Los anuncios que ves en tu móvil pueden no ser sólo publicidad

El fenómeno del malvertising (anuncios maliciosos) pasa inadvertido, en muchas ocasiones, porque estamos tan acostumbrados a ver webs legítimas sitiadas de anuncios (el adware), a cerrar o saltar ventanas emergentes antes del comienzo de una noticia o un vídeo y los anuncios promocionados en redes sociales que nos pensamos que forma parte del juego. Están por todas partes. La publicidad, por si no te habías dado cuenta, es el motor de la Red y también un negocio muy rentable para cibercriminales que lo usan como un reclamo.

Hasta ahora os he hablado de malware y de las posibles vías de ataque que utilizan los malos para acceder a nuestros dispositivos utilizando como principal vía de acceso la ingeniería social (el engaño): correos electrónicos, archivos adjuntos, atractivos reclamos en forma de sorteos, descuentos, etc.  todo vale si el cibercriminal acaba captando víctimas pero ¿Qué sabes del adware y el  malvertising?  Al menos, debieras saber que es un método muy frecuente para la distribución de malware camuflado bajo redes publicitarias. Ríete de las cookies cuando tienes un magnífico “regalito” esperando estafarte por ser ¡El visitante número 1 millón!

¿Qué son las redes de malvertising y cómo llegan a tu dispositivo electrónico? 

“¿Quieres un cuerpo perfecto?” “Participa en este concurso”; “Entra para descubrir nuestros descuentos”; “Has ganado un Iphone 6” “Eres nuestro visitante 1 millón” “Descárgate esta aplicación gratuita” “Tu PC no es seguro, actualízalo”.

Adquieren forma de reclamos, anuncios o publicidad en los que seguimos picando por ese incomprensible pensamiento de que la Red es mágica y nos ofrece todo un mundo de regalos por repartir.

Puede ocurrir que estos anuncios te lleven a webs simuladas camufladas en ejecutables de programas o la información que te interesa descargar, tipo phishing y acabar introduciendo tus datos personales y contraseñas en la web.

Puede pasar que, mediante ingeniería social, te hagan creer que se trata de un anuncio o banner legítimo (adware) y te conduzcan a webs maliciosas que esconden troyanos que infectarán tu dispositivo sin que te des cuenta. En ocasiones no hará falta ni que descargues el contenido, con llegar a la web, ya tienes el bicho dentro.

Otras veces, los malos explotan vulnerabilidades web de portales legítimos como fue el caso de YouTube, Yahoo, el New York Times, Spotify o Amazon modificando el contenido de sus anuncios legítimos para ofrecer adware con código malicioso. En ocasiones, la programación web (el código con el que está escrito la forma de publicar estos anuncios) contienen fallos que son aprovechados para embeber (introducir) el código malicioso en la página que visita. De esta forma, un anuncio que viene de una fuente confiable, contendrá un archivo malicioso que, difícilmente, infundirá tus sospechas.

No te olvides que las redes sociales son el medio ideal para el empleo de estos engaños al haber un mayor número de víctimas potenciales expuestas.

Qué ocurre en tu móvil u ordenador cuando eres víctima del malvertising

Una vez que tu dispositivo se infecta, puedes notar (o no) que la modificación que ha llevado a cabo el troyano afecta al comportamiento de tu navegador o el buscador. Podrá llevarte a webs falsas, monitorizar tus procesos de búsquedas, las páginas que visitas y mandar toda esa información a terceros que forman también parte de la red de ciberdelincuentes. Analizarán toda tu información y además de tu privacidad, sabrán tanto sobre tus preferencias que los anuncios comprometidos aparecerán de forma selectiva en tu ordenador ofreciéndote productos de tu interés. No es casualidad.

El malvertising es un delito

No los confundas con las cookies y el cómo mercadean con nuestros datos entre  terceros para ofrecerte anuncios que ¿coinciden con tus preferencias? Que casualidad. Aun así, las “galletitas” afectan a la privacidad pero no son delictivas. El adware, que ya te he ido mencionado, son los propios banners publicitarios, que pudiendo ser molestos, no llegan a esconder malware ni estafas camufladas ya que, aceptas, en muchos casos, las molestas barras de búsqueda promocionadas o la aparición de anuncios a cambio de descargarte un supuesto contenido.

