Jaume García, estudiante de 42 Barcelona — la escuela de programación gratuita impulsada por Fundación Telefónica — se subió al escenario de JOBarcelona'25 sin diapositivas corporativas ni teoría. Se subió con una terminal, un servidor de correos y 15 minutos. Lo que vino después fue una demostración en directo de lo fácil que es suplantar la identidad de Amazon por correo electrónico.
Cómo funciona el phishing por correo — explicado desde dentro
Un correo electrónico tiene tres partes principales: quién lo envía, a quién va dirigido y qué contiene. Lo que la mayoría no sabe es que cualquiera de esas tres partes se puede falsificar con herramientas de libre acceso, comandos básicos y unos minutos de tiempo.
La demostración fue concreta: instalar un servidor de correos en Linux con un comando simple, configurarlo en menos de dos minutos copiando y pegando, y enviar un correo con remitente [email protected] a cualquier dirección. El resultado llegó a la bandeja de no deseados — pero con el logo de Amazon, sin advertencia de remitente falso visible a simple vista.
Por qué cuela — y por qué no lo detectamos
Los gestores de correo como Gmail u Hotmail tienen mecanismos de protección: el SPF verifica que el correo salga de un servidor autorizado por el dominio, el DKIM añade una firma criptográfica que valida la autenticidad y el DMARC establece qué hacer si esas verificaciones fallan. Cuando alguno de estos falla, el correo va a no deseado.
Pero los atacantes no necesitan superar todas las barreras. Basta con registrar un dominio similar — amaz0n.es, amazón.com, amacien.com — para que el SPF no falle y el correo llegue a la bandeja principal. La URL es diferente, pero nadie la mira. Vemos el logo, el diseño, el texto y hacemos clic.
El paso siguiente es sencillo: ese clic lleva a una página copiada de Amazon donde introduces tu usuario y contraseña. Te dice que está mal. Te redirecciona al Amazon real. Vuelves a introducirlo. Entras. Piensas que te has equivocado. Pero no: alguien acaba de robar tus credenciales.
Cómo detectarlo antes de caer
Algunas señales que siempre están ahí si sabes dónde mirar: el correo en la carpeta de spam es ya una señal de alerta — si esperas un mensaje legítimo y acaba ahí, revisa antes de abrirlo. Los gestores de correo a veces muestran advertencias sobre la autenticación del remitente: no las ignores. Y sobre todo: revisa la URL antes de introducir cualquier dato. La página puede ser idéntica a la original, pero la dirección nunca lo será.
Para quienes quieran ir más lejos: todos los correos tienen metadatos accesibles en las opciones avanzadas que muestran la IP de origen, el servidor que lo envió y si el SPF ha pasado o fallado. Localizar esa IP en segundos basta para saber si un correo de Amazon viene realmente de Estados Unidos o de Alicante.
42 Barcelona: aprender programación sin clases ni libros
Jaume presentó también 42 Barcelona, la escuela donde estudia. Completamente gratuita, abierta las 24 horas sin horarios fijos, sin profesores ni clases. El aprendizaje es por proyectos: te dan un reto que no sabes resolver, y tienes que encontrar la manera de resolverlo. Los proyectos los evalúan otros estudiantes — tanto los que ya lo han hecho como los que no, porque los diálogos que genera cada tipo de evaluación aportan cosas distintas.
El perfil que forman no compite con ingenieros en conocimiento técnico puro, pero sí en autonomía y resolución de problemas. Empresas que contratan allí repiten porque sus estudiantes se ponen a trabajar en algo nuevo sin bloquearse.
La selección de entrada se llama la piscina: 26 días intensivos de programación sin clases ni guía, para que cada persona descubra si esa metodología es para ella. Es gratuita y está disponible en Barcelona, Madrid, Málaga y Bilbao.
Si quieres ver la demostración completa en directo, aquí tienes la grabación de JOBarcelona'25.
--
👉 ¿Te interesa la ciberseguridad o la programación? Explora oportunidades en el sector tech en Jobinplanet.
