Hoy me preguntaron cuál es el servicio de Email Tracking que había utilizado en el post sobre el estafador nigeriano, para contestar aprovecho el tema y publico un mini post 
Todos los correos que recibimos tienen una sección conocida como encabezado, cabecera o header, allí se incluye información sobre el mensaje como quién lo envía, la fecha, el camino recorrido hasta nuestra bandeja de entrada, IPs, etc. Parte de esta información siempre la vemos y otra está oculta, pero se puede visualizar fácilmente.
En Hotmail y Gmail, por ejemplo, hay que hacer clic en el menú Responder y seleccionar “Ver código fuente del mensaje” y “Mostrar original“, respectivamente:
En ambos casos se abrirá una nueva pestaña o página con la información del encabezado que será todo lo que esté por encima del contenido mismo del mensaje:
Ejemplo de un encabezadoSi bien interpretar esta información no es complicado (hay que buscar el campo X-Originating-IP), puede resultar confusa y por eso existen algunas herramientas online que permiten detectar la IP de forma rápida y sencilla con un clic, simplemente se debe copiar y pegar el encabezado.
Email Trace – Email Tracking de ip-adress.com [enlace]:
Se copia el encabezado y se hace clic en el botón “Trace Email Sender”, el resultado será la IP del remitente, el país y su ubicación aproximada en Google Maps.
SpamLocator de geobytes.com [enlace]:
(clic para ver más grande)Se hace lo mismo, el resultado será la IP del remitente, país y camino recorrido (servidores). En este ejemplo se puede ver que el mensaje partió desde Nigeria, pasó por Estados Unidos y finalmente llegó a mi país (aunque la IP de Uruguay no la obtiene del encabezado, sino de mi ubicación actual donde se supone que abro el correo).
El pasaje por Estados Unidos se debió a que el remitente utilizó una cuenta basada en Hotmail, para obtener información sobre las IPs podemos utilizar whois.domaintools.com:
Esta IP pertenece a MicrosoftHay que tener en cuenta que no siempre es posible ver la IP de la persona que envía el correo, en algunos casos sólo vemos la IP del servicio utilizado. Esto sucede, por ejemplo, cuando el mensaje es enviado desde Gmail… lo que vemos como origen es una IP de Google en Estados Unidos.
Los encabezados de un correo falso pueden ser muy interesantes, no sólo porque se pueden ver IPs, sino porque a veces se pueden encontrar datos que revelan información personal de los atacantes
Ver también:
Descubrir de quién es un sitio realmente.
Excelente información =)
Además llevas de la mano al lector.
Excelente forma de explicarlo, solo así los "burros"como yo logramos entender, gracias por la información.
Acabo de aprender algo nuevo, y en serio q estoy entre sorprendido y muy agradecido! es información muy atractiva! y lo hiciste ver tan sencillo, y yo que nunca había hecho ni el intento!!
gracias!
Oyes que bien. Aunque me dejaste pensando sobre la parte última. información personal de los atacantes? como ¿Qué?. Yo sé que todas las PCs tienen un MAC address único tambien. No sé si a eso te refires. A lo mejor te refieres a que podemos ver algún perfil del remitente.
GRAcias por la entrada del día de hoy.
Gracias a todos por los comentarios.
@Jorge257, a veces cuando utilizan servidores de correo propios se puede ver su IP o dominio, a partir de ahí con algunos whois y reverse ip se puede saber quién lo envía realmente o al menos quién está a cargo de ese servidor.
Este es un ejemplo real: ver captura.
Es el encabezado de un correo falso de Tuenti que me llegó, es enviado desde un servidor de Rusia (www.valuehost.ru) que pudo ser contratado por cualquiera.
Pero uno de los campos del encabezado incluye un dominio .info… buscando información asociada a ese dominio descubrí que el correo falso era enviado desde un servicio de phishing con sede en Argentina, tengo el teléfono, dirección, etc del registrante o posible registrante porque podrían ser datos falsos, pero más allá de eso, la información quedó expuesta sólo por el encabezado
buu se me borro el comment, bueno va de nuevo.