El malvertising sí es un delito por el acceso no consentido a la información personal de tu dispositivo de forma remota mediante la instalación de programas maliciosos y un delito de daños informáticos si se llevan a cabo modificaciones en tu sistema al quedar infectado y una pérdida económica posterior (lo que viene siendo una estafa o un robo de datos personales para limpia de cuentas bancarias). Si has sufrido pérdidas económicas o robo de datos personales, denúncialo en una comisaría.

Si corres peor suerte, podrá quedar atrapado en una red bot de envío de spam y otros anuncios maliciosos (ordenador zombie infectado controlado remotamente por los malos) y ser tú mismo parte del entramado criminal del que se sirven los malos.

¿Cómo actúan estas redes organizadas?

Detrás de la infección de tu móvil/ordenador hay redes perfectamente organizadas cuyas empresas, bajo una falsa apariencia de legalidad, actúan bajo nombres de dominio y servidores no sospechosos que aparentemente ,se dedican a la gestión de publicidad online. Quienes planifican, compran y venden el adware forman parte de un estrato diferente a los que reciben, analizan y tratan la información de tu ordenador ya infectado y venden tus datos a empresas terceras que ofertan publicidad legítima o ilegítima (anuncios falsos que son estafas o phishing). Lo que llega a nuestros ordenadores es sólo la punta del iceberg.

Para saber cómo detectar estos adwares, prevenirlos o hacerlos desaparecer te recomiendo la lectura muy clara y concisa de @JosepAlbors http://blogs.protegerse.com/laboratorio/2014/01/22/9-consejos-para-eliminar-el-adware-de-nuestro-ordenador/

Así que ya sabes, recuerda, que nada es gratis y si hay un atractivo banner, oferta o regalo que aparece de la nada, tarde o temprano, lo acabarás pagando.

El primer objetivo de los cibercriminales son las pistas que publicas en la Red

La informática está tan presente en nuestro día a día que, cualquier necesidad de comunicarnos necesita casi siempre del uso de las nuevas tecnologías. Tu jefe utiliza whatsapp, tus amig@s hacen grupos para las quedadas y contar su día a día, tus compañeros de trabajo mandan mensajes para dar novedades. Muchas empresas recurren a las redes sociales para buscar buenos perfiles. Tu negocio está estancado y necesita publicidad. A pesar de tu reticencia a las nuevas tecnologías, necesitas un perfil social o laboral, una aplicación de mensajería instantánea, etc. Ni elección ni escapatorias; non excuses; si no estás ON, te quedas OFF.

Ya no hay delito que se quede fuera del ámbito de la Red. Nuestra Unidad da soporte y apoyo a los grupos operativos durante la intervención y el posterior análisis del contenido de los dispositivos informáticos hallados en las entradas y registros o a posteriori, no sólo en delitos cometidos a través de Internet sino en los casos de delitos tradicionales: blanqueo de capitales, tráfico de drogas, homicidios, desapariciones, etc. Los smartphones, tablets y ordenadores cuentan todo de nosotros.

Toda la información obtenida de los soportes informáticos no sólo facilita el trabajo de los investigadores o alimentan la esperanza de unos angustiados familiares por encontrar indicios de una persona desaparecida sino que es bien explotada por los malos que saben aventajar a sus víctimas estudiando todas sus huellas digitales. Que la Red tenga tanta información sobre nosotros provoca que los malos nos conviertan en su presa: los menores caen en manos de depredadores sexuales o son objeto de acoso. Los mayores de edad son estafados o extorsionados despiadadamente. Todos somos vulnerables. El uso de artimañas para engañar al usuario, utilizando no sólo nuestras vulnerabilidades “humanas” sino también, el rastro digital que dejamos se denomina ingeniería social. Sin este engaño, no se darían el 90% de los delitos cometidos a través de la Red.

¿Hacemos un repaso genérico de toda la información que Internet y las aplicaciones tienen de nosotros?

Los smartphones

Tened en cuenta que, en la actualidad, como he mencionado tantas cientos de veces, el móvil se ha convertido en nuestro mejor compañero de viaje. Los smartphones acumulan tanta información sobre nuestra vida y la de los demás que podría ser nuestro biógrafo: las fotos con su información visible y no visible, (los metadatos: dónde fue tomada, fecha, hora, dispositivo, etc.) mensajes de texto, llamadas de teléfono, geoposicionamiento, emails, información bancaria y el acceso a todas vuestras aplicaciones.

