Login Probar gratis
Metadatos del email: qué revelan las cabeceras de tus correos

Metadatos del email: qué revelan las cabeceras de tus correos

por MataSpam Privacidad Digital

Las cabeceras de correo son las líneas ocultas que viajan en cada email y revelan mucho más de lo que imaginas: tu IP, el cliente de correo que usas, la ruta que siguió el mensaje y hasta la zona horaria desde la que escribiste. Esos metadatos email son la letra pequeña técnica que casi nadie lee, pero que un analista, un spammer o tú mismo podéis interpretar en treinta segundos. La privacidad email empieza por entender qué información oculta del correo estás regalando sin saberlo. Aquí te explicamos cómo leer los email headers, qué cuentan de ti y cómo usarlos para detectar fraudes antes de picar.

Qué son las cabeceras de un correo y dónde están

Cada email tiene dos partes: el cuerpo (lo que ves) y las cabeceras (lo que no ves). Las cabeceras del correo son pares de "nombre: valor" que documentan el viaje del mensaje desde el remitente hasta tu bandeja.

Verlas es trivial. En Gmail abre el correo, pulsa los tres puntos y elige "Mostrar original". En Outlook, Archivo > Propiedades. En Apple Mail, Ver > Mensaje > Todas las cabeceras. Lo que aparece parece un galimatías, pero tiene un orden.

Los campos más relevantes de estos metadatos del email:

  • Received: cada servidor por el que pasó el mensaje añade una línea. Se leen de abajo hacia arriba. La de más abajo suele revelar la IP de origen real.
  • From / Reply-To: remitente declarado y dirección de respuesta. Cuando no coinciden, sospecha.
  • Return-Path: dónde rebotan los errores. Los spammers lo cambian para no recibir devoluciones.
  • Message-ID: identificador único. Su dominio debería casar con el del remitente.
  • X-Mailer / User-Agent: el programa con el que se redactó (Outlook, Thunderbird, un script de PHP…).
  • Authentication-Results: el veredicto de SPF, DKIM y DMARC. Oro puro para detectar suplantaciones.

Qué revela de ti la información oculta del correo

Cuando envías un email, no mandas solo texto. Mandas una pequeña biografía técnica. Esto es lo que un receptor curioso puede deducir de tus email headers.

Tu dirección IP. Algunos clientes de correo de escritorio incluyen tu IP pública en la primera cabecera Received. Con ella se geolocaliza la ciudad y el proveedor de internet. Los webmails modernos (Gmail, Outlook.com) la ocultan tras sus propios servidores, pero no todos los clientes lo hacen.

Tu software y sistema operativo. El campo X-Mailer puede chivar que usas Outlook 2016 en Windows o Mail en macOS. Para un atacante, saber tu versión exacta es el primer paso para elegir un exploit.

Tu zona horaria y hábitos. La cabecera Date incluye el desfase horario (+0100, +0200). Repetido en varios correos, dibuja tu huso horario y tus horarios de actividad.

Rastreadores invisibles. Más allá de las cabeceras, muchos correos comerciales llevan píxeles de seguimiento: imágenes de 1x1 que avisan al remitente de que abriste el mensaje, cuándo y desde qué dispositivo. Bloquear la carga automática de imágenes corta esa fuga. Si quieres profundizar en el lado del spam, te lo contamos en nuestra guía para evitar el spam en tu email.

Cómo usar las cabeceras para cazar phishing y spoofing

Aquí está la parte divertida. Las mismas cabeceras del correo que te delatan también delatan a quien intenta engañarte.

El truco está en la cabecera Authentication-Results. Busca tres palabras:

  • spf=pass: el servidor que envió el correo está autorizado por el dominio. Si pone fail o softfail, alguien podría estar suplantando.
  • dkim=pass: la firma criptográfica del mensaje es válida y nadie lo manipuló por el camino.
  • dmarc=pass: el correo cumple la política que el dominio publicó. Un dmarc=fail en un supuesto correo de tu banco es una bandera roja del tamaño de un campo de fútbol.

Estos tres protocolos son la columna vertebral de la autenticación moderna. Si no tienes claro cómo encajan, lo desmenuzamos en esta explicación de SPF, DKIM y DMARC. Y para entender el truco concreto de falsificar el remitente, mira cómo funciona el email spoofing.

Señales de alerta clásicas en las cabeceras de un correo fraudulento:

  1. From y Return-Path con dominios distintos. El correo dice venir de "soporte@tubanco.com" pero rebota a un dominio ruso aleatorio.
  2. Reply-To diferente al From. Respondes pensando que escribes al remitente y tu mensaje aterriza en otro buzón.
  3. Received con saltos sospechosos. Un correo "de Correos" que pasó por un servidor doméstico en otro continente.
  4. Message-ID con dominio que no pega. Supuestamente de Amazon, pero el identificador termina en un dominio de hosting barato.

