Piense en esto como un anuncio de servicio público: los delincuentes pueden falsificar direcciones de correo electrónico. Su programa de correo electrónico puede indicar que un mensaje proviene de una determinada dirección de correo electrónico, pero puede provenir completamente de una dirección diferente.
Los protocolos de correo electrónico no verifican que las direcciones sean legítimas: los delincuentes, los phishers y otras personas malintencionadas aprovechan esta debilidad del sistema. Puede examinar los encabezados de un correo electrónico sospechoso para ver si su dirección ha sido falsificada.
Cómo funciona el correo electrónico
Su software de correo electrónico muestra el remitente de un correo electrónico en el campo «De». Sin embargo, en realidad no se realiza ninguna verificación: su software de correo electrónico no tiene forma de saber si un correo electrónico es realmente de quién dice que es. Cada correo electrónico tiene un encabezado «De», que se puede falsificar. Por ejemplo, cualquier delincuente puede enviarle un correo electrónico que parece ser de bill@microsoft.com. Su cliente de correo electrónico le dirá que este es un correo electrónico de Bill Gates, pero no tiene forma de verificarlo.
Los correos electrónicos con direcciones falsas pueden parecer que provienen de su banco u otro negocio legítimo. A menudo le pedirán información confidencial, como la información de su tarjeta de crédito o el número de seguro social, tal vez después de hacer clic en un enlace a un sitio de phishing diseñado para parecerse a un sitio web legítimo.
Piense en el campo «De» de un correo electrónico como el equivalente digital de la dirección de devolución impresa en los sobres que recibe por correo. Por lo general, las personas ponen una dirección de devolución específica en el correo. Sin embargo, cualquier persona puede escribir lo que quiera en el campo de la dirección de devolución; el servicio postal no verifica que una carta sea de la dirección de devolución impresa en ella.
Cuando se diseñó SMTP (Protocolo simple de transferencia de correo) en la década de 1980 para su uso por universidades y agencias gubernamentales, verificar los remitentes no fue un problema.
Cómo investigar los encabezados de correo electrónico
Puede ver más detalles sobre un correo electrónico profundizando en los encabezados del correo electrónico. Esta información se encuentra en diferentes áreas de diferentes clientes de correo electrónico. Pueden denominarse «fuente» o «encabezados» del correo electrónico.
(Por supuesto, generalmente es una buena idea ignorar los correos electrónicos sospechosos por completo; si no está del todo seguro acerca de un correo electrónico, probablemente sea una estafa).
En Gmail, puede revisar esta información haciendo clic en la flecha en la esquina superior derecha de un correo electrónico y seleccionando Ver original. Esto muestra el contenido sin procesar del correo electrónico.
A continuación se muestra el contenido de un correo electrónico no deseado real con una dirección de correo electrónico falsificada. Explicaremos cómo decodificar esta información.
Entregado a: [MY EMAIL ADDRESS]
Recibido: 10.182.3.66 con el identificador SMTP a2csp104490oba;
Sábado, 11 de agosto de 2012 3:32:15 PM -0700 (PDT)
Recibido: antes del 10.14.212.72 con el identificador SMTP x48mr8232338eeo.40.1344724334578;
Sábado, 11 de agosto de 2012 3:32:14 PM -0700 (PDT)
Camino de vuelta :
Recibido: de 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
por mx.google.com con ID de ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sábado, 11 de agosto de 2012 3:32:14 PM -0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 no está permitido ni denegado por la mejor estimación para el dominio de e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Resultados de autenticación: mx.google.com; spf = neutral (google.com: 72.255.12.30 no está permitido ni denegado por la mejor estimación para el dominio e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Recibido: por vwidxus.net hnt67m0ce87b identificador para <[MY EMAIL ADDRESS]> ; 12 de agosto de 2012 10:01:06 -0500 (sobre de
Recibido: de vwidxus.net por web.vwidxus.net con local (servidor de correo 4.69)
identificador 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
para root@vwidxus.net; Dom, 12 de agosto de 2012 10:01:06 – 0500
…
De: «Canadian Pharmacy» e.vwidxus@yahoo.com
Hay más encabezados, pero estos son los más importantes: aparecen en la parte superior del texto sin formato del correo electrónico. Para comprender estos encabezados, comience en la parte inferior: estos encabezados trazan la ruta del correo electrónico desde su remitente hasta usted. Cada servidor que recibe el correo electrónico agrega más encabezados en la parte superior; los encabezados más antiguos de los servidores donde se inició el correo electrónico se encuentran en la parte inferior.
El encabezado «De» en la parte inferior afirma que el correo electrónico es de una dirección @ yahoo.com; esto es solo información incluida en el correo electrónico; puede ser cualquier cosa. Sin embargo, arriba podemos ver que el correo electrónico fue recibido primero por «vwidxus.net» (abajo) antes de ser recibido por los servidores de correo de Google (arriba). Esta es una señal de alerta: esperaríamos que el encabezado «Recibido:» más bajo de la lista sea uno de los servidores de correo de Yahoo !.
Las direcciones IP involucradas también pueden indicarle: si recibe un correo electrónico sospechoso de un banco de EE. UU. Pero la dirección IP que recibió es de Nigeria o Rusia, es probable que sea una dirección de correo electrónico falsificada.
En este caso, los spammers tienen acceso a la dirección «e.vwidxus@yahoo.com», donde quieren recibir respuestas a su spam, pero siguen falsificando el campo «De:». ¿Por qué? Probablemente porque no pueden enviar cantidades masivas de spam a través de Yahoo! – Se notarían y se cerrarían. En cambio, envían spam desde sus propios servidores y falsifican su dirección.