Las redes sociales

Las fotos que publicas revelan con quién te relacionas, tu familia, los lugares que frecuentas, dónde trabajas, aficiones, estados de ánimo, eventos personales, edad, lugar de nacimiento, ciudad en la que vives, preferencias (nuestro talón de Aquiles) y también, nuestra ubicación.

En los anuncios de segunda mano publicamos nuestro teléfono de contacto o nuestra dirección. También hay directorios, fuera de nuestro control, que publican esos datos sin nuestro consentimiento. Pedid a la web su retirada.

Nuestra participación en eventos deportivos queda recogida en las clasificaciones o resultados finales; los boletines oficiales del Estado o los territoriales publican nombramientos, cambios de destino, ascensos, multas, embargos, etc.

¿Entiendes ahora por qué es tan fácil que cualquiera, con una mínima mala intención te diga que te conoce de …. te ha visto en… tienes el vehículo tal … o que conoce a tu familia y amigos? ¿Te extrañas todavía de que alguien pueda obtener tanta información sobre ti? En muchas ocasiones se la has dado tu y no solo a esa persona, sino a todo el mundo.

Estás en la piscina tomando el sol. De repente se te acerca un desconocido que te dice que te ha tocado la lotería; si no he comprado ningún boleto, pensarás; me está intentando engañar. En el mundo físico (se hacía antes) la gente se acercaba, sobre todo a los mayores, con esas intenciones. Ahora es casi impensable. Con el acercamiento físico te pueden identificar o desvelar intenciones. Internet es cómodo y no ofrece casi riesgos ¿Por qué crees que la Red, siendo relejo del mundo físico, tiene otras normas y es el mundo de “todo es posible” y de los hechos extraordinarios? Siento decirte que no es así.

Por eso siempre os digo que en la Red, vuestra primera reacción ante cualquier hecho inesperado o repentino sea la DESCONFIANZA. No os fiéis de quien dice conoceros o haberos conocido anteriormente o ser de vuestro entorno cercano. No creáis a los que os ofrecen o venden oportunidades, a los que os adulan sin conoceros, a los que se enamoran en unos minutos, a la gente desesperada. No existen los chollos, los golpes de suerte (hay gente que vive de perseguir esas oportunidades; nunca van a llegar a ti y menos por casualidad) ¿Piensas que soy una paranoica? Es mejor perder una oportunidad personal que echar por tierra tu vida, porque te la hunden. El más mínimo error puede convertirse en un infierno personal. En la Red no hay compasión, no existe la gente anónima buena y nada es gratis (la gente no trabaja por amor al arte ni para dártelo a ti desinteresadamente)

No os lo diría si no viera a diario tanta tragedia personal (que compartiré para que lo comprobéis vosotros mismos) y muchas veces por culpa de nuestra ingenuidad.

Las webs ilegales de la Internet oscura también pueden ser hackeadas

Los servicios de la Deep web no son fáciles de comprometer ni con esta intromisión se ha demostrado nada técnicamente sobrenatural. Si así fuera, no sería tan difícil dar con los criminales que comercializan bienes ilícitos, los administradores de foros y mercados negros ni se venderían armas, drogas y pornografía infantil de forma tan alegre.

“Un ‘hacker’ demuestra que la web oscura puede ser fácilmente comprometida”. Así titulaban varios artículos en la Red un hecho, supuestamente, inédito ¿Qué hay de cierto en todo esto? Cuando leí la noticia que me pasó un amigo, lo primero que quise saber era quién estaba detrás de la autoría del supuesto hackeo al 20% de la DarkNet y qué había sucedido realmente. Pude ver que se trata del derribo del servicio Freedom Hosting II, un servicio de alojamiento de webs .onion en la Deep Web que, según reseñas periodísticas y datos de algunos investigadores particulares como el proyecto “Onion Scan”, proporcionaba alojamiento gratuito a más de 11.000 servicios, 1500 de ellos activos, muchos de ellos con pornografía infantil. En la actualidad, esos servicios ya están inactivos.

