detecting-business-email-compromise

por mukul975

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

Estrellas6.1k

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaIncident Response

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-business-email-compromise

Puntuación editorial

Esta skill obtiene 82/100, lo que la convierte en una opción sólida para usuarios del directorio que necesiten un flujo de detección centrado en BEC. El repositorio muestra contenido operativo real —flujos de detección estructurados, una plantilla, referencias a estándares y scripts ejecutables—, por lo que es probable que un agente pueda activarla y usarla con menos incertidumbre que con un prompt genérico. Aun así, conviene esperar cierta fricción de adopción, porque el extracto de SKILL.md no muestra un comando de instalación ni un inicio rápido completo de extremo a extremo en la evidencia disponible.

82/100

Puntos fuertes

Indicadores y casos de uso claros, específicos de BEC, para investigación de incidentes, creación de reglas y análisis en SOC.
Buen soporte operativo gracias a documentación de flujos de trabajo, plantillas de detección y archivos de estándares y referencias.
El repositorio incluye scripts para análisis de correo/encabezados y detección de indicadores de BEC, lo que demuestra una utilidad real en el flujo de trabajo.

Puntos a tener en cuenta

La evidencia no muestra un comando de instalación en SKILL.md, lo que puede hacer menos inmediato el proceso de incorporación.
Algunos extractos de archivos están truncados, así que puede que los usuarios necesiten revisar el repositorio para ver los detalles completos de ejecución y la gestión de casos límite.

Email Security Phishing Social Engineering Security Operations Microsoft Graph Outlook Python

Resumen

Resumen de la skill detecting-business-email-compromise

Qué hace esta skill

La skill detecting-business-email-compromise te ayuda a identificar y clasificar intentos de Business Email Compromise (BEC) combinando revisiones de encabezados de correo, señales de ingeniería social y lógica de detección orientada a la respuesta. Es ideal para analistas, equipos SOC y responsables de respuesta a incidentes que necesitan una guía práctica de detecting-business-email-compromise y no un prompt genérico de phishing.

Casos de uso más adecuados

Usa esta skill de detecting-business-email-compromise cuando un correo pide una transferencia, cambia los datos bancarios de un proveedor, presiona a alguien para actuar rápido o parece venir de un ejecutivo o de un socio de confianza. También encaja en detecting-business-email-compromise para Incident Response cuando necesitas confirmar si el mensaje solo se entregó, si se enviaron mensajes similares o si ya empezó un compromiso de cuenta.

Qué la hace distinta

Este repositorio no es solo contenido de concienciación. Incluye categorías de detección, lógica de flujo de trabajo, mapeo a estándares y scripts que apoyan el análisis de encabezados y contenido del mensaje. Eso hace que la decisión de instalar la skill detecting-business-email-compromise sea más sencilla para equipos que buscan apoyo operativo de detección, no solo lenguaje de políticas.

Cómo usar la skill detecting-business-email-compromise

Instala e inspecciona la skill

Instala la skill detecting-business-email-compromise con el flujo normal de skills de tu directorio y después abre primero skills/detecting-business-email-compromise/SKILL.md. Lee references/workflows.md para el flujo de investigación, references/standards.md para las categorías de reglas y el mapeo de controles, y references/api-reference.md para ejemplos de encabezados y patrones antes de intentar adaptarla.

Dale a la skill los inputs correctos

El uso de detecting-business-email-compromise funciona mejor cuando aportas el origen del correo, el contexto empresarial sospechoso y la decisión que quieres tomar. Los inputs sólidos nombran el remitente, el destinatario, el nombre para mostrar, el cuerpo del mensaje, los encabezados y qué generó la alerta.

Ejemplo de formato de input:

“Revisa este .eml por suplantación de CEO y redirección de pagos.”
“Comprueba si este correo de un proveedor es un intento de BEC o un cambio normal de factura.”
“Analiza estos encabezados y el texto del mensaje para detectar discrepancia entre reply-to y lenguaje de urgencia.”

Convierte una petición vaga en un prompt útil

Un prompt débil dice: “Detect BEC.” Un prompt más sólido dice: “Usa la skill detecting-business-email-compromise para evaluar este mensaje entrante en busca de indicadores de BEC. Céntrate en suplantación del nombre para mostrar, discrepancia en reply-to, lenguaje de cambio de pago, presión por urgencia y si los encabezados sugieren suplantación o compromiso de cuenta. Devuelve el tipo probable de BEC, los factores que sustentan la confianza y las medidas inmediatas de contención.”

