En los últimos años, uno de los asuntos más comunes en correos fraudulentos es: “Se han filtrado sus datos personales debido a ciertas actividades en sitios sospechosos”. Este tipo de mensaje busca generar miedo y urgencia en el destinatario, haciéndole creer que su información privada fue expuesta.

La realidad es que se trata de un intento de estafa (phishing o scam), diseñado para que el usuario caiga en la trampa y entregue datos sensibles, acceda a enlaces maliciosos o incluso pague dinero para “evitar la filtración”.

En esta entrada vamos a:

Explicar cómo funcionan estos correos.
Analizar un código fuente real de uno de estos mensajes.
Mostrar ejemplos documentados en foros y sitios especializados.
Dar recomendaciones prácticas para prevenir y detectar este tipo de engaños.

📧 Cómo reconocer un correo fraudulento

Los estafadores suelen usar técnicas muy simples pero efectivas:

Asunto alarmista: frases como “Se han filtrado sus datos”, “Su cuenta será bloqueada”, “Acción urgente requerida”.
Remitente falsificado: el correo parece venir de tu propia dirección o de una empresa conocida.
Contenido genérico: no hay datos específicos, solo amenazas vagas.
Enlaces sospechosos: URLs disfrazadas que llevan a páginas falsas.
Adjuntos peligrosos: archivos que pueden contener malware.

🔎 Análisis del código fuente de un correo fraudulento

Veamos un ejemplo real de encabezado técnico de uno de estos correos:

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-path: <mailejemplo@jadm.com.ar>
Envelope-to: mailejemplo@jadm.com.ar
Delivery-date: Sun, 08 Mar 2026 14:17:37 -0300
Received: from [41.251.103.167]
    by c1ab1.daxarock.com with esmtp  (Exim)
    (envelope-from <mailejemplo@jadm.com.ar>)
    id 1vzHl1-0001yr-9g
    for mailejemplo@jadm.com.ar; Sun, 08 Mar 2026 14:17:36 -0300
Message-ID: <69AFF81C.7098700@jadm.com.ar>
Date: Sun, 08 Mar 2026 03:16:27 -0100
From: <mailejemplo@jadm.com.ar>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100825 Thunderbird/3.1.3
MIME-Version: 1.0
To: <mailejemplo@jadm.com.ar>
Content-Type: multipart/alternative;
 boundary="------------050206080201030507070705"
X-VirusChecked: Checked
X-Spam-Score: 49.0
X-Spam-Bar: +++++++++++++++++++++++++++++++++++++++++++++++++
X-Spam-Report: Action: reject
 Symbol: DMARC_POLICY_SOFTFAIL(6.00)
 Symbol: R_DKIM_NA(0.00)
 Symbol: URL_OBFUSCATED_TEXT(9.00)
 Symbol: R_SPF_FAIL(32.00)
 Symbol: RDNS_NONE(2.00)
 Message: El SPF falla y el rDNS no existe
X-Spam-Flag: Yes
X-Spam-Status: Yes
Subject: ****SPAM****

🧩 Explicación campo por campo

Return-path / From: el atacante puso la misma dirección del destinatario como remitente. Esto es falsificación (spoofing).
Received: from [41.251.103.167]: aquí está la clave. El correo salió de una IP desconocida (esta es un ejemplo, podría figurar cualquier otra), no del servidor oficial del dominio del correo real. Podes hacer un ping a tu servidor de correo real para verificar que no coincide.
X-Spam-Score: 49.0: los filtros antispam detectaron múltiples irregularidades.
SPF Fail / DKIM NA / DMARC Softfail: los sistemas de autenticación de correo indican que el mensaje no pasó las validaciones de seguridad.
Subject: SPAM: el servidor ya lo marcó como sospechoso.

👉 En resumen: aunque el correo parece venir de tu propia cuenta, los encabezados técnicos demuestran que fue enviado desde otra máquina y que falló todas las verificaciones de autenticidad.

📌 Ejemplos documentados en foros y sitios web

En comunidades como Reddit r/techsupport, foros de SpamAssassin y reportes en BleepingComputer, se han compartido casos idénticos:

Usuarios reciben correos que dicen “Tus datos fueron filtrados”.
El remitente aparece como su propia dirección.
Los encabezados muestran IPs de países aleatorios, sin relación con el dominio real.
Los filtros antispam marcan SPF/DKIM como fallidos.

Esto confirma que se trata de una técnica masiva de suplantación de identidad.

🛠️ ¿Cómo solucionar y prevenir?

1. Configuración técnica en tu dominio

SPF: asegurate de que tu registro DNS incluya solo los servidores autorizados.
DKIM: firma criptográfica que valida la autenticidad del mensaje.
DMARC: política que indica qué hacer si SPF/DKIM fallan (rechazar, marcar como spam).

2. En tu cliente de correo

Revisá siempre el código fuente si sospechás de un mensaje.
Activá la opción de mostrar encabezados completos.
No hagas clic en enlaces ni descargues adjuntos de correos dudosos.

3. Educación del usuario

Recordá que ninguna empresa seria te pedirá datos sensibles por correo.
Si el mensaje genera miedo o urgencia, probablemente sea fraude.
Usá foros y sitios especializados para comparar casos.

🧰 Ejemplo práctico: instalar protección adicional

Si administrás tu propio servidor de correo:

Instalá SpamAssassin o un filtro similar.
Configurá reglas para rechazar correos con SPF/DKIM fallidos.
Actualizá regularmente tu software de servidor (Exim, Postfix, etc.).
Si no tenés control sobre el servidor de correo, pedile a tu proveedor de hosting que aplique estas medidas de seguridad o cambiá a un proveedor que ofrezca un mejor servicio.

En clientes como Thunderbird o Outlook:

Activá complementos antiphishing.
Usá antivirus con protección de correo.

✅ Conclusión

Los correos con asunto “Se han filtrado sus datos personales…” son un clásico del phishing. Aunque parezcan venir de tu propia cuenta, los encabezados técnicos revelan la falsificación. Con configuraciones adecuadas (SPF, DKIM, DMARC) y educación del usuario, es posible reducir drásticamente el impacto de estas estafas. Un proveedor de correos más o menos aceptable, al menos marcaría este correo como SPAM o SOSPECHOSO, si no es que lo rechaza directamente. Si recibís estos correos sin ningún tipo de advertencia tenes que revisar la configuración de tu cuenta o la del proveedor de tu servicio de correos.

Salute!

Gracias por compartir!