Antes de ser atacado, el servicio Freedom Hosting II tenía esta apariencia en la Deep web:

Caché de la web del servicio Freedom Hosting II en la Deep Web

El hacker anónimo, tras mostrar los pasos que llevó a cabo para hackear la base de datos del servidor, publicó en la Dark web toda la información que contenía la base de datos de este servicio de hosting, unos 2.3 GB de información en su base de datos y 74 Gb de archivos de información de todos los usuarios que habían registrado sus servicios .onion en su servidor. Primero, los puso a la venta previo pago de 0.1 bitcoin (algo extraño en este tipo de ataques y reivindicaciones) y después, lo difundió de forma gratuita en TOR y otras webs. La información que contenía este servidor estaba relacionada con webs estafa, sitios sobre carding y falsificaciones, hacking, blogs personales y con contenido sexual, entre otros.

Fuente: perfil de Twitter de la investigadora @SarahJamieLewis

Anuncio del hackeo de Freedom Hosting II | Fuente: http://pastebin.com/2TZ6J8ZQ

La Deep Web se ha convertido inexplicablemente en un mito y la pregunta que se harán muchos usuarios es: ¿Cómo es posible que con esta intrusión se haya dejado inactivo casi al 20% de servicios en TOR? Administradores de esas webs .onion que han quedado inactivas, echaos a temblar.

Como veis, de las fugas de información ya no se libran ni los criminales que utilizan ciertos servicios para dar cobijo a su actividad delictiva. La actividad diaria principal de los investigadores para dar con usuarios y administradores concretos de sitios .onion va a cambiar durante un tiempo ¿Cómo se persigue a los usuarios en la Deep web?

Si hablamos de rastreo desde un punto de vista técnico, seguir las conexiones IP, como ya sabéis, no da muchos frutos ya que pasan por múltiples nodos cuyas direcciones IP públicas no se corresponden con las que utilizamos para navegar. Pero si hablamos de rastreo como un método de seguimiento de un autor de un hecho según los rastros digitales que va dejando, sí existen posibilidades. Tenemos varios ejemplos:

El agente encubiertonecesario para este tipo de investigaciones. Esta medida ya ha sido incluida en muchos países (en España desde julio de 2015) y en EEUU desde el año 1998. Con esta medida, los agentes, previamente autorizados por un Juez, adquieren una supuesta identidad para hacerse pasar por alguien que demanda, trafica y ofrece bienes ilícitos como armas, drogas, pornografía infantil, etc.  En países como EEUU se permite montar un sitio web ofreciendo bienes ilícitos. En España esa actividad no está permitida ya que esta sería considerada legalmente como provocación al delito. Solo se autoriza la actuación mediante identidad encubierta para comprobar y adquirir las pruebas de un delito que ya se está cometiendo.

Esta actividad encubierta y su rastreo permite la identificación de servicios que dan alojamiento a las webs de la DarkNet así como la obtención de datos que sí son rastreables como dominios, emails, pseudónimos, claves públicas, o los rastros de navegar por la Deep Web con el navegador TOR instalado en la misma sesión que utilizas para navegar por la web superficial. Estas huellas digitales permitieron, por ejemplo, la identificación del titular de Silk Road, del líder de LulzSec, alias “Sabu” o la detención del administrador del primer servicio Freedom Hosting. En todos ellos, el uso de alias, emails, dominios y otro tipo de información utilizada en la web superficial vinculada a otros servicios utilizados en la Deep Web contribuyeron a la identificación de los autores, con algo de tiempo e ingeniería social.

Ahora, los titulares de los dominios y la información contenida en la base de datos hackeada expuestos por el ataque al servidor de Freedom Hosting II están en el punto de mira de los investigadores.

I. Información descargada de TOR contiendo información de los archivos del servidor Freedom Hosting II | Fuente: Deep Web

II. Información descargada de TOR contiendo información de los archivos del servidor Freedom Hosting II | Fuente: Deep Web

Por tanto, en contra de lo que podía pensarse, no se ha hackeado la propia estructura de la Deep Web sino uno de los múltiples servicios que alojan webs .onion en la Darknet.

