Técnico

Cabeceras de Email

Información técnica oculta en cada correo electrónico que revela la ruta de entrega, servidores intermedios, direcciones IP y metadatos que permiten verificar su autenticidad.

4 min de lectura

¿Qué son las Cabeceras de Email?

Las cabeceras de email (email headers) son metadatos técnicos que acompañan a cada correo electrónico. Aunque normalmente están ocultas, contienen información crucial sobre el origen, ruta y autenticidad del mensaje.

Analogía

Si el email fuera una carta postal, las cabeceras serían todos los sellos y marcas que los carteros van poniendo en cada oficina de correos por donde pasa. Revelan el viaje completo del mensaje.

Las cabeceras son fundamentales en análisis forense porque:

  • Revelan el origen real del correo
  • Muestran la ruta de entrega completa
  • Contienen timestamps de cada servidor
  • Incluyen verificaciones de autenticidad
  • Son difíciles de falsificar completamente

Estructura de las Cabeceras

Campos Principales

CampoDescripciónEjemplo
FromRemitente (puede falsificarse)From: [email protected]
ToDestinatarioTo: [email protected]
SubjectAsunto del mensajeSubject: Propuesta comercial
DateFecha de envíoDate: Fri, 3 Jan 2025 10:30:00 +0100
Message-IDIdentificador únicoMessage-ID: <[email protected]>
ReceivedServidores por donde pasóMúltiples entradas

Campos de Autenticación

CampoFunción
SPFVerifica que el servidor está autorizado a enviar
DKIMFirma criptográfica del dominio
DMARCPolítica de autenticación del dominio
ARCCadena de autenticación para reenvíos

Ejemplo de Cabeceras Completas

headers.txt
text
Delivered-To: [email protected]
Received: by 2002:a17:90a:1234:0:0:0:0 with SMTP id abc123;
        Fri, 3 Jan 2025 01:30:45 -0800 (PST)
Received: from mail.empresa.com (mail.empresa.com [203.0.113.50])
        by mx.google.com with ESMTPS id xyz789
        for <[email protected]>;
        Fri, 3 Jan 2025 01:30:44 -0800 (PST)
Received: from [192.168.1.100] (unknown [85.123.45.67])
        by mail.empresa.com with ESMTPSA id abc456;
        Fri, 3 Jan 2025 10:30:42 +0100 (CET)
Authentication-Results: mx.google.com;
       dkim=pass header.d=empresa.com;
       spf=pass (google.com: domain of [email protected] designates 
           203.0.113.50 as permitted sender);
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=empresa.com
From: Juan Garcia <[email protected]>
To: Maria Lopez <[email protected]>
Subject: Propuesta comercial
Date: Fri, 3 Jan 2025 10:30:40 +0100
Message-ID: <[email protected]>
X-Mailer: Microsoft Outlook 16.0

Cómo Leer las Cabeceras “Received”

Las cabeceras Received se leen de abajo hacia arriba (la más antigua está abajo):

  1. Origen: El primer Received (el de más abajo) muestra dónde se originó el email. IP: 85.123.45.67

  2. Servidor del remitente: El email pasa por mail.empresa.com (IP: 203.0.113.50)

  3. Servidor del destinatario: Google recibe el email en mx.google.com

  4. Entrega final: El email llega al buzón del destinatario

Análisis Forense de Cabeceras

Verificar Autenticidad

Email Auténtico

Un email es probablemente auténtico si:

  • SPF = pass
  • DKIM = pass
  • DMARC = pass
  • Las IPs corresponden al dominio del remitente
Email Sospechoso

Señales de alerta:

  • SPF = fail o softfail
  • DKIM = fail o ausente
  • IPs de países inesperados
  • Inconsistencias en timestamps
  • Cabeceras incompletas o manipuladas

Rastrear Origen

ANÁLISIS DE ORIGEN

Campo Received más antiguo:
  from [192.168.1.100] (unknown [85.123.45.67])

IP de origen: 85.123.45.67

Geolocalización: Madrid, España (Telefónica)
Tipo: IP residencial
ISP: Movistar

CONCLUSIÓN: El email se envió desde una conexión 
residencial de Movistar en Madrid.

