Hoy te vamos a explicar cómo saber quién te envía un correo electrónico para comprobar que es quien dice ser. Se trata de una técnica de fraude electrónico a la que se conoce como Spoofing, y que es cuando una persona está tratando de suplantar la identidad de otra en la red. Vamos, que en el correo te dicen que es una persona que realmente no son.
El email spoofing es cuando se suplanta la dirección de correo electrónico de personas o entidades. Esto se suele utilizar para la difusión de bulos o hoax, pero también para otras actividades más peligrosas como el phishing para intentar cobrarte un dinero o que te instales un malware confiando en la persona o entidad por la que se están haciendo pasar.
Por eso, vamos a intentar ayudarte con varios pasos con los que puedes intentar identificar este tipo de engaños. Empezaremos explicándote qué es exactamente el email spoofing, y luego iremos directamente a decirte varios consejos para poder identificarlo.
Qué es el email spoofing?
Los ataques de spoofing son esos en los que una persona intenta engañarte falsificando sus datos, y existen varias categorías dependiendo de la tecnología que utilicen. Por una parte está el IP Spoofing, que es cuando modifican su IP para aparentar ser otro usuario, pero también están el ARP spoofing, DNS spoofing, y el Web spoofing en el que se modifican webs falsas para que parezcan las originales.
Y luego tenemos el denominado email spoofing, que es un conjunto de técnicas utilizadas para hacerse pasar por otra persona o remitente en un correo electrónico. Esto es posible porque el protocolo SMTP (Simple Mail Transfer), que es el que se utiliza principalmente para el envío de correos electrónicos, no incluye un mecanismo de autenticación.
Esto quiere decir que cuando alguien te hace un email spoofing, recibirás un correo de un tal Juan o Marta, o de tu banco de referencia, pero que quien realmente no te ha enviado el correo no son ni Juan, ni Marta ni tu banco, sino otra persona que se está haciendo pasar por ellos. Como ya te imaginarás, esto suele hacerse con fines maliciosos como el phishing, intentando que te descargues algún malware o que les des datos personales o fiscales.
Cuidado con los correos de la carpeta Spam
Afortunadamente, a día de hoy la mayoría de principales empresas que se dedican a ofrecer cuentas de correo electrónico son capaces de detectar las principales suplantaciones del Mail Spoofing, y las suelen enviar directamente a la carpeta de Spam. Esa carpeta está ahí para algo, por lo que debes sospechar de todos los correos que hayan llegado a ella. Posiblemente alguno pueda llegar por error, pero por lo general son los que tu cuenta de Gmail u Outlook ha detectado como spam real.
Evidentemente, el problema está cuando tienes una empresa o una web, y un correo con un dominio propio en el que a lo mejor no tienes aplicados los mismos sistemas de seguridad que Gmail y compañía. En ese caso tranquilo, porque todavía tenemos varios otros consejos para ti.
En este punto, **estate atento a los avisos que te pueda enviar Gmail o tu sistema de correos electrónicos. Cuando muchas personas han marcado como spam un remitente concreto, si ese remitente te envía un correo irá a la carpeta de spam, y si abres el correo te pondrá bien visible un aviso informándote de ello.
Fíjate bien en la dirección de correo
El primer paso que tienes que dar cuando recibas cualquier correo electrónico es revisar cuidadosamente la dirección del remitente. En un correo que te llega puede poner perfectamente que se trata de determinada persona o entidad, pero luego la dirección dice algo completamente diferente.
Por ejemplo, mira la captura que hay arriba. En ella has recibido un supuesto correo de Google, pero si miras su dirección de correo electrónico enseguida verás que realmente no es un correo de Google.com, sino de Google.support, una dirección que no existe. También puedes encontrarte con otros correos que se hacen pasar por @Google.com utilizando otros subdominios similares, o directamente dominios engañosos como @goοgle.com o @googel.com.
El de utilizar direcciones que parecen reales pero no lo son es un tipo de engaño muy común, y has de sospechar sobre todo cuando en el correo se te urge a realizar una acción concreta, ya sea entrar en una dirección que te adjuntan, enviarles una respuesta con datos personales o descargarte algún archivo que te envían.
Y no es algo que pase sólo con Google, también puedes recibir correos falsificados haciéndose pasar por PayPal, por Facebook, o incluso por tu banco o cualquier otro servicio ampliamente utilizado. En estos casos siempre van a querer utilizar cuentas de correos con dominios que se parezcan al verdadero, por lo que atento a lo que hay después de la @ (que es el dominio), y a encontrarte con Paypal.com.es o similares. Lo que cuenta es siempre lo que hay después del segundo punto, por lo que el que incluyan un .com entre medias suele ser siempre un intento de engaño-
Este primer paso es menos efectivo cuando te llega el correo de un supuesto particular. Cuando es alguien que conoces puedes comparar el correo con el que tienes en tus contactos, pero cuando es otra persona puede ser más difícil, ya que pueden haber creado una cuenta de Google u Outlook utilizando ese nombre y apellidos.