Una herramienta cómoda es MXToolbox Email Header Analyzer: pegas las cabeceras y te las traduce a humano, marcando los fallos de autenticación. Google Admin Toolbox Messageheader hace lo mismo y es gratis. Si quieres comprobar si una IP de origen está en listas negras, VirusTotal y el propio MXToolbox te lo dicen. Y para saber si tu dirección apareció en alguna filtración masiva, Have I Been Pwned sigue siendo la referencia.

Cómo proteger tu privacidad y minimizar los metadatos

No puedes eliminar todas las cabeceras (son necesarias para que el correo llegue), pero sí reducir lo que filtras.

  • Usa webmail en vez de cliente de escritorio cuando la privacidad importe: Gmail, Outlook.com y ProtonMail ocultan tu IP real tras sus servidores.
  • ProtonMail y Tutanota minimizan metadatos por diseño y cifran de extremo a extremo entre usuarios de la plataforma.
  • Bloquea la carga automática de imágenes para neutralizar píxeles de seguimiento. Es una opción nativa en casi todos los clientes.
  • No reenvíes cabeceras sin querer: al reenviar correos sensibles, los headers originales pueden viajar incrustados.
  • Direcciones alias o "burner" (como las de SimpleLogin o Firefox Relay) para registros y newsletters, separando tu identidad real del ruido.

En el plano legal, el RGPD (Reglamento UE 2016/679) y la LOPDGDD española consideran la dirección IP un dato personal cuando permite identificar a alguien. Eso obliga a las empresas a justificar por qué la recogen y guardan. La Agencia Española de Protección de Datos (AEPD) ha sancionado el uso de píxeles de seguimiento sin consentimiento informado. Es decir: esos metadatos no son tierra de nadie, tienen dueño y derechos asociados.

Si gestionas el correo de una empresa, el análisis de cabeceras a escala es parte del trabajo diario de un Centro de Operaciones de Seguridad (SOC), que correlaciona estos metadatos para detectar campañas de ataque. Automatizar ese filtrado con inteligencia artificial es justo el tipo de proyecto que aborda Piqture en soluciones de IA para empresas. Y si te interesa el cacharreo técnico en general, en este blog de herramientas encontrarás más trucos prácticos.

Preguntas frecuentes

¿Puedo ver la dirección IP de quien me envió un correo?

A veces sí. Abre las cabeceras y busca la primera línea Received (la de más abajo). Si el remitente usó un cliente de escritorio, su IP puede aparecer ahí. Los webmails como Gmail u Outlook.com la ocultan tras sus servidores.

¿Qué significa "spf=fail" en las cabeceras de un email?

Significa que el servidor que envió el mensaje no estaba autorizado por el dominio del remitente. Es un indicio fuerte de suplantación. Desconfía, sobre todo si el correo pide datos, pagos o credenciales.

¿Las cabeceras de correo se pueden falsificar?

Sí, campos como From o Reply-To son fáciles de falsear. Por eso existen SPF, DKIM y DMARC: son la capa que sí valida criptográficamente el origen y no se puede falsificar sin la clave privada del dominio legítimo.

¿Cómo analizo las cabeceras sin ser técnico?

Copia todo el bloque de cabeceras y pégalo en MXToolbox Email Header Analyzer o en Google Admin Toolbox Messageheader. Te lo traducen a lenguaje claro y te marcan los fallos de autenticación en rojo.

¿Eliminar las cabeceras protege mi privacidad?

No puedes borrarlas porque el correo no llegaría. Lo que sí puedes hacer es usar servicios que minimizan metadatos (ProtonMail, Tutanota) y webmails que ocultan tu IP, además de bloquear imágenes para frenar el rastreo.

El siguiente paso

Abre ahora mismo el último correo sospechoso de tu bandeja, pulsa "Mostrar original" y busca la línea Authentication-Results. Si ves dmarc=fail o spf=fail en algo que se hace pasar por tu banco, ya sabes qué hacer: a la papelera y a denunciar. Practica con tres correos legítimos primero para acostumbrar el ojo, y la próxima vez que llegue una trampa la cazarás antes de hacer clic.

metadatos email cabeceras correo email headers privacidad email información oculta correo
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Anonimización vs pseudonimización: diferencias clave en protección de datos
Privacidad Digital

Anonimización vs pseudonimización: diferencias clave en protección de datos

Data brokers: cómo eliminar tus datos personales de internet paso a paso
Privacidad Digital

Data brokers: cómo eliminar tus datos personales de internet paso a paso

Reglamento de IA de la UE: cómo afecta a tu privacidad en 2026
Privacidad Digital

Reglamento de IA de la UE: cómo afecta a tu privacidad en 2026

← Volver al blog