NO TE FÍES DE TODO LO QUE VEN TUS OJOS

Cómo saber si un correo electrónico ha sido modificado como en el caso Diana Quer

Si hay una máxima que debemos tener en cuenta en Internet, es que nunca debemos creer lo que ven nuestros ojos en una pantalla, sobre todo si la información proviene de una fuente desconocida, inesperada, no confiable o extraña. El contenido de un email o su apariencia, pueden ser modificados. Es el caso de los correos electrónicos.

Correos electrónicos falsos Silvia barrera

Estas prácticas de manipulación se hacen desde hace años pero viendo la expectación que genera y que de forma automática se le da una explicación maligna, paranormal y de entes con altos conocimientos, os he hecho este post para que veáis de forma gráfica lo que traté de explicar ayer en el programa Espejo Público. El fin es que sepáis detectar de forma simple este tipo de casos comunes y estéis alerta de posibles peligros.

Supongamos que un día recibes un correo electrónico de forma inesperada, por ejemplo, de impuestos@aeat.com (inventada) en el que te informan que en tu última declaración, por error, tienes que devolver a Hacienda 240 euros. Una amplia mayoría pensaría: “no puede ser, si mi declaración estaba bien” u otros “Recuerdo que solo defraudé 150 euros”. Pero muy pocos serán los que piensen: “Me la están intentando colar ¿Será una estafa? Probablemente.

Captura de email recibido, supuestamente, por la cuenta de correo impuestos@aeat.es

Antes de explicar cómo hacer las comprobaciones, debemos entender lo más básico.

Una dirección de correo electrónico esta estructurada en tres partes. La primera libremente elegida por el cliente, identificando el nombre de usuario, por ejemplo, silvia. Está localizada a la izquierda del signo “@” e indica una relación de pertenencia al dominio que aparece a su derecha, que en el caso de ser Google, sería “Gmail” quedando, a modo de ejemplo, la dirección de correo usuario@dominio.com o silvia@gmail.com.

El correo electrónico tiene, externamente, un formato predeterminado aunque con las variaciones implementadas por cada servidor de correo (correo corporativo, como es el de tu propia empresa o webmail, a través de página web como el de www.google.com), que lo gestiona. Siempre deben aparecer campos tales como destinatario (Para o To), remitente (Desde o From), asunto (Asunto o Subject) del que trata el mensaje, información adjunta, etc.

Una vez que es enviado, acompañando a cualquier mensaje, incorpora automáticamente lo que se conoce como cabecera técnica, que viene a ser la documentación técnica asociada al mensaje. Es el elemento más importante para la investigación porque se pueden extraer múltiples datos, la dirección exacta de la cuenta de correo electrónico del remitente, (la que consta en el campo “Desde” o “From”, que es modificable por el usuario)o las direcciones IP’s de los distintos servidores de correo (el agente que se encarga de transferir el mail) por los que pasa el mensaje en su ruta hasta la llegada a destino, entre otros datos.

Hace algún tiempo que la dirección IP de conexión del remitente dejó de aparecer de la cabecera por motivos de protección de datos. Por tanto, únicamente ser verán las direcciones IP de los servidores por los que pasa el email pero no el de procedencia de quien ha remitido el correo. Dichas cabeceras técnicas habitualmente no son visibles para el usuario común y requieren algún tipo de acción del usuario para su visualización.

Captura de email recibido, supuestamente, por la cuenta de correo impuestos@aeat.es

Como podéis comprobar, el remitente tiene un dominio exactamente igual al de Hacienda. Hay un indicio que nos puede hacer sospechar y es el signo de interrogación al lado del nombre del remitente, que significa que el mensaje no se ha autenticado y servicio de Gmail no está seguro de que el mensaje proceda de ese remitente. Si ves este signo, sé prudente a la hora de responder al mensaje o de descargar los archivos adjuntos.

¿Cómo puedo saber si ha sido manipulado?

Se trata de una simple comprobación al alcance de cualquiera, solo hay que saber que existe la posibilidad. Se trata de una propiedad online disponible en el propio servicio de correo web. Nos situamos sobre el contenido del propio correo en cuestión.

Desplegar pestaña en el correo recibido y pulsar en “Mostrar original”

Desplegamos la pestaña y pulsamos sobre “Mostrar original”. Una vez hemos realizado estas acciones, nos aparecerá la cabecera técnica. Dependiendo del servidor de correo que sea, Yahoo, Gmail, Outlook, etc. la cabecera se obtiene de diferente forma pero, en todo caso, solo es buscar la forma en Google y lo encontrarás. Esto es lo siguiente que te aparece:

Pantallazo de cabecera técnica del correo Gmail falso impuestos@gmail.com donde se puede ver la información real.

Una vez que hemos comprobado que el correo es falso, se puede saber cuál es el servicio de correo falso utilizado así como la dirección IP que lo facilita. En este caso, es muy probable que la IP esté situada en un servicio extranjero pero, en todo caso, correspondería a la del servicio de correo utilizado, no del investigado. Si queremos saber el usuario que ha utilizado ese servicio, le tendríamos que pedir los datos al servicio de correo falso, el cual podrá o no facilitar esa información (si es que quiere colaborar) y llevará tiempo.

Página web ripe.net donde se pueden consultar titularidades de IP.

La página web https://www.ripe.net/nos dará la titularidad de la IP de quien administra el servicio de correo web, si es público y no es anónimo. Debería ser esta entidad o particular a quien habría que dirigirle una petición de auxilio judicial o denominada también “Comisión Rogatoria Internacional” a través de las Autoridades de nuestro país y que nos facilite esa información. No obstante, os dejo el claro aviso que deja la web de ese servicio de correo falso

“Este servicio no vulnera las leyes de la Unión Europea. No están obligados a guardar los registros de quienes usan ese servicio y los que figuran como administradores tampoco son los propietarios del servicio ni responsables de su contenido”.

De este modo, no se responsabilizan del uso que se hace del mismo. En el caso de España, se trataría de un uso delictivo si se hace pasar por alguien o alguna entidad o se hace con un propósito defraudatorio, pero solo en España. Aún así, nos dará igual porque advierten que no están obligados a guardar los registros de quien usa su servicio así que ya le puedes pedir lo que quieras.

La plataforma de correo falsa utilizada es una simple web con esta estructura:

Como veis, ni hacen falta conocimientos de informática ni ser un criminal maligno con conocimientos de programación. Lo puede hacer cualquiera. Internet no tiene fronteras pero sí su propias reglas y hay que conocerlas.

TECNOXPLORA | INTERNET, CIUDAD CON LEY

Silvia Barrera

Me llamo Silvia Barrera y llevo trabajando en ciberseguridad más de 10 años. He luchado contra el cibercrimen durante muchos tiempo y he participado en investigaciones internacionales en INTERPOL y EUROPOL así que conozco muy bien cómo actúan los cibermalos. La gran mayoría de los ciberdelitos se podrían haber evitado si los usuarios conocieran los peligros reales de la RED. Prevenir siempre es mejor que ver sufrir a sus víctimas. Tienes a tu disposición el correo ciudadconley@atresmedia.com donde puedes hacerme llegar los casos más extraños o novedosos que conozcas.