Cómo analizar un correo electrónico sospechoso

Si recibes un correo electrónico de dudosa procedencia, analízalo tú mismo. Te contamos cómo.

Las señales de phishing pueden ser obvias: falta de concordancia entre la dirección del remitente y la de su supuesta empresa, inconsistencias lógicas o notificaciones que parecen proceder de servicios online. Sin embargo, no siempre es tan fácil detectar un correo falso. Una forma de hacerlo ver más creíble es modificar el campo visible que contiene la dirección de correo electrónico.

La técnica es bastante común en casos de phishing masivo, pero se ve un poco más en la mensajería dirigida. Si un mensaje parece real, pero dudas de la autenticidad del remitente, intenta indagar un poco más y revisa el encabezado Received. Te contamos cómo a continuación.

Motivos para dudar

Cualquier solicitud extraña es una alerta roja evidente. Por ejemplo, debes profundizar más en un correo electrónico en el que se te pide ir más allá de tu función o alguna acción no estándar, sobre todo cuando afirma ser importante (¡petición personal del CEO!) o urgente (¡debe pagarse en las próximas dos horas!). Estos son algunos trucos estándares de phishing. También debes ser muy cauteloso si te piden:

  • Abrir un enlace del correo electrónico que dirige a un sitio web externo que solicita tus credenciales o información de pago.
  • Descargar y abrir un archivo (sobre todo cuando es un archivo ejecutable).
  • Realizar acciones relacionadas con transferencias monetarias o acceso a sistemas o servicios.

Cómo encontrar los encabezados de los correos electrónicos

Por desgracia, el campo visible en el que aparece el remitente es fácil de falsificar. Sin embargo, el encabezado Received debe mostrar el dominio real del remitente. Puedes encontrar este encabezado en cualquier cliente de correo electrónico. Para esta publicación hemos usado Microsoft Outlook como ejemplo debido a su amplio uso en las empresas actuales. El proceso no debería ser muy diferente en cualquier otro cliente; si utilizas otro, puedes consultar el apartado de ayuda o intentar encontrar los encabezados por ti mismo.

En Microsoft Outlook:

  1. Abre el mensaje que quieres revisar.
  2. En la pestaña Archivo, selecciona Propiedades.
  3. En la ventana Propiedades que se abre, encuentra el campo Received en la sección Encabezados de Internet.

Antes de llegar al destinatario, un correo electrónico puede pasar a través de más de un nodo intermedio, de manera que puedes ver varios campos de Received. Busca el último, el que contiene información sobre el remitente original. Debe verse algo así:

Encabezado Received

Encabezado Received

Comprueba el dominio del encabezado Received

La manera más fácil de extraer el encabezado Received es con nuestro Threat Intelligence Portal. Algunas de sus funciones son gratuitas, lo que significa que puedes utilizarlo sin registrarte.

Para comprobar la dirección, cópiala, dirígete al Threat Intelligence Portal de Kaspersky, pégala en la caja de búsqueda en la pestaña Lookup y haz clic en Look up. El portal arrojará toda la información disponible sobre el dominio, su reputación y los detalles WHOIS. El resultado debe ser algo así:

Información del Threat Intelligence Portal de Kaspersky

Información del Threat Intelligence Portal de Kaspersky

Es probable que la primera línea muestre un veredicto de “Good” (bueno) o “Uncategorized” (sin categorizar), esto solo significa que nuestros sistemas no han visto usar antes este dominio para fines delictivos. Al preparar un ataque dirigido, los atacantes pueden registrar un dominio nuevo o utilizar un dominio legítimo con buena reputación. Comprueba minuciosamente la organización con la que está registrado el dominio para ver si coincide con la que el remitente supuestamente representa. Por ejemplo, resulta poco probable que un empleado de una empresa asociada en Suiza envíe un correo electrónico mediante un dominio desconocido registrado en Malasia.

Por cierto, también es una buena idea utilizar nuestro portal para comprobar los enlaces que aparecen en el correo electrónico cuando parecen sospechosos y utilizar la pestaña de File Analysis para verificar cualquier archivo adjunto del mensaje.

El Threat Intelligence Portal de Kaspersky cuenta con muchas otras funciones útiles, pero la mayoría solo están disponibles para usuarios registrados. Para más información sobre el servicio, visita la pestaña About the Portal.

Cómo protegerse contra el phishing y los correos maliciosos

Aunque comprobar los correos electrónicos sospechosos siempre es una buena idea, evitar que los correos de phishing lleguen a los usuarios es mucho mejor. Por lo tanto, siempre recomendamos instalar soluciones antiphishing a nivel del servidor de correo corporativo.

Además, una solución con protección antiphishing que se ejecute en las estaciones de trabajo bloqueará los redireccionamientos mediante enlaces de phishing, en caso de que los creadores del correo logren engañar al destinatario.

Consejos