Ver la IP de un correo recibido

Hoy me preguntaron cuál es el servicio de Email Tracking que había utilizado en el post sobre el estafador nigeriano, para contestar aprovecho el tema y publico un mini post :)

Todos los correos que recibimos tienen una sección conocida como encabezado, cabecera o header, allí se incluye información sobre el mensaje como quién lo envía, la fecha, el camino recorrido hasta nuestra bandeja de entrada, IPs, etc. Parte de esta información siempre la vemos y otra está oculta, pero se puede visualizar fácilmente.

En Hotmail y Gmail, por ejemplo, hay que hacer clic en el menú Responder y seleccionar «Ver código fuente del mensaje» y «Mostrar original«, respectivamente:

encabezado del correo

En ambos casos se abrirá una nueva pestaña o página con la información del encabezado que será todo lo que esté por encima del contenido mismo del mensaje:

ejemplo de encabezado de correo
Encabezado del correo

Si bien interpretar esta información no es complicado (hay que buscar el campo X-Originating-IP), puede resultar confusa y por eso existen algunas herramientas online que permiten detectar la IP de forma rápida y sencilla con un clic, simplemente se debe copiar y pegar el encabezado.

Email Trace – Email Tracking de ip-adress.com [enlace]:

servicio para rastrear el correo

Se copia el encabezado y se hace clic en el botón «Trace Email Sender», el resultado será la IP del remitente, el país y su ubicación aproximada en Google Maps.

Hay que tener en cuenta que no siempre es posible ver la IP de la persona que envía el correo, en algunos casos solo vemos la IP del servicio utilizado para enviar el mensaje. Esto sucede, por ejemplo, cuando el mensaje es enviado desde Outlook o Gmail… lo que vemos como origen es una IP de Estados Unidos donde se encuentran los servidores de estos servicios.

Los encabezados de un correo falso pueden ser muy interesantes, no sólo porque se pueden ver IPs, sino porque a veces se pueden encontrar datos que revelan información personal de los atacantes :)

Ver también:
Descubrir de quién es un sitio realmente.

26 comentarios en «Ver la IP de un correo recibido»

  1. Hola Julian, no es posible obtener el correo porque es algo que Facebook mantiene de forma privada, salvo que la persona decida compartirlo, en este caso lo podrías ver en su perfil.

    Responder
  2. Muchas gracias por compartir tu tiempo y conocimientos con aquel que quiera leerte.
    Me gustaría saber si hay alguna forma de conocer ¿que dirección de correo electronico realiza una anotación en tu cuenta de facebook?, aunque me he colocado sobre la presona que hace el comentario y he visualizado, Inspeccionar elemento, no he encontrado nada que me pueda indicar la dirección de correo, ¿Como lo puedo ver?, gracias nuevamente por tu ayuda y tu tiempo.

    Responder
  3. BUEN POST.
    SOLO QUE NO ENCUENTRO LA IP DE QUIEN ME ENVIO EL CORREO, QUIERO SABER LA IP Y DE DONDE ES EL ORIGEN. TE ANEXO LA INFORMACION G R A C I A S.