Observa con los archivos adjuntos
Es muy raro que tu madre que vaya a escribir para enviarte un PDF, o que una persona que contacta contigo por primera vez lo haga para enviarte algo. Por eso, el observar los archivos adjuntos es otra de las maneras en las que puedes detectar cuándo alguien se está haciendo pasar por otra persona, sobre todo en un intento de hacer fishing contigo para intentar colarte algún malware a través del mail spoofing.
Por lo general, sospecha de cualquier persona que te mande un archivo adjunto que no viene a cuento. También en el caso de entidades, ya que la mayoría de webs oficiales simplemente te enviará un enlace a su portal para realizar las gestiones, pero es muy poco frecuente que te envíen archivos adjuntos a no ser que sean facturas o cosas similares.
Observa la manera de escribir
Este es un consejo que puede parecer un poco tonto, pero que te puede ayudar a detectar correos falsos. Muchas veces, aunque el atacante se haga pasar por una persona de tu país, realmente puede ser extranjero y haber escrito el correo con Google Translator. En ese caso, casi seguro que encontrarás palabras o expresiones extrañas que enseguida llaman tu atención.
Además, en el caso de que se estén haciendo pasar por alguien que conoces, también puedes encontrar palabras o frases que sabes que esta persona no utilizaría.
Mira los metadatos del correo
Vamos ahora a mirar otros datos técnicos que también te pueden ayudar, aunque puede que te suenen un poco a chino porque son cosas que no siempre se entienden. Se trata de los metadatos del correo, a los que puedes acceder abriendo las opciones de un correo electrónico que recibes. En Gmail, la opción que debes pulsar es Mostrar original, mientras que en Outlook es Ver origen del mensaje. Estos son algunos de los parámetros que debes mirar:
- De: (FROM): Es la dirección del remitente que ves, que no siempre es la real, y un atacante puede enviar un correo utilizando una dirección legítima.
- Responder a (REPLY-TO): Por lo general, este campo también está falsificado, pero un atacante perezoso podría no hacerlo. Por lo tanto, si a la hora de responder un correo te sugiere una dirección diferente a la del remitente, sospecha de él.
- RETURN-PATH: Uno de los parámetros de los metadatos de un correo, y te indica de quién es realmente la dirección de quien te ha mandado un correo. También es posible falsificarlo.
- Received: from: Es un campo que también aparece en los metadatos, y que te dice de quién has recibido el correo y te da su IP.
Los primeros parámetros son sencillos de encontrar, pero una de las claves está en el campo Received: from. Para que lo entiendas mejor, vamos a ver un ejemplo de los metadatos correo de spam que puedes recibir haciéndose pasar por otra persona.
Received: from unknown (HELO 38.118.132.100) (62.105.106.207)
by mail1.infinology.com with SMTP; 16 Nov 2003 19:50:37 -0000
Received: from [235.16.47.37] by 38.118.132.100 id ; Sun, 16 Nov 2003 13:38:22 -0600
Message-ID:
From: "Yubal Fernandez"
Reply-To: "Yubal Fernandez"
To: yubal@yubal.com
Subject: Hey, esto te interesa
Date: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: Internet Mail Service (5.5.2650.21)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="9B_9.._C_2EA.0DD_23"
X-Priority: 3
X-MSMail-Priority: Normal
En este correo ves el campo Received: from del que hemos hablado antes. Pone Received: from [235.16.47.37] by 38.118.132.100 id ; Sun, 16 Nov 2003 13:38:22 -0600. No hay nombres de hosts, pero pone que la dirección IP 38.118.132.100 dice haber recibido el correo de 235.16.47.37, por lo que de ser verdad esta última IP es de donde viene el correo. Con sólo googlear la IP ya tendrás información.
Por ejemplo, en otro correo recibí la IP 209.85.220.41, que al googlearlo he visto que pertenece a Google, con lo que he comprobado que realmente es de la dirección Gmail que me la envía.
Volvemos al ejemplo de arriba. En el campo Received:, el servidor mail1.infinology.com es el último de la cadena que ha recibido el mensaje, y por lo tanto el nuestro. El mensaje lo ha recibido de un servidor llamado "unknown", pero en un caso real puede poner otros. Si recibes un correo de una cuenta que dice ser de Google, pero que realmente viene de otro servidor, es evidente que algo también está mal en ese correo.
Ver 1 comentarios