Me sorprendio este Post Alejandro parece que me leiste el pensamiento pues justamente el día de ayer me estaba volviendo loca tratando de averiguar la IP de un correo Hotmail pues yo la que me sabía era que estando en la bandeja correspondiente, en este caso la de entrada se colocaba el cursor encima del mensaje sin haber abierto este, click derecho y mostrar el codigo sin embargo ya no funciona de este modo por lo que tu Post me salvo el día, Gracias
La duda que tengo es la siguiente, yo actual y temporalmente vivo en Cd. de México y en este país el servicio de acceso a internet por lo que he escuchado esta casí en un 85% controlado por un solo operador que en este caso es Telmex a través de su servicio Internet de Prodigy ó sea casi 8.5 personas de cada 10 lo utilizan y la inquietud que tengo es que cuando llego a hacer un trace route de una IP de esta misma ciudad el resultado de ubicación siempre es el mismo, en este caso es este :
http://www.ip-adress.com/map/Map_of_Mexico_in_Distrito_Federal_in_Mexico/21860388c36166890d1de45996153921
El problema aquí es que estamos hablando que Cd. de México tiene una población de más de 20 millones de personas lo cual vuelve el resultado del mapa bastante pobre pues entre tanta gente, imaginate! , si fuese una pequeña población, bueno, me daría una idea , pero en una ciudad de esta magnitud ?
Existirá algún modo de poder obtener un resultado visual más detallado o proximo ? yo cuando se da la necesidad llego a utilizar una pagina llamada
http://network-tools.com/ pero me da los mismos resultados que las que expones en el Post, sera imposible averiguar más?
según yo he recibido 2 intentos de ataque por parte de esta IP y la tengo bloqueada en mi firewall pero aún asi me gustaría mucho saber una ubicación mas especifica, desde yá Gracias, muy buen Post
Saludos
Hola Dahnay, no hay forma de obtener una ubicación más cercana, lo máximo que se puede saber con estas herramientas es la ciudad.
Telmex sabe quién es el cliente que usa esa IP y dónde vive, pero esa información no la comparten públicamente.
Buen aporte.
Un Saludo.
Ni hablar aún asi muchas Gracias
@Andromeda, gracias.
@Dahnay, por nada, pero bueno al menos sabes que el mensaje es enviado por alguien de México
La pregunta es: Una vez teniendo la ip, siempre dara curiosidad de saber la ubicacion real ((Geolocalizacion) de ese esuipo en un mapa, como en las peliculas ,que cojen al tipo malo y lo ubican en el mapa por su ip
Como se logra esto?
No se puede, esa información sólo la tiene la operadora de internet y no la comparten publicamente
Mi estimado ,sus correos me llegan a veces y otras no, con todo le agradezco mucho su cooperación y a modo de petición le rogaria que titule sus correos pues así es más facil acceder a la información deseada, de antemano le agradesco y mucho por su ayuda, saludos.
Hola Alvar, gracias por la sugerencia.
Si lo deseas puedes suscribirte al boletín que envío cada unos 15 días, arriba a la izquierda está el formulario. El otro boletín son correos que se envían automáticamente gracias a un servicio de Google, simplemente es una suscripción al RSS y cuando hay nuevos artículos se envían por correo diariamente.
El de 15 días lo escribo yo y puedo personalizarlo.
Un saludo.
muy buenos aportes, yo me habia deskargado ese pro webcam pero despues de leer tu aporte lo elimine, aunke no se instala nada en la maquina ni tampoco te lo detecta como virus el antivirus, y sobre este aporte, es buenismo, mi unica duda, viendo de donde proviene el correo de la ciudad y las latitudes vista desde el google maps a la ubicacion que te lleva dandole zoom, es en donde se encuentra el servidor principal cierto? en mi caso, mega cable jamas te va a dar la ip de el modem verdad?
Excelente aporte kreo ke me suscribire ya ke haces excelentes post.
Hola Luis, los datos de ubicación que te aparecen son aproximados, como mencionas es un servidor principal de la ciudad o país.
La dirección exacta de la persona que lo envía no se puede saber, eso sólo lo sabe la operadora de internet y no es información que se comparta públicamente.
http://www.ip-adress.com/trace_email/
Perfecto!!!