    x-store-info:SmXCjkY1Un5L3qlTmewTw2528Vzv4BD3UCBZqePmdNyFItxjtuU/nlyjfeQbsIi+XzvpRAevhbQ2dfi3HQ1MUsJU9n4A02AezhzRDaIXKFS8MrNijRonlR0DldXDHTCZ23yyTstGa6U=
    Authentication-Results: hotmail.com; spf=pass (sender IP is 173.203.187.89) smtp.mailfrom=ventas@example.com; dkim=none header.d=example.com; x-hmca=pass header.id=ventas@example.com
    X-SID-PRA: ventas@example.com
    X-AUTH-Result: PASS
    X-SID-Result: PASS
    X-Message-Status: n:n
    X-Message-Delivery: Vj0xLjE7dXM9MTtsPTE7YT0xO0Q9MDtHRD0wO1NDTD0w
    X-Message-Info: quK5FA==
    Received: from smtp89.iad3a.emailsrvr.com ([173.203.187.89]) by BAY004-MC5F16.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143);
    Wed, 23 Dec 2015 14:18:05 -0800
    Received: from smtp4.relay.iad3a.emailsrvr.com (localhost.localdomain [127.0.0.1])
    by smtp4.relay.iad3a.emailsrvr.com (SMTP Server) with ESMTP id 3D9DB280129
    for ; Wed, 23 Dec 2015 17:18:05 -0500 (EST)
    Received: from app7.wa-webapps.iad3a (relay-webapps.rsapps.net [172.27.255.140])
    by smtp4.relay.iad3a.emailsrvr.com (SMTP Server) with ESMTP id E3BBF280293
    for ; Wed, 23 Dec 2015 17:18:04 -0500 (EST)
    X-Sender-Id: ventas@example.com
    Received: from app7.wa-webapps.iad3a (relay-webapps.rsapps.net [172.27.255.140])
    by 0.0.0.0:25 (trex/5.5.4);
    Wed, 23 Dec 2015 17:18:05 -0500
    Received: from example.com (localhost.localdomain [127.0.0.1])
    by app7.wa-webapps.iad3a (Postfix) with ESMTP id 417F3380056
    for ; Wed, 23 Dec 2015 17:18:04 -0500 (EST)
    Received: by webmail.jimdo.com
    (Authenticated sender: ventas@example.com, from: ventas@example.com)
    with HTTP; Wed, 23 Dec 2015 17:18:04 -0500 (EST)
    Date: Wed, 23 Dec 2015 17:18:04 -0500 (EST)
    Subject: Fotos
    From: ventas@example.com
    To: «example»
    MIME-Version: 1.0
    Content-Type: multipart/mixed;boundary=»—-=_20151223171804000000_73650″
    Importance: Normal
    X-Priority: 3 (Normal)
    X-Type: html
    In-Reply-To:
    References:

    Responder
  4. @VITOLO, lo único que se puede hacer es lo que comento en el post. Con Gmail no puedes ver la IP del computador de la persona. Un saludo

    Responder
  5. si un correo gmail que es de google y la ip es de estados unidos como se busca la ip de la pc se podra buscar por nombre de maquina o por la max por favor dime como ubico esa ip o algun programa espia enviarlo por correo dime o contestame por favor que me estan molestando

    Responder
  6. Hola Gabriel, en casos así el departamento de delitos informáticos de la policía podría ayudarte, ya que sabrán qué mirar y como presentar la prueba de forma adecuada para que el juez la entienda.

    Responder
  7. Hola SpamLoco:

    Espero aun estes al pendiente de este interesante, y para mí, importantisimo post…

    Por lo que veo tu grado de conocimiento al respecto es basto, y hay varias preguntas que para un asunto legal en el que me encuentro enredado, he buscado una forma de poder hacer entender de manera objetiva a un Juez, (mediante la direccion de envio del correo y los datos que entiendo que este genera para validarse ), que determinado correo salio de una cuenta especifica de yahoo, y no es un intento posterior por «inventar» dicho correo.

    Cualquier sugerencia o apoyo que me dieras, te estre eternamente agradecido, sino es que incluso, si geograficamente no es posible, remunerado d emanera adecuada.

    Responder
  8. muy buenos aportes, yo me habia deskargado ese pro webcam pero despues de leer tu aporte lo elimine, aunke no se instala nada en la maquina ni tampoco te lo detecta como virus el antivirus, y sobre este aporte, es buenismo, mi unica duda, viendo de donde proviene el correo de la ciudad y las latitudes vista desde el google maps a la ubicacion que te lleva dandole zoom, es en donde se encuentra el servidor principal cierto? en mi caso, mega cable jamas te va a dar la ip de el modem verdad?

    Excelente aporte kreo ke me suscribire ya ke haces excelentes post.

    Responder
    • Hola Luis, los datos de ubicación que te aparecen son aproximados, como mencionas es un servidor principal de la ciudad o país.

      La dirección exacta de la persona que lo envía no se puede saber, eso sólo lo sabe la operadora de internet y no es información que se comparta públicamente.

      Responder
  9. Mi estimado ,sus correos me llegan a veces y otras no, con todo le agradezco mucho su cooperación y a modo de petición le rogaria que titule sus correos pues así es más facil acceder a la información deseada, de antemano le agradesco y mucho por su ayuda, saludos.

    Responder
    • Hola Alvar, gracias por la sugerencia.

