Cómo utilizar IA contra phishing y hoaxes

1. Introducción

En el panorama actual de las amenazas digitales, los ataques de ingeniería social como el phishing, el spear phishing y la distribución de malware a través del correo electrónico continúan siendo los vectores de entrada más efectivos para los ciberdelincuentes. La sofisticación de estos ataques ha dejado obsoletas las revisiones visuales superficiales; hoy en día, la verdadera validación de un mensaje se encuentra en su infraestructura técnica: las cabeceras (headers) y el código fuente en crudo.

Frente a un correo sospechoso, una respuesta institucional efectiva exige satisfacer dos necesidades radicalmente distintas. Por un lado, los usuarios finales y el personal corporativo necesitan instrucciones claras, directas y fáciles de entender que les permitan identificar el nivel de riesgo de inmediato y saber exactamente cómo actuar para no convertirse en víctimas. Por otro lado, los ingenieros y administradores de TI requieren datos técnicos precisos —como direcciones IP de origen, registros SPF/DKIM/DMARC vulnerados o hashes de archivos— que sirvan como insumos de inteligencia para bloquear la amenaza y configurar de manera óptima el software de defensa perimetral.

El uso de Grandes Modelos de Lenguaje (LLMs), configurados adecuadamente con un rol experto y reglas estrictas de análisis, permite unir ambos mundos en segundos. Estas herramientas procesan volúmenes de datos técnicos complejos para generar reportes estructurados que traducen el peligro en lenguaje ciudadano para el usuario común, al mismo tiempo que abstraen y ordenan las evidencias forenses bajo metodologías estándar de auditoría para los equipos de seguridad.

2. Objetivo del Análisis con LLM

El objetivo principal de esta estrategia es proporcionar un mecanismo de clasificación y triaje inmediato frente a correos electrónicos sospechosos mediante una estructura bimodal de reporte. Al alimentar un LLM con el código fuente completo del mensaje ("en crudo"), el modelo actúa como un analista pericial capaz de segmentar la información de acuerdo con el perfil del destinatario:

• Para Usuarios Finales y Personal no Técnico (Secciones Iniciales): Generar una visibilidad clara, rápida y sin tecnicismos que informe inmediatamente el nivel de riesgo del mensaje, junto con recomendaciones prácticas de mitigación para evitar que la víctima interactúe con el vector de ataque.

• Para el Personal de TI y Equipos de Seguridad (Al final del reporte): Entregar un desglose forense exhaustivo con los datos exactos del incidente, capacitando al administrador para auditar vulnerabilidades críticas de autenticación (como fallos o ausencias en SPF, DKIM y DMARC), rastrear direcciones IP de origen y extraer indicadores de compromiso (IoC).

De manera específica, el modelo ejecuta estas tareas mediante la automatización de los siguientes procesos:

• Detectar discrepancias entre los remitentes visuales y los servidores de origen reales.

• Identificar la ausencia o manipulación de firmas criptográficas (SPF, DKIM, DMARC) en la infraestructura de transporte.

• Descomponer estructuras complejas u ofuscadas en el cuerpo del mensaje (MIME, adjuntos codificados en Base64, enlaces acortados o direccionamientos anómalos).

3. Instrucciones para Obtener el Mensaje "En Crudo" y Manejo de Adjuntos

Para que el modelo de lenguaje realice un análisis forense preciso, es indispensable suministrarle el mensaje con sus cabeceras intactas. A continuación se detalla cómo extraer esta información desde los principales clientes de correo y cómo optimizar el texto si el correo contiene archivos adjuntos pesados, evitando saturar la ventana de contexto del LLM.

3.a) Extracción del mensaje en crudo (según el Cliente de Correo)

• Desde Gmail (Web):

  • Abra el correo electrónico sospechoso en su navegador.

  • En la esquina superior derecha del cuerpo del mensaje, haga clic en el ícono de los tres puntos verticales (Más).

  • Seleccione la opción "Mostrar original".

  • Haga clic en el botón "Copiar en el portapapeles".

• Desde Microsoft Outlook (Aplicación de Escritorio):

  • Haga doble clic sobre el correo electrónico para abrirlo en una ventana independiente.

  • Diríjase a la pestaña Archivo (File) en la esquina superior izquierda.

  • Seleccione Información (Info) y haga clic en el botón Propiedades (Properties).

  • En la parte inferior, localice el recuadro Encabezados de Internet (Internet headers). Copie todo el texto.

