Ir al contenido principal

Comprender Inbox

Este artículo explica cómo funciona el módulo Inbox de Riot, sus diferentes modos de procesamiento y todos sus ajustes para gestionar de forma eficiente los correos electrónicos reportados por tus empleados.

1️⃣ ¿Para qué sirve el módulo Inbox?

Inbox es el módulo de Riot que centraliza todos los correos electrónicos reportados por tus empleados y permite a tu equipo de seguridad procesarlos rápidamente, con o sin asistencia de IA.

👉 Tres objetivos principales:

  • Simplificar y acelerar el procesamiento de los correos sospechosos reportados por los empleados.

  • Enviar automáticamente una notificación de seguimiento al empleado una vez que el ticket ha sido procesado (seguro, spam o malicioso).

  • Centralizar todos los correos maliciosos en un solo lugar, con un historial completo e información de uso.

Con la opción Block Threat activada (ver sección 5), Inbox también puede neutralizar un ataque en toda la organización a partir de un único reporte.

2️⃣ ¿Cómo llega un correo a Inbox?

👉 1. Riot Phishing Reporter (recomendado)

Un complemento de Outlook o un botón de Gmail que permite a los empleados reportar un correo con un solo clic, directamente desde su buzón. Compatible con Outlook escritorio, web y móvil, así como con Gmail web y móvil.

👉 2. Botón nativo de Outlook

Si prefieres usar el botón nativo «Report» de Microsoft, podemos interceptarlo para que los correos reportados se envíen automáticamente a Inbox

👉 3. Reenvío de correos

El empleado reenvía el correo sospechoso a una dirección de recepción dedicada (o a un alias más fácil de recordar, por ejemplo [email protected]). Este es el único método que funciona en todos los clientes de correo, incluido Apple Mail.

👍 Bueno saber: a diferencia de Outlook, Gmail no permite que herramientas de terceros intercepten los reportes realizados a través de su botón nativo «Report phishing». Los correos reportados de esta manera se envían directamente a Google y nunca llegan a Inbox. Para Gmail, debes usar el Riot Phishing Reporter o el método de reenvío.

👉 ¿Qué ocurre cuando un empleado reporta un correo?

  1. El empleado recibe inmediatamente una confirmación (un mensaje dentro del producto con el Phishing Reporter, o un correo de confirmación con el botón nativo o el método de reenvío).

  2. Se crea un ticket en Inbox.

  3. Si varios empleados reportan el mismo correo, sus reportes se fusionan en un único ticket — un solo ticket para que el administrador lo procese.

  4. A continuación, el ticket se procesa según el modo de procesamiento configurado (ver sección 4).

  5. Una vez procesado, el empleado recibe una notificación de seguimiento por correo indicando el resultado (seguro, spam o malicioso).

3️⃣ Vista de Inbox y procesamiento de tickets

Al abrir el módulo, llegas directamente a tu Inbox.

👉 Navegar por la lista

  • Busca un correo usando palabras clave desde la barra de búsqueda.

  • Filtra por tickets abiertos o tickets asignados a ti.

  • Ordena por correos reportados más recientes o por última actividad en Inbox.

Cada línea de la lista muestra: el asunto del correo, el número de reportes, las etiquetas aplicadas, el tiempo transcurrido desde el reporte y un indicador de estado:

  • 🔵 Punto azul: el correo aún no ha sido procesado.

  • Marca de verificación azul: el correo ha sido procesado («marcado como»).

👉 Procesar un correo

Al hacer clic en la vista previa, accedes al contenido del correo reportado. Desde el menú «…» en la esquina superior derecha, puedes:

  • Marcar el correo como Seguro, Spam o Malicioso.

  • Mostrar los encabezados haciendo clic en el texto azul.

  • Descargar el correo como archivo .eml.

  • Eliminar el correo de la vista de Inbox.

Cuando la IA está activada, los correos marcados como maliciosos se clasifican en 3 tipos de amenaza:

  • Suplantación de empleado

  • Fraude de pago a proveedores

  • Suplantación de servicio

Si la IA está desactivada, el correo simplemente se marca como malicioso sin ninguna categorización de amenaza.

4️⃣ Elegir un modo de procesamiento

Inbox ofrece tres modos de procesamiento, configurables en Ajustes > Análisis de amenazas:

👉 Manual

Todos los tickets deben ser revisados y decididos por los administradores. La IA no interviene.

👉 Manual con sugerencias de IA (modo de inicio recomendado)

Los tickets se siguen procesando manualmente, pero la IA sugiere una etiqueta previa (seguro, spam o malicioso). Mantienes el control total para validar o modificar la sugerencia. Este modo permite que la IA se entrene con tus casos reales antes de pasar potencialmente al modo automático.

👉 Automático

Todos los tickets se procesan automáticamente por la IA. No se requiere ninguna acción humana — nunca tienes tickets pendientes.

👍 Bueno saber: la IA de Inbox puede analizar correos en todos los idiomas. Se basa en un modelo de lenguaje grande (LLM) a través de Azure OpenAI, lo que hace que el análisis multilingüe sea nativo y fiable.

👉 ¿Cómo analiza la IA un correo?

Para etiquetar un correo como seguro, spam o malicioso, la IA combina varias señales:

  1. Indicadores de phishing: errores ortográficos, solicitudes de información personal, tácticas de urgencia.

  2. Revisión técnica: remitente, destinatario, asunto, contenido, DKIM, DMARC, SPF, SCL.

  3. Dirección IP y dominio del remitente comparados con listas conocidas de IP/dominios maliciosos.

  4. Actividad sospechosa: direcciones de remitente falsificadas, direcciones de respuesta (reply-to) no coincidentes, etc.