      Si lo deseas puedes suscribirte al boletín que envío cada unos 15 días, arriba a la izquierda está el formulario. El otro boletín son correos que se envían automáticamente gracias a un servicio de Google, simplemente es una suscripción al RSS y cuando hay nuevos artículos se envían por correo diariamente.

      El de 15 días lo escribo yo y puedo personalizarlo.

      Un saludo.

      Responder
  10. La pregunta es: Una vez teniendo la ip, siempre dara curiosidad de saber la ubicacion real ((Geolocalizacion) de ese esuipo en un mapa, como en las peliculas ,que cojen al tipo malo y lo ubican en el mapa por su ip
    Como se logra esto?

    Responder
  11. Hola Dahnay, no hay forma de obtener una ubicación más cercana, lo máximo que se puede saber con estas herramientas es la ciudad.

    Telmex sabe quién es el cliente que usa esa IP y dónde vive, pero esa información no la comparten públicamente.

    Responder
  12. buu se me borro el comment, bueno va de nuevo.

    Me sorprendio este Post Alejandro parece que me leiste el pensamiento pues justamente el día de ayer me estaba volviendo loca tratando de averiguar la IP de un correo Hotmail pues yo la que me sabía era que estando en la bandeja correspondiente, en este caso la de entrada se colocaba el cursor encima del mensaje sin haber abierto este, click derecho y mostrar el codigo sin embargo ya no funciona de este modo por lo que tu Post me salvo el día, Gracias

    La duda que tengo es la siguiente, yo actual y temporalmente vivo en Cd. de México y en este país el servicio de acceso a internet por lo que he escuchado esta casí en un 85% controlado por un solo operador que en este caso es Telmex a través de su servicio Internet de Prodigy ó sea casi 8.5 personas de cada 10 lo utilizan y la inquietud que tengo es que cuando llego a hacer un trace route de una IP de esta misma ciudad el resultado de ubicación siempre es el mismo, en este caso es este :

    http://www.ip-adress.com/map/Map_of_Mexico_in_Distrito_Federal_in_Mexico/21860388c36166890d1de45996153921

    El problema aquí es que estamos hablando que Cd. de México tiene una población de más de 20 millones de personas lo cual vuelve el resultado del mapa bastante pobre pues entre tanta gente, imaginate! , si fuese una pequeña población, bueno, me daría una idea , pero en una ciudad de esta magnitud ?

    Existirá algún modo de poder obtener un resultado visual más detallado o proximo ? yo cuando se da la necesidad llego a utilizar una pagina llamada
    http://network-tools.com/ pero me da los mismos resultados que las que expones en el Post, sera imposible averiguar más?

    según yo he recibido 2 intentos de ataque por parte de esta IP y la tengo bloqueada en mi firewall pero aún asi me gustaría mucho saber una ubicación mas especifica, desde yá Gracias, muy buen Post

    Saludos

    Responder
  13. Gracias a todos por los comentarios.

    @Jorge257, a veces cuando utilizan servidores de correo propios se puede ver su IP o dominio, a partir de ahí con algunos whois y reverse ip se puede saber quién lo envía realmente o al menos quién está a cargo de ese servidor.

    Este es un ejemplo real: ver captura.

    Es el encabezado de un correo falso de Tuenti que me llegó, es enviado desde un servidor de Rusia (www.valuehost.ru) que pudo ser contratado por cualquiera.

    Pero uno de los campos del encabezado incluye un dominio .info… buscando información asociada a ese dominio descubrí que el correo falso era enviado desde un servicio de phishing con sede en Argentina, tengo el teléfono, dirección, etc del registrante o posible registrante porque podrían ser datos falsos, pero más allá de eso, la información quedó expuesta sólo por el encabezado :)

    Responder
  14. Oyes que bien. Aunque me dejaste pensando sobre la parte última. información personal de los atacantes? como ¿Qué?. Yo sé que todas las PCs tienen un MAC address único tambien. No sé si a eso te refires. A lo mejor te refieres a que podemos ver algún perfil del remitente.
    GRAcias por la entrada del día de hoy.

    Responder
  15. Acabo de aprender algo nuevo, y en serio q estoy entre sorprendido y muy agradecido! es información muy atractiva! y lo hiciste ver tan sencillo, y yo que nunca había hecho ni el intento!!
    gracias!

    Responder

Deja un comentario