  • Extraiga también el texto o código HTML del cuerpo si requiere un análisis combinado.

• Desde Microsoft Outlook (Versión Web / OWA):

  • Abra el correo sospechoso y haga clic en el menú de tres puntos de la esquina superior derecha del mensaje.

  • Desplácese hasta Ver (View) y seleccione Ver origen del mensaje (View message source).

  • Copie la totalidad del texto desplegado.

• Desde Mozilla Thunderbird:

  • Seleccione o abra el correo electrónico en cuestión.

  • Utilice el atajo de teclado Ctrl + U (o vaya al menú superior y seleccione Ver > Código fuente de la página).

  • Se abrirá una ventana emergente con el código fuente en crudo listo para ser copiado.

• Desde Evolution (Linux):

  • Seleccione o haga doble clic sobre el mensaje sospechoso.

  • Presione la combinación de teclas Ctrl + U (o acceda a través del menú Ver > Ver mensaje en crudo / Message Source).

  • Copie el texto completo con la estructura MIME y las cabeceras expuestas.

3.b) Optimización Obligatoria de Archivos Adjuntos (Evitar Prompts Gigantescos)

Cuando un correo electrónico incluye archivos adjuntos (como PDFs, ejecutables o archivos de Office), el código fuente traduce estos archivos en bloques masivos de texto cifrado en Base64. El LLM no puede interpretar directamente millones de caracteres de código binario y esto causará que el prompt sea demasiado grande o inprocesable.

Para solucionarlo, el usuario debe identificar los bloques de los adjuntos dentro del texto copiado (que inician con etiquetas como Content-Type: application/... o Content-Transfer-Encoding: base64) y aplicar un recorte inteligente: deje únicamente las primeras 5 líneas y las últimas 5 líneas del bloque del archivo adjunto, eliminando todo el contenido intermedio.

Ejemplo de cómo debe lucir el bloque optimizado en el prompt:

...
...
--000000000000a52c1f0654015745
Content-Type: application/pdf; name="CONSTRUCTORA-ED SALITRE (14) Avance obra # 1.pdf"
Content-Disposition: attachment; filename="CONSTRUCTORA-ED SALITRE (14) Avance obra # 1.pdf"
Content-Transfer-Encoding: base64
Content-ID: 
X-Attachment-Id: f_mqa16b480

JVBERi0xLjcNJeLjz9MNCjYzOSAwIG9iag08PC9MaW5lYXJpemVkIDEvTCAzODE0NDM2L08gNjQx
L0UgMjE1Nzg5L04gNjUvVCAzODEyNzM0L0ggWyA0OTQgNjIyXT4+DWVuZG9iag0gICAgICAgICAg
DQo2NTIgMCBvYmoNPDwvRGVjb2RlUGFybXM8PC9Db2x1bW5zIDUvUHJlZGljdG9yIDEyPj4vRmls
dGVyL0ZsYXRlRGVjb2RlL0lEWzw4OEQxMkQ0QzIyMjU4NjRGOTk4NEM3OTQ2NDIxNUI4RD48NERD
MEQ3ODEyNkEzMEI0NEFENDhGRkIwN0VGM0EyQkQ+XS9JbmRleFs2MzkgMzddL0luZm8gNjM4IDAg
[... AQUÍ SE ELIMINAN MILES DE LÍNEAS DE TEXTO REPETITIVO O PESADO ...]
r6pTJjqj0L4vzDDxnbkXObKDOy61qhrx02T2mPAl8jbP0P8U1b+XGdKYCPI6D335f8wbGKukjeYR
EP7xoyCzkFE4BqRrGXnH1bL3xzn4C3KoijS20VDnPL7FAkckC0fhGe1Eo+1rqPT9PIfW2PMyFnT9
KaiMfwUYAFtmezINCmVuZHN0cmVhbQ1lbmRvYmoNc3RhcnR4cmVmDQoxMTYNCiUlRU9GDQo=
--000000000000a52c1f0654015745--
...
...

4. Metodología de Análisis

La metodología aplicada por el prompt de configuración sigue una estructura rigurosa dividida en tres fases:

• Fase de Infraestructura: El modelo inspecciona el camino que recorrió el correo desde el servidor emisor hasta el destino final, buscando anomalías de red o suplantaciones de IP (spoofing).

• Fase Lógica y Semántica: Se evalúan las tácticas de persuasión coercitiva, el sentido de urgencia y la coherencia del contexto comercial o administrativo del cuerpo del mensaje.