  5. Encabezados del correo comparados con correos fraudulentos conocidos.

  6. Plataformas de inteligencia de amenazas para IP maliciosas asociadas.

  7. Cuerpo del correo y enlaces: lenguaje sospechoso, solicitudes urgentes, enlaces cuestionables y certificados de seguridad.

5️⃣ Amplificar la protección: Block Threat, allowlist y blocklist

Tres ajustes te permiten ir más allá del simple procesamiento ticket por ticket.

👉 Block Threat

Cuando esta opción está activada, un único reporte protege a toda la organización:

  • El correo reportado se mueve inmediatamente a spam para el empleado que lo reportó.

  • Una vez confirmado el ticket como malicioso (manualmente o por la IA), el correo se mueve a spam para todos los empleados que lo recibieron.

  • Los futuros correos del mismo ataque se mueven automáticamente a spam al llegar, en tiempo real.

  • Si un administrador reclasifica el correo como seguro, los correos se restauran en las bandejas de entrada de los usuarios.

👍 Bueno saber: un ataque se identifica por la combinación de dirección del remitente + línea de asunto. El sistema gestiona las variaciones aleatorias (nombres, ID, cadenas aleatorias) que los atacantes insertan en la línea de asunto para eludir los filtros tradicionales. Activar Block Threat requiere permisos de lectura/escritura sobre los buzones.

👉 Remitentes permitidos (allowlist)

Los remitentes o dominios añadidos a esta lista se consideran siempre seguros. Si un empleado reporta un correo de un remitente permitido, el Phishing Reporter le informa inmediatamente de que el remitente es considerado de confianza por tu organización.

👉 Remitentes bloqueados (blocklist)

Los remitentes o dominios añadidos a esta lista se consideran siempre maliciosos. Si un empleado reporta un correo de un remitente bloqueado, el Phishing Reporter le informa inmediatamente de que el remitente es conocido por ser malicioso. Con Block Threat activado, los correos de remitentes bloqueados se mueven automáticamente a spam al recibirse, sin creación de ticket ni revisión manual.

6️⃣ Detalles del ticket y actividad

El panel en el lado derecho de la pantalla te ofrece todo el contexto en torno al ticket.

👉 Detalles

El o los empleados que reportaron el correo.

👉 Actividad

El historial completo del flujo de procesamiento del correo — especialmente útil para ofrecer una segunda opinión o para seguir la evolución desde el reporte. También encontrarás el comentario dejado por el empleado al reportar el correo.

7️⃣ Configurar las notificaciones de administrador

Cada administrador puede configurar las notificaciones en su perfil:

  • Enviar de inmediato — un correo en cuanto se crea un ticket, se le asigna o (según la configuración) cuando hay una actividad de reporte significativa sobre un correo.

  • Enviar en resumen — un correo de resumen mensual.

👉 Distribución automática (opción adicional)

Si tu equipo no tiene un proceso interno definido, los tickets pueden asignarse automática y aleatoriamente a un grupo de administradores (por ejemplo, todos los administradores de seguridad). Cada administrador puede entonces elegir recibir notificaciones únicamente cuando se le asigna realmente un ticket — útil para distribuir la carga de trabajo sin saturar a todos.

👍 Bueno saber: actualmente, las notificaciones de administrador solo están disponibles por correo electrónico. Slack, Teams y Google Chat aún no están disponibles como canales de notificación para administradores.

8️⃣ Insights

Desde la pestaña Insights, puedes visualizar datos clave extraídos del procesamiento de los correos reportados:

  • Periodo de tiempo: los datos se actualizan automáticamente según el periodo seleccionado.

  • Tickets abiertos: número de tickets sin procesar.

  • Uso: porcentaje de empleados que utilizaron el Phishing Reporter y/o el reenvío de correos durante el periodo seleccionado.

  • Precisión de los reportes: porcentaje de correos reportados que realmente se identificaron como amenazas (marcados como maliciosos por un administrador o por la IA).

  • Distribución de amenazas: para los correos maliciosos, visibilidad sobre el desglose de las amenazas por porcentaje.

  • Top reporters: empleados que reportaron el mayor número de correos efectivamente identificados como maliciosos.

Las estadísticas pueden descargarse como archivos CSV directamente desde Inbox y también son accesibles a través de nuestra API pública.

👍 Puntos clave

— Inbox centraliza todos los correos reportados por tus empleados, independientemente del método de reporte utilizado (Phishing Reporter, botón nativo de Outlook o reenvío).

— Hay tres modos de procesamiento disponibles: Manual, Manual con sugerencias de IA, o Automático.

— La IA analiza correos en todos los idiomas y clasifica los correos maliciosos en 3 tipos de amenaza.

— Block Threat amplifica la protección: un único reporte puede neutralizar un ataque en toda la organización.

— Las allowlists/blocklists ayudan a agilizar y mejorar la fiabilidad del procesamiento de remitentes.

Artículos relacionados
Añadir el Phishing Reporter de Riot en Outlook
Alertar a mis empleados sobre las violaciones de datos
Recordatorios y notificaciones del módulo Inbox
Desplegar el Phishing Reporter de Riot detrás del botón nativo de Outlook
Cómo solucionar los problemas de Inbox en Outlook?
¿Ha quedado contestada tu pregunta?