Flujo práctico para obtener mejores resultados

Empieza con el mensaje y los encabezados, y luego pide clasificación, indicadores y siguiente acción. Si ya conoces el escenario, di si se trata de fraude de CEO, fraude de factura, fraude de tarjetas regalo o compromiso de cuenta. Así la skill puede priorizar los indicadores correctos en lugar de puntuar por igual todas las señales genéricas de phishing.

Preguntas frecuentes sobre la skill detecting-business-email-compromise

¿Es mejor que un prompt normal?

Sí, si necesitas análisis repetible. Un prompt básico puede detectar phishing obvio, pero la skill detecting-business-email-compromise resulta más útil cuando quieres comprobaciones específicas de BEC, como suplantación de ejecutivos, solicitudes de cambio de pago, abuso de reglas de reenvío y seguimiento de respuesta a incidentes.

¿Pueden usarla personas principiantes?

Sí, pero solo si pueden aportar el texto del correo o los datos de los encabezados. Las personas principiantes obtienen más valor de la guía detecting-business-email-compromise cuando la usan como una lista de verificación estructurada para un único mensaje sospechoso, no como una enciclopedia general de ciberseguridad.

¿Cuáles son sus principales límites?

Esta skill está diseñada para detección y respuesta ante BEC, no para análisis de malware ni para filtrado genérico de spam. Si el problema es un adjunto malicioso, una página de robo de credenciales o un compromiso del endpoint sin componente de correo, esta no es la skill principal adecuada.

¿Cuándo no debería instalarla?

Sáltatela si tu equipo solo necesita formación de concienciación a alto nivel. También sáltatela si no puedes inspeccionar metadatos del mensaje o si tu flujo de trabajo nunca gestiona finanzas, RR. HH., correo de ejecutivos o solicitudes de pago a proveedores, porque esas son las áreas que mejor encajan con detecting-business-email-compromise.

Cómo mejorar la skill detecting-business-email-compromise

Aporta evidencia, no solo sospechas

La skill detecting-business-email-compromise mejora cuando incluyes From, Reply-To, el nombre para mostrar, el asunto, el texto del cuerpo y Authentication-Results. Si tienes el .eml original, adjúntalo en lugar de resumirlo, porque la alineación de encabezados y las diferencias en la ruta de respuesta suelen decidir el resultado.

Indica qué patrón de BEC sospechas

Un prompt más potente para detecting-business-email-compromise nombra el patrón probable: fraude de CEO, fraude de factura, suplantación de abogado, robo de datos o compromiso de cuenta. Eso ayuda a la skill a ponderar mejor el lenguaje de urgencia, las modificaciones de pago a proveedores, los cargos ejecutivos o las solicitudes de datos de RR. HH.

Vigila los fallos más comunes

El error más habitual es pedir un veredicto sin contexto. Otro es omitir los detalles del proceso financiero o de negocio que hacen que un mensaje sea riesgoso, como quién está autorizado para aprobar pagos o si el remitente es un proveedor conocido. Si quieres mejores resultados al instalar y usar detecting-business-email-compromise, aporta desde el principio el contexto operativo.

Itera después de la primera pasada

Después del primer resultado, pide un seguimiento más concreto: “Enumera solo los indicadores más fuertes”, “Muestra por qué esto sí o no es un compromiso de cuenta” o “Redacta los pasos de contención para finanzas y SOC”. Así mantienes la skill enfocada y conviertes el primer análisis en un plan de acción útil para respuesta a incidentes.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

La skill configuring-suricata-for-network-monitoring ayuda a desplegar y ajustar Suricata para monitoreo IDS/IPS, registro EVE JSON, gestión de reglas y salida lista para SIEM. Encaja bien con el flujo de Security Audit cuando necesitas una configuración práctica, validación y reducción de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0

detecting-anomalous-authentication-patterns

por mukul975

detecting-anomalous-authentication-patterns ayuda a analizar registros de autenticación para detectar viajes imposibles, fuerza bruta, password spraying, credential stuffing y actividad de cuentas comprometidas. Está diseñado para flujos de trabajo de auditoría de seguridad, SOC, IAM y respuesta a incidentes, con detección basada en líneas de referencia y análisis de inicios de sesión respaldado por evidencias.

Security Audit

Favoritos 0GitHub 0