Localizar y borrar correos electrónicos maliciosos

Como administrador de G Suite, es posible que te lleguen noticias de que varios usuarios de tu organización han recibido un correo electrónico malicioso.

Con la herramienta de investigación, puedes identificar a todos los usuarios de tu dominio que han recibido el mensaje, por ejemplo, un correo electrónico de suplantación de identidad (phishing). A continuación, puedes usar la herramienta para borrar el correo electrónico de las bandejas de entrada de Gmail de los usuarios (ten en cuenta que los datos de registro pueden tardar unos minutos en estar disponibles en dicha herramienta).

Nota: Además de borrar correos electrónicos, con la herramienta de investigación también puedes tomar otras medidas, como marcar mensajes como spam o phishing o enviarlos a la bandeja de entrada de los usuarios.

1. Empezar la investigación
  1. Inicia sesión para usar la herramienta de investigación.
  2. En el menú Fuente de datos, haz clic en Eventos de registro de Gmail.
  3. Haz clic en AÑADIR CONDICIÓN.
  4. En el menú Condición, haz clic en Destinatario.
  5. En el campo Usuario, introduce el nombre del usuario que ha recibido el correo electrónico malicioso; por ejemplo, usuario@example.com
  6. Haz clic en AÑADIR CONDICIÓN.
  7. En el menú Condición, haz clic en Asunto y asegúrate de que tiene asignado el valor predeterminado Contiene.
  8. En el campo Asunto, introduce palabras incluidas en el asunto del correo electrónico malicioso; por ejemplo, Papá Noel bailón.
    No hace falta que sean exactamente las palabras del asunto.
  9. Haz clic en AÑADIR CONDICIÓN.
  10. En el menú Condición, haz clic en Fecha.
  11. Cambia la condición a Después.
  12. En el campo Fecha, introduce la fecha y la hora en las que se recibió el primer correo electrónico sospechoso en tu dominio.
  13. Haz clic en BUSCAR.
2. Ver y exportar los resultados de búsqueda

Una vez completados los pasos anteriores, los resultados de búsqueda se muestran en una tabla situada en la parte inferior de la página. En ella, se indican la fecha y la hora en las que se enviaron los mensajes, los ID y los asuntos de los mensajes, y las direcciones del remitente y el destinatario.

Para exportar estos resultados de búsqueda a tu carpeta Mi unidad, haz clic en el botón Exportar file_download_grey600_24dp.png de la parte superior de la tabla. 

Para obtener más información, echa un vistazo al artículo Consultar los resultados de búsqueda de la herramienta de investigación.

3. Buscar otros usuarios que puedan haber recibido el correo electrónico malicioso
  1. Quita la condición Destinatario de los criterios de búsqueda que has aplicado antes haciendo clic en el botón close_grey600_24dp.png del lado derecho de la fila Destinatario. De este modo, la búsqueda solo incluirá los criterios Asunto y Fecha.
  2. Para buscar otros usuarios que puedan haber recibido el correo electrónico malicioso, haz clic en BUSCAR.

    Los resultados de búsqueda se muestran en una tabla situada en la parte inferior de la página. Como ocurría en el paso 1 anterior, en ella figuran diversos datos, que en este caso son la fecha y la hora en las que se enviaron los mensajes, los ID y asuntos de los mensajes, el tipo de evento y la dirección del remitente. Sin embargo, también se incluyen las direcciones de correo electrónico de otros usuarios de tu organización que han recibido el correo electrónico malicioso.
     
  3. Para exportar estos resultados de búsqueda a tu carpeta Mi unidad, haz clic en el icono Exportar file_download_grey600_24dp.png de la parte superior de la tabla. 
4. Borrar los correos electrónicos maliciosos de las bandejas de entrada de los usuarios
  1. En la tabla que figura en la parte inferior de la herramienta de investigación, haz clic en la casilla que permite seleccionar todo. Así se marcan automáticamente todas las casillas de la página de los resultados de búsqueda que estás viendo.
  2. En el menú ACCIONES, haz clic en Borrar mensajes.
  3. Da un nombre a la tarea de eliminación, como BORRAR 10 MENSAJES
  4. En la ventana de confirmación, haz clic en BORRAR.

    De este modo, se borran los mensajes de las bandejas de entrada de los usuarios que coinciden con el ID del mensaje y el propietario, ya sea el remitente o el destinatario (según el tipo de evento), que corresponden a los eventos de registro de Gmail seleccionados. Los mensajes borrados siguen estando sujetos a las reglas de retención aplicables que se hayan definido en Vault. Para obtener más información sobre las reglas de retención, consulta el Centro de Ayuda de Vault

Nota: Además de borrar correos electrónicos, también puedes tomar otras medidas, como marcar mensajes como spam o phishing o enviarlos a la bandeja de entrada de los usuarios.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?