  1. La intrusión en el servidor de Freedom Hosting II (en adelante FHII) es un mero ataque a un servidor vulnerable, con la única salvedad (importante) de que la información alojada son direcciones .onion y que un único servidor daba cobijo a un 20% aprox. de las webs de la Deep Web.
  2. Según el proyecto “Onion scan” se estima que con la intrusión en FHII, han caído unas 11.000 webs .onion aunque estuvieran activas poco más de un 10%. A través del proyecto de Onion Scan se pueden establecer correlaciones entre las diferentes webs .onion y mapear la Deep Web en busca de datos de interés como similitudes entre claves SSH, vulnerabilidades en los servidores que revelen direcciones IP reales, metadatos EXIF de las imágenes (como fecha y hora de la captura, localización GPS, tipo de dispositivo que ha tomado la imagen, etc.), identidades PGP, cabeceras HTTP, alias utilizados en la web superficial, etc. Ha sido a través de estos rastros digitales el que se haya podido establecer que las webs .onion caídas en la Deep Web pertenecían al servidor FHII.

En realidad, la finalidad del proyecto Onion Scan es poner de manifiesto las vulnerabilidades de los servicios .onion de modo que el administrador del sitio pueda poner a prueba si su sitio en la Dark Web es realmente anónimo aunque a los investigadores les venga de perlas su uso investigativo.

Captura del escaneo de una web .onion en la Deep Web | Fuente: https://motherboard.vice.com/en_us/article/onionscan-checks-if-your-dark-web-site-really-is-anonymous

En todo caso, habrá que seguir esperando a ver si alguien consigue desanonimizar los nodos y rastrear las conexiones hasta llegar a conexiones reales.

Blinda tu privacidad y evita el acoso en las Redes Sociales

La principal fuente para la captación y el seguimiento de víctimas de acoso son las redes sociales. Si además lo combinas con otras técnicas y herramientas útiles para la obtención de información de la Red y usadas para fines oscuros, puedes caer sin que te des cuenta en las garras de un acosador. Evítalo.

Caso XX4. Hacía un tiempo que Marga, tras vivir muchos años de relación, se había separado de su pareja. El motivo principal fue el control al que era sometida. Las discusiones diarias por saber con quién había estado durante el día eran continuas y el acceso no consentido al móvil y a su cuenta de correo rompieron finalmente la relación. Aunque no hubo denuncia, los hechos eran constitutivos de delito y pudieron ir a mayores.

A los pocos meses de duelo, Marga decidió reiniciar su vida. Se creó un perfil en Facebook, salía con las amigas y publicaba fotos de sus viajes, conoció amigos nuevos y su vida social se empezó a adaptar “a los nuevos tiempos”. Al cabo de un año y medio uno de sus contactos de Facebook “Romystar” empieza a manifestar un comportamiento extraño. No le conocía en persona pero habían hablado por el chat.

Resultaba ser un tipo interesante y aunque no se contaban mucho, “Romystar” sabía más de la cuenta y Marga empezó a sospechar ¿Por qué sabe que este fin de semana he estado en Oviedo si yo no se lo he dicho? Pareció no importarle. Era como si se conocieran de toda la vida.

No obstante, y dado sus antecedentes, sus amigos aconsejaron a Marga que revisara sus opciones de privacidad para evitar que su antigua pareja pudiera controlarle. Utilizaba un apodo en vez de su identidad real, había creado cuentas de correo nuevas asociadas a su perfil de Facebook (por si le buscaba a través de la importación de contactos de Gmail a Facebook) y estaba al tanto de cómo configurar sus opciones de privacidad para minimizar al máximo el riesgo de ser encontrada:

Por supuesto, las opciones para poder ser buscado a través de correo electrónico y número de teléfono tienen que estar deshabilitadas en todas las redes sociales que uses.

El geo-posicionamiento, tanto del móvil como de la propia red social, también deben estar deshabilitados. Google registra todos tus accesos a las cuentas de Gmail y sus redes sociales,  Facebook y Twitter permiten que ciertas aplicaciones “open source” como como Cree.py recopilen información sobre tu ubicación (y otra información que también puede ser importante) en el momento que las usas para publicar un comentario o un tuit.

No obstante, ten en cuenta que Twitter te da la opción de borrar el historial de ubicaciones.

Pero el tiempo pasaba y cada semana, las conversaciones con su perfil anónimo continuaban hasta largas horas de la noche. En una de ellas, Marga le habló de su relación anterior y “Romystar” hizo una referencia que no debía conocer.