• Fase de Payload y Enlaces: Desofuscación de hipervínculos, análisis de URLs maliciosas (como el abuso de almacenamiento en la nube pública) y descomposición de archivos adjuntos estructurados en Base64.

5. El Prompt de Configuración: Auditor de Ciberseguridad

Para replicar las auditorías técnicas automatizadas, copie el siguiente bloque de configuración y utilícelo como instrucción inicial en su plataforma de LLM de preferencia (ChatGPT, Gemini, Claude, Copilot...), adjuntando al final el contenido en crudo que ha extraído:

Actúa como un Ingeniero Senior de Ciberseguridad y Auditor de Sistemas de la empresa de ciberseguridad Skina IT Solutions. Tu función es analizar correos electrónicos sospechosos de ser phishing, malware o hoaxes con un enfoque estrictamente técnico y forense, emitiendo un dictamen bajo los estándares de calidad de nuestra firma.

Instrucciones de Comportamiento:

Independencia de Casos: Procesa cada correo entregado como un caso independiente. No debes buscar correlaciones, patrones o referencias a correos analizados en turnos anteriores del chat.

Tono y Lenguaje: Utiliza un lenguaje firme, técnico y formal, propio de un Reporte de Auditoría de Seguridad de Skina IT Solutions. Evita lenguaje casual o excesivamente pedagógico.

Formato de salida: Markdown

Metodología de Análisis:

Análisis de Cabeceras: Revisa Return-Path, Received, From, Subject, Message-ID y protocolos de autenticación (DKIM, SPF, DMARC).

Identificación de Procedencia: Determina el emisor inicial real y el servidor de origen, contrastándolo con el remitente visual.

Señales de Alerta: Identifica tácticas de ingeniería social, urgencia, inconsistencias técnicas y ofuscación de enlaces.

Justificación Obligatoria: Cada hallazgo o anomalía detectada debe estar obligatoriamente justificada citando el código o fragmento literal de la cabecera (header) donde se extrajo dicha información y la explicación de por qué constituye evidencia bajo el criterio de auditoría de Skina IT Solutions.

Estructura del Reporte (Strictly Required):
## INFORME DE AUDITORÍA DE SEGURIDAD INFORMÁTICA - SKINA IT SOLUTIONS
REFERENCIA: [Asignar un ID de caso basado en la fecha]
EMITIDO POR: Autómata de ciberseguridad de Skina IT Solutions para análisis de emails
ESTADO: [Determinar nivel de amenaza: Ej. AMENAZA CONFIRMADA / BAJO RIESGO]
FECHA DEL MENSAJE: [fecha en la que se recibió el mensaje]
ASUNTO DEL MENSAJE: [Subject del mensaje]
---
### 1. MENSAJE ANÁLIZADO: (Una captura del principio del mensaje que permita saber a cual mensaje se está haciendo referencia)
### 2. RESUMEN EJECUTIVO (VEREDICTO SKINA IT): (Breve descripción del veredicto forense).
### 3. DESCRIPCIÓN PARA PERSONAL NO TÉCNICO: (Descripción sin tecnicismos para explicar al personal que no es del área de IT).
### 4. RECOMENDACIONES DE MITIGACIÓN INMEDIATA: (Medidas que debe aplicar el personal que no es del área de IT y en particular la víctima).
### 5. ANÁLISIS TÉCNICO DE CABECERAS (EVIDENCIA FORENSE): (Listado de hallazgos en infraestructura con su respectiva justificación de código e inconsistencias detectadas por el equipo de Skina IT Solutions).
### 6. ANÁLISIS DEL CUERPO Y SEÑALES DE ALERTA: (Análisis de redacción, enlaces, redirecciones y carga útil/payload).
### 7. INDICADORES DE COMPROMISO (IoC): (Datos técnicos exactos como IPs, dominios maliciosos o hashes si existen)
### 8. RECOMENDACIONES TÉCNICAS Y DE DEFENSA PERIMETRAL: (Medidas avanzadas de mitigación para los administradores de la organización y configuración de software de defensa).
---
### FIRMA:
**Autómata LLM** 
*Servicio de Auditoría Automatizada - Skina IT Solutions*

Restricciones de Formato:
Utiliza Markdown para resaltar jerarquías (##, ###).
Utiliza bloques de código o citas (>) para las justificaciones de las cabeceras.
No realices preguntas de seguimiento ni menús de opciones al final. Limítate a entregar el reporte con la estructura exacta solicitada.

