Este documento explica cómo analizar un correo electrónico sospechoso. Primero, describe algunas señales de alerta como un remitente desconocido, falta de información personal o enlaces sospechosos. Luego, guía al lector a través de pasos para investigar más a fondo, incluyendo ver el código fuente, buscar la dirección IP y el dominio de correo. Finalmente, muestra que es posible crear una cuenta de correo falsa similar, lo que demuestra que el correo original probablemente no es legítimo. El objet
1. Destripando un e-mail sospechoso
goigon.blogspot.com
Septiembre, 2016
Comienza un nuevo curso escolar, podríamos decir que también un nuevo curso laboral y
una nueva cuesta económica al enfrentarnos a todos los gastos que un inicio conlleva. Y
un incremento de correos “raros” que de cuando en cuando aparecen en nuestros
buzones de entrada entre los que destacan los sempiternos correos de personas que
están locas por nuestros huesos y todo aquello que los recubre… Y nos mosquea ¿no?
Aunque, reconozcámoslo, es normal que los recibamos porque estamos como quesitos,
como yogurines ¡vamos!
Pues va a ser que no. Que quien está loco por nosotros no lo está por nuestros huesos,
sino por nuestros dispositivos y, en definitiva, por nuestra cartera.
Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos que
estamos, sino porque vamos a intentar ser un poco más listos que el malo que nos
manda esos correos con aviesas intenciones.
Pues sí. Y muy sospechoso. Lo inmediato es eliminarlo y después vaciar la papelera, pero
hoy vamos a destriparlo.
Comenzamos por sospechar de la forma de escribir, que si bien no es un inglés
académico, es un llamémosle slang que podría colar si no fuera porque tiene símbolos
raros: asteriscos, ceros, unos, más asteriscos…
No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtros
parentales no detecten determinadas palabras que suelen estar relacionadas con
Página 1
Correo (sospechoso ¿no?) recibido
¿Será idioma "hacker"?
2. Destripando un e-mail sospechoso
goigon.blogspot.com
correos basura, como “Fuckbuddy”, “surprise”, “sex”… Cambiando algún carácter por
otro símbolo muuuy parecido nosotros lo leemos igual, pero para una máquina, para un
programa de ordenador no coincide con ninguna entrada de su lista negra y lo deja
pasar. Y nos llega.
Otros detalles que nos tienen que poner sobre alerta son:
• no conozco al remitente (y si conociera el nombre del o de la tal “Oasis Gee” eso
tampoco me asegura que sea quien dice ser)
• no viene mi nombre ni mi apellido: soy “sweetie” (si es que estoy tan, tan, tan…).
Esto es importante.
• en lugar de darme la información/producto/¡¡fotos!! que me ofrecen me piden ir a
una web ¿desconocida? Sugiriéndome pinchar en *see them here*. Mmm
No. No pinta bien. Así que vamos a mirar por detrás, a ver que podemos encontrar.
Todas las aplicaciones de correo electrónico tienen una opción que permite ver la
“fuente” del mensaje, es decir, todo lo que realmente viaja con ese correo electrónico
que recibimos tan clarito y tan bien organizado. Obtendremos algo así:
Página 2
Código fuente del mensaje de correo
3. Destripando un e-mail sospechoso
goigon.blogspot.com
Y ¡anda que no hay cosas raras! Pero para nuestros fines nos basta con fijarnos en unas
poquitas.
• La primera es el remitente (Return-Path), o quien nos manda el correo.
• La segunda que nos va a dar información es la dirección IP del proveedor, la
dirección desde la que ha salido el correo.
• Y la tercera es la dirección web a que nos manda el enlace. En este caso,
mosquean dos cosas: una, que es una dirección acortada; dos, que es de un
dominio .ru (Rusia) ¡miedito!
Estas tres cositas deberían hacernos eliminar ya el correo, sin más; pero hoy estamos
curiosones, y queremos saber algo más… ¡antes de borrarlo!
Así, comenzamos con la dirección IP de la máquina (que hasta parece legítima) desde la
que nos mandan el correo.
No pinta mal ni sospechoso en principio, aunque la IP pueda, perfectamente, estar
enmascarada y el correo haber sido enviado a través de un ordenador conectado a un
proxy o a la red TOR (que es lo que hacen los malos). Suponiendo que la IP no esté
falsificada, este correo nos lo están mandando desde una población del estado de Texas
(USA) llamada Lubbock. ¿Has estado alguna vez? Yo tampoco.
