Monday, February 17, 2014

Análisis de cabeceras del falso correo del SRI.

El 11 de febrero, el SRI lanza un comunicado indicando que el correo falso fue  enviado desde un servidor externo ubicado en México. Ver aquí el comunicado

EL 16 de febrero, Luis A. Solís muestra un análisis de cabeceras donde él indica que el origen es México. Sin embargo, no se ve los nombres de los servers o direcciones IPs utilizadas para enviar el correo fraudulento. Sería interesante ver las cabeceras completas de dicho correo electrónico. El análisis de Luis Solís lo pueden ver acá.

El día de hoy (Febrero, 17 2014), solicité que me envíen un screenshot de las cabeceras del correo falso del SRI a las personas que leen mi timeline en Twitter y que tengan todavía dicho correo en su bandeja de entrada. Varias personas atendieron mi pedido y me enviaron aquella información.

Las cabeceras de los correos me fueron enviadas como archivos gráficos. Para proteger la privacidad de las direcciones de correo y de los servidores de correo de algunos usuarios, oculté datos sensibles con una sombra negra. La dirección del servidor desde donde se envió el correo falso del SRI está subrayado con rojo en cada gráfico.

A continuación, sólo mostraré las cabeceras y el origen común que todos esos correos tienen.


Caso 1: Cabeceras enviadas por @carlosandresbn


Fecha de envío: 11 Feb 2014 12:23:22 -0800
IP de servidor desde donde se envió correo falso: 173.237.191.130

Caso 2: Cabeceras enviadas por @rbonifaz





Fecha de envío: 11 Feb 2014 06:58:23 -0800
IP de servidor desde donde se envió correo falso: 173.237.191.130

Caso 3: Cabeceras enviadas por @pesadilla24




Fecha de envío: 11 Feb 2014 12:23:21 -0800
IP de servidor desde donde se envió correo falso: 173.237.191.130

Caso 4: Cabeceras enviadas por @izurietavarea



Fecha de envío: 11 Feb 2014 09:01:06 -0600
IP de servidor desde donde se envió correo falso: 173.237.191.130


Más información sobre como leer cabeceras de correo acá

Received

The received is the most important part of the email header and is usually the most reliable. They form a list of all the servers/computers through which the message traveled in order to reach you. 

The received lines are best read from bottom to top. That is, the first "Received:" line is your own system or mail server. The last "Received:" line is where the mail originated. Each mail system has their own style of "Received:" line. A "Received:" line typically identifies the machine that received the mail and the machine from which the mail was received.


Al buscar la ubicación de la IP 173.237.191.130, el resultado indica que ese servidor se encuentra en Estados Unidos mas no en México.

Así lo confirma las siguientes herramientas:

GEOBYTES.COM

INFOSNIPER.NET

IPLOCATION.NET







En base a la información de las cabeceras de estos 4 correos electrónicos se puede concluir:

1) Que la dirección del servidor origen desde donde se envió el email falso del SRI es  173.237.191.130

2) Que la ubicación del servidor desde donde se envió el correo falso del SRI es Estados Unidos

3) Que no existen datos adicionales en las cabeceras de los 4 correos analizados para determinar la identidad de la persona o grupo de personas que enviaron dicho correo falso.

Agradezco a los usuarios de Twitter antes mencionados por proporcionarme la información de las cabeceras de los correos falsos del SRI.