← Volver al blog
EmailSeguridadPhishing

Cómo leer los headers de un email: detecta spam, phishing y rastrea origen

7 junio 2026 8 min de lectura

Recibiste un email sospechoso. ¿Es realmente de tu banco? ¿Por qué llegó a spam? ¿De qué país se envió? La respuesta está en los headers: metadatos técnicos que viajan con cada email y que la mayoría de la gente nunca ve.

¿Qué son los headers de un email?

Cuando lees un email, ves el asunto, el remitente y el cuerpo. Pero detrás de eso existe una capa técnica invisible: los headers. Son líneas de texto que registran cada servidor por el que pasó el mensaje, las validaciones de seguridad, y las decisiones que tomó cada sistema de correo por el camino.

Analogía rápida:

El email es una carta. El cuerpo es lo que escribiste. Los headers son los sellos postales, las fechas de cada oficina de correos por la que pasó, y las anotaciones del cartero sobre por qué la dejó en el buzón (o en devoluciones).

Cómo ver los headers en tu cliente de correo

Gmail (web)

Abre el email → ⋮ (más) → "Ver original" → busca la sección con los headers en texto plano.

Outlook (web)

⋯ → "Ver" → "Ver detalles del mensaje" → los headers aparecen en una ventana emergente.

Apple Mail

Ver → Mensaje → "Todos los encabezados" o ⌥+⌘+U para ver los headers en bruto.

Thunderbird

Ver → Código fuente del mensaje (Ctrl+U). Verás los headers completos en una nueva pestaña.

Los headers más importantes (y qué significan)

Received:

La huella del camino. Cada servidor de correo que toca el mensaje añade una línea Received:. Lee de abajo hacia arriba: la última línea es el origen, la primera es tu bandeja de entrada.

Received: from mail.evil.com (mail.evil.com [203.0.113.45])
    by mx.google.com with ESMTPS id abc123
    for <victima@gmail.com>; Mon, 07 Jun 2026 10:00:00 +0200

💡 La IP 203.0.113.45 es el servidor que envió el email. Si no coincide con el dominio del remitente, algo huele mal.

From:, Reply-To:

From: es lo que ves en tu bandeja. Reply-To: es a dónde va tu respuesta. Si el From dice "banco@bancosantander.es" pero Reply-To es "soporte@bancosantander-security.com", estás ante phishing.

SPF, DKIM, DMARC

Tres mecanismos de autenticación. Si alguno dice fail, el email no viene de donde dice venir.

spf=pass — El servidor está autorizado por el dominio.

spf=fail — El servidor NO está autorizado. Probable spoofing.

dkim=pass — La firma criptográfica del mensaje es válida.

dkim=fail — El mensaje fue alterado o no está firmado correctamente.

dmarc=none — El dominio no tiene DMARC (menos seguro).

X-Spam-Score / X-Spam-Status

Si tu servidor de correo usa SpamAssassin o similar, añade una puntuación de "spamicidad". Cuantos más puntos, más probable que sea spam.

X-Spam-Score: 8.7
X-Spam-Status: Yes, score=8.7 required=5.0

Con puntuación 8.7 y umbral 5.0, este email fue marcado como spam. Motivos típicos: servidor en lista negra, contenido sospechoso, o SPF fail.

Flujo de diagnóstico paso a paso

1

Comprueba From vs Reply-To. ¿Son diferentes? Red flag.

2

Busca spf=fail o dkim=fail. Autenticación rota = spoofing probable.

3

Mira la primera línea Received: (de abajo). ¿La IP coincide con el país del remitente?

4

Busca X-Spam-Score. ¿Supera el umbral? Revisa por qué.

5

Whois de la IP de origen. ¿Es un VPS barato, un datacenter chino, o un servidor legítimo?

Casos reales: ¿qué buscar?

Phishing bancario

From: banco@bancoxyz.com, pero SPF=fail, DKIM=fail, y la IP es de un VPS en Rusia. El Reply-To apunta a bancoxyz-security.com.

Spam de marketing agresivo

SPF=pass (legítimo), pero X-Spam-Score=12 por contenido con demasiadas imágenes, links acortados, y servidor en lista negra.

Email legítimo

SPF=pass, DKIM=pass, DMARC=pass. La IP del primer Received coincide con el dominio (ej: outlook.com → IP de Microsoft). Sin anomalías.

Herramienta rápida: analiza headers sin esfuerzo

Leer headers en bruto puede ser abrumador. Puedes copiar y pegar los headers en nuestra herramienta para ver un análisis visual y claro:

Conclusión

Los headers son la caja negra de cada email. En 30 segundos de lectura puedes descubrir si un mensaje es legítimo, de dónde vino realmente, y por qué tu servidor decidió que era spam o phishing. No necesitas ser experto: solo saber qué tres o cuatro campos mirar. La próxima vez que recibas algo sospechoso, no confíes solo en el asunto. Mira los headers.

Publicado el 7 de junio de 2026.

¿Quieres ocultar tu IP?

Navega de forma privada con una VPN

Ver VPNs recomendadas