Leer Email suplantado?
📬 Cómo mirar los encabezados de un correo para saber si es real
La forma más eficaz de saber si un correo es auténtico o si está suplantado (spoofing) consiste en revisar sus encabezados técnicos o headers. Esta parte oculta del mensaje contiene información imposible de falsificar por completo: qué servidor lo envió, qué ruta siguió por Internet, si el dominio ha firmado el correo y si los controles de seguridad (SPF, DKIM y DMARC) han sido superados.
La apariencia exterior del correo —el nombre del remitente, el icono, el asunto— puede ser manipulada fácilmente. Sin embargo, los encabezados revelan siempre el origen real del mensaje.
🔍 ¿Cómo ver los encabezados?
- En móvil: la app de Gmail no los muestra, pero basta abrir Gmail en el navegador, activar la versión de escritorio, abrir el correo, pulsar en los tres puntos (del propio mensaje) y seleccionar “Mostrar original”.
- En PC: en Gmail web, simplemente entras al correo, pulsas el menú de los tres puntos en la esquina del mensaje y eliges “Mostrar original”. También puedes descargarlo como archivo
.emly abrirlo en Thunderbird para un análisis más avanzado.
Una vez hecho esto, Gmail muestra una “radiografía” del mensaje: IP real de envío, dominios utilizados, firmas criptográficas, rutas de tránsito y verificación de seguridad.
Con esa información es posible determinar si el correo es auténtico o si se ha suplantado al remitente.
🔎 Cómo saber si un correo es auténtico o suplantado (spoofing) a partir del encabezado
A continuación se muestran dos casos: un correo legítimo y un correo suplantado. La comparación permite entender qué señales deben buscarse.
🧩 Caso 1 – Correo legítimo enviado a través de un proveedor profesional
Este ejemplo representa un correo promocional enviado por una empresa legítima (llamémosla ExampleCorp) usando un servicio profesional de envío masivo como Amazon SES. El encabezado simplificado sería:
Return-Path: <1234567890@servicioenvio.com>
Received: from smtp-out.servicioenvio.com (54.240.x.x)
Authentication-Results: mx.google.com;
spf=pass (dominio autorizado)
dkim=pass header.i=@examplecorp.com
dkim=pass header.i=@servicioenvio.com
dmarc=pass (header.from=examplecorp.com)
From: ExampleCorp <newsletter@examplecorp.com>
- Servidor real: se envía desde un servidor conocido del proveedor (
smtp-out.servicioenvio.com). - SPF = PASS: el dominio autoriza esa IP.
- DKIM = PASS: la firma criptográfica del dominio
examplecorp.comes válida. - DMARC = PASS: coincide con la política del dominio.
- From coherente: el remitente visible coincide con la firma DKIM.
Conclusión: el correo es técnicamente auténtico. Su contenido puede ser publicidad, pero no hay suplantación.
🚨 Caso 2 – Correo suplantado (spoofing) de un falso “banco”
En este ejemplo inventado, el correo parece provenir de un banco, pero el encabezado revela lo contrario.
Return-Path: <soporte@seguro-pay.com>
Received: from vps123.hackhost.net (185.123.x.x)
Authentication-Results: mx.google.com;
spf=fail (dominio no autorizado)
dkim=none
dmarc=fail
From: Banco Ejemplo <alertas@bancoejemplo.com>
- Servidor sospechoso: el correo se envía desde un VPS desconocido (
hackhost.net), no desde un servidor bancario. - SPF = FAIL: la IP no está autorizada por el dominio del remitente.
- DKIM = none: el correo no está firmado por el dominio legítimo.
- DMARC = FAIL: no cumple la política de autenticación del dominio.
- From falso: el remitente visible parece del banco, pero no coincide con el servidor ni con los mecanismos de autenticación.
Conclusión: hay evidencia clara de spoofing.
📊 Comparativa: legítimo vs. suplantado
| Elemento | Correo legítimo | Correo suplantado |
|---|---|---|
| Servidor origen | Proveedor reconocido | VPS desconocido o dudoso |
| Return-Path | Coherente con el dominio | Dominio ajeno al remitente |
| SPF | PASS | FAIL |
| DKIM | PASS | none / FAIL |
| DMARC | PASS | FAIL |
| From | Coincide con dominio y autenticación | Parece real pero no coincide |
🛡️ Recomendaciones finales
- Si en el encabezado ves SPF/DKIM/DMARC = FAIL, lo más probable es que sea suplantación.
- Si el correo pide datos sensibles, urgencias o amenazas (“tu cuenta será cerrada”), sospecha.
- No abras enlaces antes de comprobar el origen real.
Con esta guía puedes identificar rápidamente si un correo es auténtico o no, incluso cuando el remitente visible parezca completamente legítimo.
CIBERMURO seguridad digital sencilla
2025