Al día siguiente, y con un buen mosqueo, acudió a un amigo que le asesoró al respecto. Descargarte una copia de la información de tu perfil de Facebook y te dará los accesos a tu cuenta. Había varias direcciones IP diferentes a los registros habituales de la conexión de Marga que estaban ubicados fuera de la provincia en la que vivía Marga y los datos del navegador que usaba eran diferentes. Todo era muy extraño.

También revisó la “configuración de seguridad” de su perfil y las “alertas del inicio de sesión” estaban deshabilitadas por lo que no recibía ninguna notificación si otro usuario accedía a su cuenta ¿Pero cómo?

¿Me permites revisar tus conversaciones a través del chat de Facebook? Efectivamente. Su amigo averiguó que “Romystar” en una de sus conversaciones le había mandado un enlace acortado a Marga que escondía la URL original maliciosa, dirigida a un servidor controlado por alguien que no era Facebook. Cuando comprobó el enlace pudo observar que redirigía a la web www.exyourpass.com  (ficticia) con la misma apariencia que la página de inicio de Facebook. El engaño fue hacerle creer a Marga que podía saber si su expareja visitaba su perfil, invitándole a acceder desde el enlace que le había dirigido. Así obtuvo las contraseñas de su perfil y leyó toda la información que guardaba en sus conversaciones.

Su anónimo le había enviado una phishing dirigido. Es más común de lo que piensas.

No hay verjas electrificadas

Como ves, todas las medidas de seguridad son pocas cuando hablamos de ataques dirigidos a una persona, en este caso, para un acoso y nuestra quiniela del autor iba dirigida a alguien equivocado. Por supuesto, el usuario anónimo fue detenido por un delito de descubrimiento y revelación de secretos ya que afortunadamente, la víctima pudo darse cuenta a tiempo y cambiar las claves antes de que su acosador se pudiera apropiar de su cuenta. Espero que este caso te sirva para poner en práctica todo lo que te voy enseñando a lo largo de todos mis post.

Haz todas estas verificaciones con tus perfiles, ten en cuenta la existencia de estas herramientas y no confíes en personas que no conoces físicamente. Podrá ahorrarte muchos disgustos.

Cómo saber si un correo electrónico ha sido modificado como en el caso Diana Quer

Si hay una máxima que debemos tener en cuenta en Internet, es que nunca debemos creer lo que ven nuestros ojos en una pantalla, sobre todo si la información proviene de una fuente desconocida, inesperada, no confiable o extraña. El contenido de un email o su apariencia, pueden ser modificados. Es el caso de los correos electrónicos.

Estas prácticas de manipulación se hacen desde hace años pero viendo la expectación que genera y que de forma automática se le da una explicación maligna, paranormal y de entes con altos conocimientos, os he hecho este post para que veáis de forma gráfica lo que traté de explicar ayer en el programa Espejo Público. El fin es que sepáis detectar de forma simple este tipo de casos comunes y estéis alerta de posibles peligros.

Supongamos que un día recibes un correo electrónico de forma inesperada, por ejemplo, de impuestos@aeat.com (inventada) en el que te informan que en tu última declaración, por error, tienes que devolver a Hacienda 240 euros. Una amplia mayoría pensaría: “no puede ser, si mi declaración estaba bien” u otros “Recuerdo que solo defraudé 150 euros”. Pero muy pocos serán los que piensen: “Me la están intentando colar ¿Será una estafa? Probablemente.

Captura de email recibido, supuestamente, por la cuenta de correo impuestos@aeat.es

Antes de explicar cómo hacer las comprobaciones, debemos entender lo más básico.

Una dirección de correo electrónico esta estructurada en tres partes. La primera libremente elegida por el cliente, identificando el nombre de usuario, por ejemplo, silvia. Está localizada a la izquierda del signo “@” e indica una relación de pertenencia al dominio que aparece a su derecha, que en el caso de ser Google, sería “Gmail” quedando, a modo de ejemplo, la dirección de correo usuario@dominio.com o silvia@gmail.com.

El correo electrónico tiene, externamente, un formato predeterminado aunque con las variaciones implementadas por cada servidor de correo (correo corporativo, como es el de tu propia empresa o webmail, a través de página web como el de www.google.com), que lo gestiona. Siempre deben aparecer campos tales como destinatario (Para o To), remitente (Desde o From), asunto (Asunto o Subject) del que trata el mensaje, información adjunta, etc.

