NO TE FÍES DE TODO LO QUE VEN TUS OJOS
Cómo saber si un correo electrónico ha sido modificado como en el caso Diana Quer
Si hay una máxima que debemos tener en cuenta en Internet, es que nunca debemos creer lo que ven nuestros
ojos en una pantalla, sobre todo si la información proviene de una fuente
desconocida, inesperada, no confiable o extraña. El contenido de un email o su apariencia, pueden ser modificados. Es
el caso de los correos electrónicos.
Publicidad
Estas prácticas de manipulación se hacen desde hace años pero viendo la expectación que genera y que de forma automática se le da una explicación maligna, paranormal y de entes con altos conocimientos, os he hecho este post para que veáis de forma gráfica lo que traté de explicar ayer en el programa Espejo Público. El fin es que sepáis detectar de forma simple este tipo de casos comunes y estéis alerta de posibles peligros.
Supongamos que un día recibes un correo electrónico de forma
inesperada, por ejemplo, de impuestos@aeat.com
(inventada) en el que te informan que en tu última declaración, por error, tienes
que devolver a Hacienda 240 euros. Una amplia mayoría pensaría: “no puede ser, si
mi declaración estaba bien” u otros “Recuerdo que solo defraudé 150 euros”.
Pero muy pocos serán los que piensen: “Me la están intentando colar ¿Será una estafa? Probablemente.
Captura de email recibido, supuestamente,
por la cuenta de correo impuestos@aeat.es
Antes de explicar cómo
hacer las comprobaciones, debemos entender lo más básico.
Una dirección de correo electrónico esta estructurada en tres
partes. La primera libremente elegida por el cliente, identificando el nombre
de usuario, por ejemplo, silvia.
Está localizada a la izquierda del signo
“@” e indica una relación de pertenencia al dominio que aparece a su
derecha, que en el caso de ser Google, sería “Gmail” quedando, a modo de
ejemplo, la dirección de correo usuario@dominio.com
o silvia@gmail.com.
El correo electrónico tiene, externamente, un formato
predeterminado aunque con las variaciones implementadas por cada servidor de
correo (correo corporativo, como es el de tu propia empresa o webmail, a través
de página web como el de www.google.com), que lo gestiona. Siempre deben
aparecer campos tales como destinatario (Para o To), remitente (Desde o From),
asunto (Asunto o Subject) del que trata el mensaje, información adjunta, etc.
Una vez que es enviado, acompañando a cualquier mensaje, incorpora automáticamente lo que se conoce como cabecera técnica, que viene a ser la documentación técnica asociada al mensaje. Es el elemento más importante para la investigación porque se pueden extraer múltiples datos, la dirección exacta de la cuenta de correo electrónico del remitente, (la que consta en el campo “Desde” o “From”, que es modificable por el usuario)o las direcciones IP’s de los distintos servidores de correo (el agente que se encarga de transferir el mail) por los que pasa el mensaje en su ruta hasta la llegada a destino, entre otros datos.
Hace algún tiempo que la dirección IP de conexión del remitente dejó de aparecer de la cabecera por motivos de protección de datos. Por tanto, únicamente ser verán las direcciones IP de los servidores por los que pasa el email pero no el de procedencia de quien ha remitido el correo. Dichas cabeceras técnicas habitualmente no son visibles para el usuario común y requieren algún tipo de acción del usuario para su visualización.
Captura de email recibido,
supuestamente, por la cuenta de correo impuestos@aeat.es
Como podéis comprobar, el remitente tiene un dominio exactamente
igual al de Hacienda. Hay un indicio que nos puede hacer sospechar y es el
signo de interrogación al lado del nombre del remitente, que significa que el
mensaje no se ha autenticado y servicio de Gmail no está seguro de que el
mensaje proceda de ese remitente. Si ves
este signo, sé prudente a la hora de responder al mensaje o de descargar los
archivos adjuntos.
¿Cómo puedo saber si ha
sido manipulado?
Se trata de una simple
comprobación al alcance de cualquiera, solo hay
que saber que existe la posibilidad. Se trata de una propiedad online
disponible en el propio servicio de correo web. Nos situamos sobre el contenido
del propio correo en cuestión.
Desplegar pestaña en el
correo recibido y pulsar en “Mostrar original”
Desplegamos la pestaña y pulsamos sobre “Mostrar original”. Una
vez hemos realizado estas acciones, nos aparecerá la cabecera técnica.
Dependiendo del servidor de correo que sea, Yahoo, Gmail, Outlook, etc. la
cabecera se obtiene de diferente forma pero, en todo caso, solo es buscar la forma
en Google y lo encontrarás. Esto es lo siguiente que te aparece:
Pantallazo de cabecera
técnica del correo Gmail falso impuestos@gmail.com donde se puede ver la
información real.
Una vez que hemos comprobado que el correo es falso, se puede
saber cuál es el servicio de correo falso utilizado así como la dirección IP
que lo facilita. En este caso, es muy
probable que la IP esté situada en un servicio extranjero pero, en todo caso,
correspondería a la del servicio de correo utilizado, no del investigado. Si
queremos saber el usuario que ha utilizado ese servicio, le tendríamos que
pedir los datos al servicio de correo falso, el cual podrá o no facilitar esa
información (si es que quiere colaborar) y llevará tiempo.
Página web ripe.net donde se
pueden consultar titularidades de IP.
La página web https://www.ripe.net/nos
dará la titularidad de la IP de quien administra el servicio de correo web, si
es público y no es anónimo. Debería ser esta entidad o particular a quien
habría que dirigirle una petición de auxilio judicial o denominada también
“Comisión Rogatoria Internacional” a través de las Autoridades de nuestro país
y que nos facilite esa información. No obstante, os dejo el claro aviso que
deja la web de ese servicio de correo falso
“Este servicio no vulnera
las leyes de la Unión Europea. No están obligados a guardar los registros de
quienes usan ese servicio y los que figuran como administradores tampoco son
los propietarios del servicio ni responsables de su contenido”.
De este modo, no se responsabilizan del uso que se hace del mismo.
En el caso de España, se trataría de un uso delictivo si se hace pasar por
alguien o alguna entidad o se hace con un propósito defraudatorio, pero solo en España. Aún así, nos dará
igual porque advierten que no están obligados a guardar los registros de quien
usa su servicio así que ya le puedes pedir lo que quieras.
La plataforma de correo falsa utilizada es una simple web con esta
estructura:
Como veis, ni hacen falta conocimientos de informática ni ser un
criminal maligno con conocimientos de programación. Lo puede hacer cualquiera.
Internet no tiene fronteras pero sí su propias reglas y hay que conocerlas.
Publicidad