Con esas instrucciones analiza el siguiente mensaje:
[PEGAR AQUÍ EL MENSAJE EN CRUDO QUE SE OBTUVO EN EL PASO ANTERIOR RECORTANDO LOS ARCHIVOS ADJUNTOS]

6. Conclusiones y Resultados Esperados

El despliegue de Modelos de Lenguaje Grandes (LLMs) bajo marcos de rol especializados no busca reemplazar las soluciones de seguridad perimetral existentes, sino cerrar la brecha de interpretación que suele dejar desprotegidas a las organizaciones. Al concluir este proceso de implementación y análisis, se consolidan beneficios tangibles en múltiples niveles de la estructura corporativa.

6.a) Descripción de los Informes Obtenidos

El núcleo de esta estrategia radica en la estandarización. A lo largo de las auditorías automatizadas realizadas en esta conversación —utilizando el prompt de configuración especializado—, se ha demostrado que el modelo no se limita a dar una opinión vaga, sino que genera un documento pericial con una clara separación de privilegios de información:

• Estructura Bimodal Verificada: Los reportes obtenidos demuestran la capacidad de segmentar un mismo incidente en dos vertientes radicalmente opuestas pero complementarias. Las primeras secciones traducen el riesgo a un lenguaje ciudadano y procedimental, mientras que las secciones posteriores estructuran datos duros (como códigos MIME defectuosos, infraestructuras en la nube abusadas y saltos de red anómalos).

• Fidelidad Forense: Al obligar al modelo a citar textualmente fragmentos de las cabeceras (Received:, Return-Path, etc.), se elimina la posibilidad de alucinaciones técnicas. El informe resultante copia de manera exacta las evidencias en bloques de código, sirviendo como un registro histórico veraz del vector de ataque.

• Coherencia Institucional: Gracias a la inyección estratégica de la identidad corporativa en la plantilla del prompt, todos los reportes generados quedan automáticamente unificados bajo la firma de la organización (Skina IT Solutions), listos para su distribución interna o hacia el cliente final sin requerir horas de redacción o edición manual.

6.b) Beneficios para la Organización

Para los equipos de TI, las direcciones de seguridad y la infraestructura global de la empresa, los beneficios se traducen en eficiencia operativa y endurecimiento de las defensas:

• Triaje y Respuesta Inmediata: El tiempo promedio que le toma a un analista de Nivel 1 desglosar manualmente un encabezado de correo, verificar la IP de origen en bases de datos de reputación y redactar un informe puede oscilar entre 20 y 45 minutos. El LLM ejecuta este proceso en segundos, acelerando la toma de decisiones críticas.

• Insumos de Configuración Directos: Las secciones técnicas proveen de forma exacta los Indicadores de Compromiso (IoCs). El personal de TI puede copiar directamente las IPs atacantes, los dominios fraudulentos o las firmas criptográficas vulneradas para alimentar y actualizar las reglas de sus Firewalls, Gateways de correo y soluciones EDR.

• Optimización del Talento Humano: Al delegar la carpintería forense y la redacción documental a la IA, los ingenieros senior de ciberseguridad pueden enfocar sus esfuerzos en la caza proactiva de amenazas (Threat Hunting) y la remediación profunda del entorno de red.

6.c) Beneficios para los Usuarios Finales

La seguridad de una organización es tan fuerte como su eslabón más débil. Al dotar a los empleados fuera del área de tecnología con esta herramienta, se logran impactos culturales profundos:

• Claridad sin Fricción: El usuario no se ve inundado por tecnicismos intimidantes. Los informes obtenidos proveen un veredicto binario y categórico (ej. "CRÍTICO - AMENAZA CONFIRMADA"), eliminando la ambigüedad que suele causar que un empleado vacile y termine haciendo clic en un enlace malicioso.

• Educación Contextual y Conciencia de Seguridad: En lugar de recibir capacitaciones genéricas trimestrales, el usuario recibe recomendaciones específicas basadas en el correo real que acaba de reportar. Esto refuerza el aprendizaje práctico sobre tácticas de urgencia o ingeniería social en tiempo real.

• Empoderamiento Frente a la Sospecha: Saber cómo extraer el código en crudo (mediante un simple comando como Ctrl + U en clientes como Thunderbird o Evolution) y disponer de un consultor virtual permanente reduce la ansiedad digital del personal, transformando a los usuarios pasivos en la primera línea de defensa activa de la compañía.

Licencia

Cómo utilizar IA contra phishing y hoaxes está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.