLBOX

Fuente: Tomado de sitio Web MXTOOLBOX.com

Figura 10 Reputación de IP en Talos

Fuente: Tomado de sitio Web Talos.com

10
 Código:
STIC3-COLTEL-DGP-GO-ID000
Nombre:
DISTRIBUCIÓN DE SPAM INSTRUCTIVO DEL PROYECTO
Fecha:15-05-2020
Versión: 0

7.2. RESOLUCIÓN DEL INCIDENTE

 Se debe solicitar al administrador del correo, bloquear la cuenta que envío el

mensaje.
 Si se identifica que la IP origen se encuentra reportada en Blacklist, se debe
solicitar a seguridad perimetral bloquear la IP generadora de SPAM.

8. ELABORACIÓN DEL INFORME DEL INCIDENTE DE SEGURIDAD.

Después de realizar el análisis y contención del incidente, en conjunto con los

administradores de las plataformas implicadas se debe realizar el informe de incidente de
seguridad, detallando la identificación análisis, contención y lecciones aprendidas para ser
gestionado en la base de conocimiento.

Cuando no hay afectación a la disponibilidad, integridad y confidencialidad de la información,

se procede a cerrar el evento de seguridad sin la generación de un informe, documentando
el caso en la herramienta de servicio con las acciones realizadas y la confirmación de los
administradores de correo y seguridad perimetral del boqueo de IP, cuentas y/o dominio
reportado.

11