Cómo leer los headers de un email: detecta spam, phishing y rastrea origen
Recibiste un email sospechoso. ¿Es realmente de tu banco? ¿Por qué llegó a spam? ¿De qué país se envió? La respuesta está en los headers: metadatos técnicos que viajan con cada email y que la mayoría de la gente nunca ve.
¿Qué son los headers de un email?
Cuando lees un email, ves el asunto, el remitente y el cuerpo. Pero detrás de eso existe una capa técnica invisible: los headers. Son líneas de texto que registran cada servidor por el que pasó el mensaje, las validaciones de seguridad, y las decisiones que tomó cada sistema de correo por el camino.
Analogía rápida:
El email es una carta. El cuerpo es lo que escribiste. Los headers son los sellos postales, las fechas de cada oficina de correos por la que pasó, y las anotaciones del cartero sobre por qué la dejó en el buzón (o en devoluciones).
Cómo ver los headers en tu cliente de correo
Gmail (web)
Abre el email → ⋮ (más) → "Ver original" → busca la sección con los headers en texto plano.
Outlook (web)
⋯ → "Ver" → "Ver detalles del mensaje" → los headers aparecen en una ventana emergente.
Apple Mail
Ver → Mensaje → "Todos los encabezados" o ⌥+⌘+U para ver los headers en bruto.
Thunderbird
Ver → Código fuente del mensaje (Ctrl+U). Verás los headers completos en una nueva pestaña.
Los headers más importantes (y qué significan)
Received:
La huella del camino. Cada servidor de correo que toca el mensaje añade una línea Received:. Lee de abajo hacia arriba: la última línea es el origen, la primera es tu bandeja de entrada.
Received: from mail.evil.com (mail.evil.com [203.0.113.45])
by mx.google.com with ESMTPS id abc123
for <victima@gmail.com>; Mon, 07 Jun 2026 10:00:00 +0200💡 La IP 203.0.113.45 es el servidor que envió el email. Si no coincide con el dominio del remitente, algo huele mal.
From:, Reply-To:
From: es lo que ves en tu bandeja. Reply-To: es a dónde va tu respuesta. Si el From dice "banco@bancosantander.es" pero Reply-To es "soporte@bancosantander-security.com", estás ante phishing.
SPF, DKIM, DMARC
Tres mecanismos de autenticación. Si alguno dice fail, el email no viene de donde dice venir.
spf=pass — El servidor está autorizado por el dominio.
spf=fail — El servidor NO está autorizado. Probable spoofing.
dkim=pass — La firma criptográfica del mensaje es válida.
dkim=fail — El mensaje fue alterado o no está firmado correctamente.
dmarc=none — El dominio no tiene DMARC (menos seguro).
X-Spam-Score / X-Spam-Status
Si tu servidor de correo usa SpamAssassin o similar, añade una puntuación de "spamicidad". Cuantos más puntos, más probable que sea spam.
X-Spam-Score: 8.7 X-Spam-Status: Yes, score=8.7 required=5.0
Con puntuación 8.7 y umbral 5.0, este email fue marcado como spam. Motivos típicos: servidor en lista negra, contenido sospechoso, o SPF fail.
Flujo de diagnóstico paso a paso
Comprueba From vs Reply-To. ¿Son diferentes? Red flag.
Busca spf=fail o dkim=fail. Autenticación rota = spoofing probable.
Mira la primera línea Received: (de abajo). ¿La IP coincide con el país del remitente?
Busca X-Spam-Score. ¿Supera el umbral? Revisa por qué.
Whois de la IP de origen. ¿Es un VPS barato, un datacenter chino, o un servidor legítimo?
Casos reales: ¿qué buscar?
Phishing bancario
From: banco@bancoxyz.com, pero SPF=fail, DKIM=fail, y la IP es de un VPS en Rusia. El Reply-To apunta a bancoxyz-security.com.
Spam de marketing agresivo
SPF=pass (legítimo), pero X-Spam-Score=12 por contenido con demasiadas imágenes, links acortados, y servidor en lista negra.
Email legítimo
SPF=pass, DKIM=pass, DMARC=pass. La IP del primer Received coincide con el dominio (ej: outlook.com → IP de Microsoft). Sin anomalías.
Herramienta rápida: analiza headers sin esfuerzo
Leer headers en bruto puede ser abrumador. Puedes copiar y pegar los headers en nuestra herramienta para ver un análisis visual y claro:
Conclusión
Los headers son la caja negra de cada email. En 30 segundos de lectura puedes descubrir si un mensaje es legítimo, de dónde vino realmente, y por qué tu servidor decidió que era spam o phishing. No necesitas ser experto: solo saber qué tres o cuatro campos mirar. La próxima vez que recibas algo sospechoso, no confíes solo en el asunto. Mira los headers.
Publicado el 7 de junio de 2026.