Herramientas de Análisis

HerramientaTipoFunción
MXToolboxOnlineAnálisis completo de cabeceras
Google Admin ToolboxOnlineAnalizador de headers
Mail Header AnalyzerOnlineVisualización de ruta
WiresharkSoftwareCaptura de tráfico SMTP
MailXaminerForenseAnálisis profesional

Falsificación de Cabeceras

Qué se Puede Falsificar

  • From: Fácil de falsificar (spoofing)
  • Reply-To: Fácil de falsificar
  • Subject: Fácil de falsificar
  • Date: Fácil de falsificar

Qué es Difícil de Falsificar

  • Received de servidores intermedios
  • Authentication-Results de servidores receptores
  • Message-ID coherente con el servidor
  • IPs de servidores legítimos
Spoofing

Un atacante puede hacer que un email parezca venir de [email protected], pero las cabeceras revelarán que realmente se envió desde otro servidor. Por eso SPF, DKIM y DMARC son cruciales.

Casos de Uso Forense

Caso 1: Phishing

Análisis de cabeceras revela que un email supuestamente del banco:

  • Tiene SPF = fail
  • Se envió desde IP en Nigeria
  • El dominio real es banco-seguro.xyz no banco.es

Caso 2: Amenazas Anónimas

Las cabeceras muestran:

  • IP de origen: conexión residencial en Sevilla
  • Proveedor: Vodafone
  • Con orden judicial, el ISP puede identificar al titular

Caso 3: Disputa Contractual

Se cuestiona si un email de aceptación fue enviado realmente:

  • DKIM = pass confirma que el servidor del remitente lo firmó
  • Timestamp coherente con otros emails de la conversación
  • Message-ID sigue el patrón del servidor corporativo

Valor Probatorio

Las cabeceras de email tienen alto valor probatorio cuando:

  1. Se extraen forensemente del servidor o cliente
  2. Se preserva la cadena de custodia
  3. Se analizan por un perito cualificado
  4. Se cruzan con otras evidencias (logs del servidor, etc.)
Mejor Evidencia

Las cabeceras obtenidas del servidor de correo (no del cliente del usuario) tienen mayor valor, ya que el usuario no pudo manipularlas.

Conclusión

Las cabeceras de email son una fuente de evidencia fundamental en análisis forense. Revelan información que el remitente no puede ocultar fácilmente y permiten verificar la autenticidad de las comunicaciones. Un perito competente sabe extraerlas, analizarlas y presentar los hallazgos de forma comprensible para el tribunal.

Última actualización: 3 de enero de 2025
Categoría: Técnico
Código: CEM-001

Preguntas Frecuentes

¿Cómo puedo ver las cabeceras de un email?

En Gmail: abrir el email > tres puntos > 'Mostrar original'. En Outlook: abrir el email > Archivo > Propiedades > 'Encabezados de Internet'. Cada cliente tiene su método específico.

¿Se pueden falsificar las cabeceras de un email?

Parcialmente. El remitente puede falsificar algunos campos (From, Reply-To), pero los servidores intermedios añaden sus propias cabeceras que son muy difíciles de manipular.

¿Qué información revela la cabecera de un email?

Revela la ruta completa del correo, IPs de los servidores, fecha y hora de cada salto, cliente de correo usado, y si pasó verificaciones de autenticidad (SPF, DKIM, DMARC).

Términos Relacionados

Metadatos

Datos sobre los datos: información adicional embebida en archivos digitales que describe cuándo, dónde, cómo y por quién fueron creados o modificados.

Evidencia Digital

Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.

Análisis Forense Digital

Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.

Dirección IP

Identificador numérico único asignado a cada dispositivo conectado a una red, que permite rastrear el origen de conexiones y actividades en Internet.

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita