Ejemplo de Correos Fraudulentos II

Se "Extrae" el encabezado para analizar en messageheader

El atacante utilizó una técnica llamada Email Spoofing (Suplantación de identidad por correo).

Para validar en el sitio de Google https://toolbox.googleapps.com/apps/messageheader se extrae el encabezado.

Analizarlo en messageheader

Se pega lo copiado en el paso anterior en el sitio de Google https://toolbox.googleapps.com/apps/messageheader

Resultado del Analisis en messageheader

Se observa el informe del sitio de Google https://toolbox.googleapps.com/apps/messageheader

¿Qué hacer con el resultado del informe de messageheader?

Lo puede copiar y pegar en Gemini y que le explique y justifique el resultado.

¿Cómo hizo el Hacker para que aparezca tu correo?

El atacante utilizó una técnica llamada Email Spoofing (Suplantación de identidad por correo).

El correo electrónico funciona igual que el correo postal de papel tradicional. Si tú compras un sobre y una estampilla, puedes escribir en la carta lo que quieras y, en el remitente (en la parte de atrás del sobre), puedes poner que la carta la envía el Presidente, tu vecino o tú mismo. El cartero simplemente la entregará en el destino sin verificar si el remitente escrito con bolígrafo es real.

En el mundo digital, el protocolo que envía correos (SMTP) permite hacer exactamente lo mismo si el servidor que recibe el mensaje no tiene las defensas al máximo. El atacante usó un programa para simular que el correo salía de bombinal@ufasta.edu.ar hacia bombinal@ufasta.edu.ar.

Las pruebas de messageheader (en tu informe de Google)

En la imagen de la herramienta oficial de Google, podemos ver el "engaño" al descubierto:

• La IP Real del Atacante: En la tabla de la imagen image_29a29a.png, en la fila del paso 0, se ve claramente que el correo provino de la dirección IP [103.115.24.79] (y la cabecera menciona la 103.115.24.64). Esas IPs no pertenecen a los servidores de la Universidad Fasta (ufasta.edu.ar), sino a un servidor remoto (probablemente una computadora infectada o un servidor en el extranjero utilizado para enviar spam).

• El fallo de autenticidad (SPF: softfail): En la imagen, en el apartado técnico, Google Admin te marca en color naranja un aviso muy importante: SPF: softfail con la IP Unknown!. Esto significa que cuando el servidor de Google recibió el correo, miró la firma de la Universidad Fasta y dijo: "Un momento... este correo dice venir de ufasta.edu.ar, pero viene de una IP desconocida que no está autorizada por la universidad".

• DMARC=fail: En el texto de la cabecera que pegaste aparece la línea dmarc=fail (p=QUARANTINE). Esto confirma al 100% que el correo falló las pruebas de seguridad de identidad.

¿Por qué te llegó si falló la seguridad? Como el dominio de la universidad tiene configurado un "softfail" (falla leve) o una política de cuarentena, el correo no se destruyó automáticamente en el servidor, sino que se dejó pasar, probablemente directo a tu carpeta de Spam o Correo No Deseado (o llegó a la bandeja principal porque los filtros interpretaron de forma laxa la regla).

¿Qué hacer con el Correo?

1. No pagues nada: No tienen ningún video ni tus contactos. Es una mentira diseñada para infundir miedo.

2. No respondas el correo: Si respondes, sabrán que tu cuenta está activa y te enviarán más spam.

3. Márcalo como Spam / Phishing: En tu lector de correo, selecciona el mensaje y presiona "Marcar como spam" o "Denunciar phishing" para ayudar a que los filtros automáticos aprendan a bloquearlo mejor.

4. Por tranquilidad mental: Cambia la contraseña de tu correo de la universidad y asegúrate de tener activada la verificación en dos pasos (2FA), solo como buena práctica de seguridad, aunque en este caso específico nadie haya adivinado tu contraseña.