Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

Fecha de publicación 22/04/2019
Autor
INCIBE (INCIBE)
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

A través del correo electrónico coordinamos y resolvemos multitud de tareas laborales en nuestro día a día. En ocasiones, las prisas y rutinas hacen que no apliquemos todas las medidas de seguridad que serían necesarias al utilizar esta herramienta, algo que utilizan los ciberdelincuentes para llevar a cabo sus propósitos de engaño.

Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.

Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.

¿Cómo accedo a las cabeceras de los correos?

Clientes de correo para Windows

Microsoft Outlook 2016, 2013 y 2010

  1. Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
  2. Seleccionamos la opción Archivo > Propiedades.

Seleccionamos Archivo

 

Archivo-propiedades

 

  1. La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.

Muestra cabeceras

Mozilla Thunderbird

  1. Abre el correo que quieras analizar.
  2. Haz clic en los botones «Más» > «Ver código fuente», situado en la parte superior derecha de la ventana.

Ver código fuente

  1. Las cabeceras del correo se mostrarán en una nueva ventana.

Mozilla cabeceras correo

Clientes de correo para Mac

Mail para Mac

  1. Accede al correo del que quieres ver las cabeceras.
  2. Ve a «Visualización» > «Mensaje» > «Todas las cabeceras».

Cabeceras Mail

  1. A continuación, se mostrará la cabecera completa del correo.

Clientes de correo web

Gmail

  1. Abre el correo cuyas cabeceras quieras obtener.
  2. A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».
  3. Haz clic en «Mostrar original».

Correo Gmail mostrar original

  1. La cabecera completa del email se mostrará en una pestaña nueva.

 

Outlook

  1. Abre el correo que quieres analizar.
  2. A continuación, haz clic en la línea de puntos situada a la derecha de la opción de «Reenviar»
  3. Haz clic en «Ver origen del mensaje».

Hotmail ver origen del mensaje

  1. Las cabeceras se mostrarán en una ventana nueva.

 

Yahoo

  1. Selecciona el correo cuyas cabeceras quieras visualizar.
  2. A continuación, haz clic en el icono de la línea de puntos > «Ver mensaje sin formato».

Correo Yahoo ver mensaje

  1. La cabecera completa del correo se mostrará en una nueva ventana.

 

¿Cómo se interpretan las cabeceras?

Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.

Para agilizar esta tarea podemos utilizar herramientas como MessageHeader, que nos facilita la identificación de cada campo de la cabecera, mostrando resultados como los que analizamos en las imágenes siguientes.

Ejemplo de correo legítimo:

Ejemplo de correo legítimo

En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.

En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPF, DKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.

Ejemplo de correo ilegítimo:

Ejemplo de correo ilegítimo

El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).

En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.

Los registros DKIM y DMARC no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARC nos están indicando que se trata de un claro ejemplo de email spoofing.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu empresa.