Atención automatizada de correos sospechosos de ser maliciosos
Antecedentes
El correo electrónico es una herramienta de uso masivo en todos los ámbitos de la vida, tanto profesionales como personales. En la Administración Pública se emplea para transmitir información que debemos proteger. Es proclive a suplantaciones de identidad mediante técnicas de ingeniería social, mejoradas por la inteligencia artificial, lo que puede poner en riesgo la seguridad de los sistemas de información públicos.
En este contexto, la ACCyL ha realizado un conjunto de actuaciones para mejorar la visibilidad de los correos sospechosos, para agilizar su atención y para generalizar la protección. Entre ellas se encuentra la implantación de un producto de automatización de la ciberseguridad (SOAR), financiado con fondos Next Generation EU, integrado con la seguridad corporativa y el trabajo de los analistas del SOC.
La nueva forma de atención sigue contando con los usuarios, el eslabón débil de la protección, por lo que también se realizan campañas de formación y concienciación.
Retos
Fundamentalmente son tres. La visibilidad de los riesgos, la fluidez de la atención y la compartición de la protección.
Aunque el SOC ya contaba con productos de protección del correo electrónico, se ha enfatizado la formación y la concienciación de los usuarios para que puedan identificar mejor los indicios que puede mostrar un correo malicioso.
Una vez que un usuario advierte un correo sospechoso se le habilita un reporte fácil e inmediato para que sea atendido por los analistas. Estos últimos cuentan con automatizaciones que les simplifican las tareas operativas y les aportan la información más relevante para tomar las mejores decisiones y cuanto antes.
El objetivo es neutralizar la amenaza informando a usuarios y compartiendo información con otros elementos de la solución de seguridad que pueden impedir la materialización de la amenaza. A la vez se comparten los resultados en la Red Nacional de SOCs (en adelante, RNS), de la que el SOC de la ACCyL forma parte.
Fases
Formación y concienciación
-Boletines periódicos sobre riesgos inherentes al correo electrónico.
- Avisos en el inicio de sesión sobre phishing y SPAM.
- Infografía sobre qué hacer con correos sospechosos.
Automatizaciones
-Reporte directo al SOC adjuntando el correo con tan sólo pulsar un botón
-Confirmación automática al usuario
-Extracción de información: imagen del correo, de URLs, cabeceras, adjuntos, otros destinatarios o si es una campaña.
-Creación de reporte de incidente en LUCIA, integrada con el CCN y especializada en gestión de incidentes.
-Búsqueda de la información extraída en fuentes de inteligencia.
Si el correo es malicioso: creación de incidente en LUCIA y notificación al usuario.
Los analistas promueven tareas para proteger a la organización con automatizaciones para:
-Bloquear indicadores.
-Subirlos al MISP.
-Compartirlos con la RNS.
Se refuerza el cambio cultural necesario. La seguridad es responsabilidad y compromiso de todos todo el tiempo.
Nuevos Servicios
Se ha logrado:
-Mejorar la fiabilidad de las detecciones gracias a la formación de los usuarios.
-Facilitar el reporte al usuario con tan sólo pulsar un botón.
-Poner a los analistas a trabajar de inmediato con toda la información necesaria.
-Reducir el "ruido" por la agregación automática de los diversos reportes del mismo correo.
-Avisar rápidamente a otros usuarios que también recibieron el correo.
Se reduce el tiempo de reacción frente a correos sospechosos protegiendo a la ACCyL y a otras organizaciones de la RNS y se mejora la efectividad del tiempo dedicado por los analistas de seguridad evitando tareas automatizables.
Los datos cuantitativos del impacto no son ni directa ni fácilmente comparables. Se puede afirmar que el proceso completo, incluyendo el tiempo dedicado por los analistas, ha pasado de poder durar horas a minutos.
Conclusiones
El continuo crecimiento en el uso y la criticidad de las TIC en las AA.PP. hace que la protección de las herramientas que soportan la actividad administrativa y el servicio público tenga que ser una fortaleza de la organización.
La protección frente a los riesgos de ciberseguridad supone un reto común para toda la organización y no sólo para las unidades TIC. Uno de los mayores riesgos proviene a través del correo electrónico. Es imprescindible contar con un proceso rápido, eficaz y eficiente para la gestión de los correos sospechosos de ser maliciosos y para la protección de la organización frente a los que se confirmen que lo son. La solución se potencia porque además puede proteger automáticamente otras organizaciones.
Por último, hacer sentir a los usuarios que reportan sus sospechas de que su papel ha sido esencial en la protección de la organización apuntala el cambio cultural de que la seguridad de la información es una responsabilidad y un compromiso de todos todo el tiempo
Patrocinadores Premios AAPP 2026
Implantado en:
Administración de la Comunidad de Castilla y León
Periodo de ejecución:
01/10/2025 - 12/01/2026
Socio tecnológico destacado:
Otros socios tecnológicos:
Sistemas Avanzados de Tecnología y GMV Innovating Solutions
