El SPAM es uno de los mayores problemas de la actualidad en lo que a Internet se refiere. Recibir correo basura es ya hasta una rutina diaria a la hora de comprobar nuestras cuentas de correo. Mi buzón de correo electrónico, sin ir más lejos y sólo en esta última semana, ha recibido todo tipo de mensajes para comprar Rolex y relojes a buen precio, Viagra, Codeina, me ofrecen puestos de trabajo de lo más interesante e incluso medicamentos para alargarme el pene, todo muy natural eso sí y de apariencia muy legal, es lo que se conoce como SCAM o intento de estafa a partir de mensajes de correo electrónico.

Cogiendo uno de esos mensajes al azar vamos a realizar un rastreo de cómo detectar su origen y obtener más información antes de lanzarnos alegremente a comprar nuestro nuevo Rolex que va a ser la sensación entre todos mis conocidos.

No está mal, me ahorro un 75% del precio final, tengo 1 año de garantía, envío a través de servicios confiables como UPS, DHL, etc. puedo escoger entre Rolex, Cartier, Bvlgari, bolsos Louis Vuitton, carteras, ... Cómo se enrolla mi amiga Andera Camelia a la que no conozco de nada.

Primero de todo ver quién dice enviarme el mail:

Andera Camelia (andera.camelia_kh@ilim.com)

El dominio ILIM.COM es de Dublín, Irlanda y se refiere a Irish Life Investment Managers, o lo que es lo mismo, Agentes de Seguros de Vida o algo parecido. Cualquier parecido con la venta de relojes es pura ficción. Los datos del dominio, registrador, ISP, etc no indican nada relacionado con Rolex ni con carteras Louis Vuitton, hemos tirado de un servicio de Whois como, por ejemplo, Whois.net o cualquier otro.

De la dirección de mail no se pueden obtener más datos. La tal Andera Camelia, no aparece por ningún lado y mucho menos trabaja en ILIM.

Veamos el servidor desde el que nos llega el correo. Para poder ver la dirección de origen en Gmail, por ejemplo, basta ir a la opción dentro del desplegable de "Reply" de "Show Original" y buscar el campo "Received from:". En outlook, por ejemplo, es necesario pulsar en la opción de "detalles del mensaje". En nuestro caso la dirección IP de ese servidor es: 190.42.249.209.

Buscando en Ripe.net información acerca de esa dirección IP vemos que pertenece al rango de direcciones de la empresa "Telefónica de Perú". Ya llevamos visitados, Perú, Irlanda, etc.

Confirmemos a través de uno de los sistemas de geolocalización IP existentes de dónde viene esa dirección IP del servidor que nos envía el correo. Efectivamente, Lima, Perú. Lo comprobamos con otro sistema de geolocalización para confirmar y seguimos en Perú.

En el cuerpo del mensaje se nos invita a visitar la página http://spellfloat.ru para poder optar a esos jugosos descuentos en la compra de mi Rolex. Dominio .RU perteneciente a Rusia, veamos qué información podemos obtener de ese dominio de la página web.

El domninio spellfloat.ru resuelve a la dirección IP 118.217.82.16 que se localiza en Corea del Sur y que redirecciona a la página web http://www.yourwatches-cheap.com/secure.php?cmd=home. Por fin algo que ver con relojes!!! ya hemos pasado por Irlanda, Perú, Rusia, Corea del Sur...

Este nuevo dominio, yourwatches-cheap.com (traducido como tus relojes baratos) está registrado en China a nombre de "CHINA SPRINGBOARD INC." el día 23 de octubre de 2010 (información del whois del dominio). Que el registro del dominio sea reciente, si todavía no habías dudado de la autenticidad del servicio de venta de relojes, puede ser significativo de la estafa que pretenden hacerte.

Mirando un poco más de información acerca de los dominios utilizados, veo que tanto el dominio de Rusia (spellfloat.ru) como el de la tienda (yourwatches-cheap.com) pertenecen al mismo Número de Sistema Autónomo (AS9318) y que son dominios ya incluidos en blacklists de SPAM, concretamente en la SURBL (http://www.surbl.org/). Buscando datos del AS vemos que dispone de un historial de lo más curioso en cuanto a malware, virus y demás:

http://support.clean-mx.de/clean-mx/viruses.php?as=AS9318&response=
http://www.malwareurl.com/listing.php?as=AS9318&active=o
https://zeustracker.abuse.ch/monitor.php?as=9318

La página donde por fin poder comprar mi Rolex me muestra diversos modelos donde elegir, el que me gusta es este de oro de 18 kilates sólo por 159 dólares americanos, creo que compraré 10 porque se acercan las navidades y ya se sabe que nunca sabes qué regalar y demás, este año triunfo. El proceso de compra, me muestra mi cerficado de Verisign, o lo intenta porque salvo la imagen del logo de Verisign no puedo ni ver detalles del certificado SSL utilizado ni nada para cifrar mis comunicaciones como es habitual cuando compras algo por Internet. Eso sí, me indica que mi conexión es segura y que meta mi tarjeta de crédito. Todo legal, estos chinos...

Vamos, ignoro porqué me han escogido a mi para ofrecerme tan exitosa oferta desde Irlanda, pasando por un servidor de correo de Perú, una página Web de Corea del Sur y un servicio de venta de relojes de China, pero como tenga que presentar una reclamación porque el saldo de mi Visa se ha quedado a cero y no me han llegado nunca mis 10 relojes Rolex, no sé si lo tendré que hacer en chino, en coreano, en ruso, en inglés o en peruano... estoy apañado. Además, no quiero ni ver la cara del tio del banco o el de la policía cuando les explique que mi Rolex no llega y que no sé como, pero mi cuenta bancaria está bajo mínimos.