(ES) ¿CÓMO SÉ SI UN CORREO ES AUTÉNTICO?

A través del correo electrónico de la Universitat de València, coordinamos y resolvemos multitud de tareas laborales y académicas en nuestro día a día.

En ocasiones, las prisas y rutinas hacen que no apliquemos todas las medidas de seguridad que serían necesarias al utilizar esta herramienta, algo que utilizan los ciberdelincuentes para llevar a cabo sus propósitos de engaño.

Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.

Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos.

Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.

¿Cómo accedo a las cabeceras de los correos?

Clientes de correo para Windows

Interfaz Clasica : 

  • En el correo que deseamos analizar veremos una pestaña en la parte derecha , pinchamos encima .

  • Se nos mostrara la cabecera del correo con mucha informacion que a posteriori vamos a ver como analizarla mediante la ayuda de un programa .


Interfaz Avanzada (postman) : 


  • En esta interfaz de correo simplemente haciendo click derecho sobre el correo nos aparecera un menu al cual vamos a seleccionar la opcion "Ver formato original del mensaje"

,


  • Se nos mostrara la cabecera del correo con mucha informacion ,que a posteriori vamos a copiar y seguir las indicaciones del PASO 1 que se detalla mas abajo .

PASO 1-

  • Google dispone de una herramienta para analizar cabeceras de correo, que se le pueden introducir en 'texto plano', para que nos de información de cierta relevancia sobre el correo.

    https://toolbox.googleapps.com/apps/messageheader/?lang=es

    Al pulsar sobre ANALIZAR CABECERA, debeis prestar atención al parámetro SFP:
    Ahí os indicará cuando sea un correo 'limpio' SFP: pass
    Cuando sea un correo malicioso o sospechoso, os proporcionará información de interés para la toma de decisiones.

    Hay que decir, que Google dispone de forma muy inmediata y exhaustiva, medidas de filtrado para los correos que se reciben en sus servidores, por lo que el análisis es bastante efectivo y de confianza. 

Microsoft Outlook 2016, 2013 y 2010

  1. Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
  2. Seleccionamos la opción Archivo > Propiedades.

Seleccionamos Archivo


Archivo-propiedades


  1. La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.

Muestra cabeceras

Mozilla Thunderbird

  1. Abre el correo que quieras analizar.
  2. Haz clic en los botones «Más» > «Ver código fuente», situado en la parte superior derecha de la ventana.

Ver código fuente

  1. Las cabeceras del correo se mostrarán en una nueva ventana.

Mozilla cabeceras correo

Clientes de correo para Mac

Mail para Mac

  1. Accede al correo del que quieres ver las cabeceras.
  2. Ve a «Visualización» > «Mensaje» > «Todas las cabeceras».

Cabeceras Mail

  1. A continuación, se mostrará la cabecera completa del correo.

Clientes de correo web

Gmail

  1. Abre el correo cuyas cabeceras quieras obtener.
  2. A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».
  3. Haz clic en «Mostrar original».

Correo Gmail mostrar original

  1. La cabecera completa del email se mostrará en una pestaña nueva.


Outlook

  1. Abre el correo que quieres analizar.
  2. A continuación, haz clic en la línea de puntos situada a la derecha de la opción de «Reenviar»
  3. Haz clic en «Ver origen del mensaje».

Hotmail ver origen del mensaje

  1. Las cabeceras se mostrarán en una ventana nueva.


Yahoo

  1. Selecciona el correo cuyas cabeceras quieras visualizar.
  2. A continuación, haz clic en el icono de la línea de puntos > «Ver mensaje sin formato».

Correo Yahoo ver mensaje

  1. La cabecera completa del correo se mostrará en una nueva ventana.


¿Cómo se interpretan las cabeceras?

Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.

Ejemplo de correo legítimo:

Ejemplo de correo legítimo

En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.

En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPF, DKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.

Ejemplo de correo ilegítimo:

Ejemplo de correo ilegítimo

El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).

En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.

Los registros DKIM y DMARC no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARC nos están indicando que se trata de un claro ejemplo de email spoofing.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu trabajo, y el de tus compañeros y compañeras en la Universitat de València.



SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA - www.uv.es/siuv