Una vez que es enviado, acompañando a cualquier mensaje, incorpora automáticamente lo que se conoce como cabecera técnica, que viene a ser la documentación técnica asociada al mensaje. Es el elemento más importante para la investigación porque se pueden extraer múltiples datos, la dirección exacta de la cuenta de correo electrónico del remitente, (la que consta en el campo “Desde” o “From”, que es modificable por el usuario)o las direcciones IP’s de los distintos servidores de correo (el agente que se encarga de transferir el mail) por los que pasa el mensaje en su ruta hasta la llegada a destino, entre otros datos.

Hace algún tiempo que la dirección IP de conexión del remitente dejó de aparecer de la cabecera por motivos de protección de datos. Por tanto, únicamente ser verán las direcciones IP de los servidores por los que pasa el email pero no el de procedencia de quien ha remitido el correo. Dichas cabeceras técnicas habitualmente no son visibles para el usuario común y requieren algún tipo de acción del usuario para su visualización.

Captura de email recibido, supuestamente, por la cuenta de correo impuestos@aeat.es

Como podéis comprobar, el remitente tiene un dominio exactamente igual al de Hacienda. Hay un indicio que nos puede hacer sospechar y es el signo de interrogación al lado del nombre del remitente, que significa que el mensaje no se ha autenticado y servicio de Gmail no está seguro de que el mensaje proceda de ese remitente. Si ves este signo, sé prudente a la hora de responder al mensaje o de descargar los archivos adjuntos.

¿Cómo puedo saber si ha sido manipulado?

Se trata de una simple comprobación al alcance de cualquiera, solo hay que saber que existe la posibilidad. Se trata de una propiedad online disponible en el propio servicio de correo web. Nos situamos sobre el contenido del propio correo en cuestión.

Desplegar pestaña en el correo recibido y pulsar en “Mostrar original”

Desplegamos la pestaña y pulsamos sobre “Mostrar original”. Una vez hemos realizado estas acciones, nos aparecerá la cabecera técnica. Dependiendo del servidor de correo que sea, Yahoo, Gmail, Outlook, etc. la cabecera se obtiene de diferente forma pero, en todo caso, solo es buscar la forma en Google y lo encontrarás. Esto es lo siguiente que te aparece:

Pantallazo de cabecera técnica del correo Gmail falso impuestos@gmail.com donde se puede ver la información real.

Una vez que hemos comprobado que el correo es falso, se puede saber cuál es el servicio de correo falso utilizado así como la dirección IP que lo facilita. En este caso, es muy probable que la IP esté situada en un servicio extranjero pero, en todo caso, correspondería a la del servicio de correo utilizado, no del investigado. Si queremos saber el usuario que ha utilizado ese servicio, le tendríamos que pedir los datos al servicio de correo falso, el cual podrá o no facilitar esa información (si es que quiere colaborar) y llevará tiempo.

Página web ripe.net donde se pueden consultar titularidades de IP.

La página web https://www.ripe.net/nos dará la titularidad de la IP de quien administra el servicio de correo web, si es público y no es anónimo. Debería ser esta entidad o particular a quien habría que dirigirle una petición de auxilio judicial o denominada también “Comisión Rogatoria Internacional” a través de las Autoridades de nuestro país y que nos facilite esa información. No obstante, os dejo el claro aviso que deja la web de ese servicio de correo falso

“Este servicio no vulnera las leyes de la Unión Europea. No están obligados a guardar los registros de quienes usan ese servicio y los que figuran como administradores tampoco son los propietarios del servicio ni responsables de su contenido”.

De este modo, no se responsabilizan del uso que se hace del mismo. En el caso de España, se trataría de un uso delictivo si se hace pasar por alguien o alguna entidad o se hace con un propósito defraudatorio, pero solo en España. Aún así, nos dará igual porque advierten que no están obligados a guardar los registros de quien usa su servicio así que ya le puedes pedir lo que quieras.

La plataforma de correo falsa utilizada es una simple web con esta estructura:

Como veis, ni hacen falta conocimientos de informática ni ser un criminal maligno con conocimientos de programación. Lo puede hacer cualquiera. Internet no tiene fronteras pero sí su propias reglas y hay que conocerlas.