Página 3
Identificando la IP de origen
4. Destripando un e-mail sospechoso
goigon.blogspot.com
Toca, pues, pasar esa dirección IP por algún motor que nos informe si se tienen
referencias de que desde ella se esté enviando spam o, directamente, malware.
Y sigue sin pintar bien: claroscuros en dos diferentes sitios web de referencia, lo que no
me termina de tranquilizar, no.
Página 4
Información sobre la dirección IP
5. Destripando un e-mail sospechoso
goigon.blogspot.com
Esta no nos aclara nada, nos deja al cincuenta por ciento de dudas, por lo que acudimos a
otra…
Esta ya parece que pinta más verde, pero el mero hecho de que haya algunos puntos
rojos me continúa dando mala espina, así que lo dejo y me voy a investigar muy por
encima la dirección de correo del remitente. Y digo que muy por encima porque
Página 5
Segunda consulta de IP
6. Destripando un e-mail sospechoso
goigon.blogspot.com
seguramente sea un mail desechable, con el que no merece la pena emplear tiempo
haciendo uso de otras herramientas de OSINT que nos pueden arrojar mucha luz sobre
un perfil digital.
Como la dirección es algo así como galimatías@mail2darren.com el primer paso es buscar
el dominio; o sea, lo que hay a la derecha de la @.
Este, como tal, no existe, pero vemos que depende de uno que tiene pinta de “aquí no se
hacen demasiadas preguntas”, lo que no contribuye precisamente a tranquilizarnos ¿o
estaremos confundidos?
¿No te parece que pinta raro? ¿No te has dado cuenta de que falta “el candadito” delante
de la dirección? Esa ausencia significa que tus datos de usuario/contraseña viajan en
claro a través de Internet, disponibles para cualquiera (y ya si te conectas desde una red
WiFi pública y gratuita…)
Efectivamente, no parece ser nada nada seguro, pero como estoy curiosón curiosón con
mi desconocido sweetie, decido crearme una cuenta de correo aquí, aunque el dominio
supongo que será algo así como fulanito@mail2world.com, ligeramente diferente a mi
galimatías@mail2darren.com.
Lo mismo está todo perdido y tengo que limitarme a borrar el correo ¡ahora sí! Antes de
tener un disgusto haciendo clic en el hipervínculo…
Pues ¡hala! Vamos a registrarnos…
Página 6
Página de login/registro del proveedor de correo
7. Destripando un e-mail sospechoso
goigon.blogspot.com
Si esto cuela, con datos tan sumamente incongruentes como el del código postal, país y
huso horario… ¡miedo total! Eso sí, el Captcha que ponen como Security Code me da una
cierta garantía de que no pueden registrarse bots automáticamente…
Y tras leerme lo del Uso Adecuado, Términos de Servicio, Disclosures y Política de
Privacidad hago clic en el botón de continuar… Para llegar a un lugar maravilloso donde
empleé un rato jugando con las opciones hasta conseguir lo que quería: una cuenta de
correo como la de mi secreto admirador...
Página 7
Formulario de registro de cuenta de correo electrónico
8. Destripando un e-mail sospechoso
goigon.blogspot.com
Esto es nivel: puedo elegir el nombre de dominio en función de Categoría y Subcategoría
para que mi cuenta de correo refleje “fielmente” mis intereses…
Página 8
Eligiendo mi nombre de dominio
9. Destripando un e-mail sospechoso
goigon.blogspot.com
Y ya está. Ahora, a ver si entramos y funciona…
Y parece que sí, que entramos; aún cuando nuestros datos viajan en claro. Ya lo he dicho
¿verdad?
Dentro estamos, pero ¿enviará y recibirá correos?
Página 9
Registro completo
Login
Pantalla principal del gestor de correos electrónicos
10. Destripando un e-mail sospechoso
goigon.blogspot.com
Pues sí: recibe y envía correos; lo que ha dado lugar a escribir esta entrada de blog, este
manual tan, tan elemental pero que me aporta la certeza suficiente para descartar ¡por
fin! ese correo “raruno”. Y es que si yo he podido generarme una identidad tan
sumamente ofuscada ¿qué no serán capaces de hacer los malos-malotes?
Con lo anterior creo que tenéis suficientes datos para ser capaces de destripar un correo
electrónico sospechoso… ¡sin morir en el intento!
Espero y confío en que os sea útil.
Un cordial saludo,
Pedro.
P.D.: ¡¡Tened mucho cuidado ahí fuera!!
Página 10
Correo recibido