Rastrear el origen del spam

En esta entrada vamos a tratar un tema interesante: el spam que continuamente nos llega a nuestro mail. Vamos a utilizar de ejemplo un mail que ultimamente me llega mucho a lguna de las cuentas que tengo, y en el que te indican que debes actualizar los datos de noseque banco para poder desbloquear tu cuenta.



Para empezar vemos varios detalles que nos pueden hacer sospechar: en el primer parrafo nos informa de que ha habido un problema con una cuenta de Bankia, sin embargo en la direccion de origen y en el resto del mail se nos indica que es de BBVA; o que los enlaces no nos llevan a donde indican, sino a otra direccion que nada tiene que ver con un banco (ni siquieran son https).

Viendo el código fuente del mensaje, vemos la IP de la que procede el mail, en este caso 81.94.206.18





Medianta la geolocalización de IP, aquí utilizaremos el servicio que nos ofrece ADSLayuda, podemos averiguar desde qué región se nos ha mandado el mail:



Vemos que el dominio al que pertenece esta IP es Redstation.net.uk. Ahora, nos vamos a alguna web tipo whois (por ejemplo http://whois.domaintools.com/)y averiguaremos datos sobre este dominio:

Domain name:
        redstation.net.uk

    Registrant:
        Redstation Limited

    Registrant type:
        UK Limited Company, (Company number: 3590745)

    Registrant's address:
        2 Frater Gate Business Park
        Aerodrome Road
        Gosport
        Hampshire
        PO13 0GW
        United Kingdom

    Registrar:
        Redstation Limited [Tag = REDSTATION]
        URL: http://www.redstation.com

    Relevant dates:
        Registered on: 11-Apr-2005
        Renewal date:  11-Apr-2013
        Last updated:  03-Apr-2011

    Registration status:
        Registered until renewal date.

    Name servers:
        dns1.redstation.co.uk     80.84.49.135
        dns2.redstation.co.uk     80.84.49.136

Si vamos al dominio que nos indica, redstation.com, vemos que es una empresa que ofrece servidores dedicados para alojar website o lo que desees.

Veamos ahora otro ejemplo de mail, que proviene de un lugar distinto. El contenido del mail es parecido, pero la IP es distinta:



Aquí la IP es 81.208.35.150. Y geolocalizandola vemos que proviene de Italia, en concreto de Bolonia:




Pero en este caso, no sabemos porqué razón, no aparece el dominio. Quizá en este caso la web no esté alojada en una empresa de hosting, sino en un servidor más "particular".

Cómo ya habréis podido averiguar, y si no os lo digo yo, éste método no sirve sólo para averiguar el origen del spam, sino que lo podremos utilizar en cualquier mail que nos llegue al correo.