Cuando un perito informático es requerido para la realización de un informe pericial informático sobre correos electrónicos, es necesario realizar una doble distinción topológica en el conjunto de los correos electrónicos a peritar. Esta doble distinción, va en consonancia con la dificultad en la realización del informe pericial informático:
- En función de si se trata de correos electrónicos enviados o recibidos. Es más complejo realizar un análisis pericial informático de un correo electrónico enviado que de uno recibido puesto que, en tal caso, podría ser también necesario verificar que dicho correo electrónico fue entregado al destinatario.
- En función del servidor en el que se almacenan los correos electrónicos. Así pues, éstos pueden almacenarse en servidores de correo electrónico locales, de terceras empresas proveedoras de este tipo de servicios, o bien puede tratarse de correos electrónicos almacenados en servidores de proveedores de servicios en la nube (los cuales son gratuitos para los particulares, aunque de pago para las empresas), como GMail (Google), MSN u Office 365 (Microsoft), Yahoo, etc.
Una vez realizada la doble distinción topológica, se explicará, tal y como se mencionó al principio, su correlación con la dificultad en la realización del informe pericial informático.
En primer lugar, se explicará por qué es más complejo peritar o certificar la autenticidad de un correo electrónico enviado que de uno recibido. Cuando una persona recibe un correo electrónico, éste puede permanecer almacenado en el servidor de correo electrónico cuando se realiza la entrega al destinatario, o ser eliminado del mismo al realizar la entrega. Así pues, si el servidor está configurado para mantener los correos electrónicos entregados, existiría una copia del correo electrónico que se desea peritar en dicho servidor, por lo que sería necesario cotejar la copia entregada con la copia almacenada en el servidor. En caso de que el servidor esté configurado para eliminar los correos electrónicos entregados, únicamente se tendría acceso a la copia local, por lo que sería necesario un análisis exhaustivo de las cabeceras del correo electrónico recibido, que arrojarían un conjunto de “saltos” entre servidores de correo electrónico, estableciendo el “camino” por todos los servidores por los cuales ha pasado el correo electrónico desde que fue enviado hasta que fue recibido. El análisis, por parte del perito informático, de las cabeceras del correo electrónico, así como del fichero contenedor del mismo y de otros elementos relacionados, determinaría la autenticidad del correo electrónico.
En caso de que se trate de correos electrónicos enviados, éstos no tienen cabeceras, por lo que realizar un informe pericial sobre los mismos es más complejo, dado que este tipo de correos electrónicos se pueden falsificar más fácilmente. Asimismo, un correo electrónico enviado no tiene por qué llegar a destino debido a varias causas, por lo que lo recomendable es, siempre, enviar un correo electrónico con “confirmación de entrega”, que no es más que otro correo electrónico, en este caso de confirmación, enviado por el servidor receptor del correo electrónico al servidor emisor del mismo y que, garantizaría, que dicho correo electrónico ha sido entregado. El problema estriba en que, como la “confirmación de entrega” también es un correo electrónico, puede igualmente, por alguna razón variada, no llegar al destinatario (en este caso, el emisor del correo electrónico original), lo que ofrece una idea de todas las casuísticas posibles que intervienen en la investigación de la autenticidad de un correo electrónico enviado y la dificultad inherente en la realización de un informe pericial informático sobre dicha tipología de correos electrónicos.
En segundo lugar, se explicará la distinción topológica referente al tipo de servidor en el que se almacenan los correos electrónicos que deben ser peritados. Así pues, si el servidor de correo electrónico ha estado, en algún momento, accesible de forma física o remota a la persona o empresa objeto del peritaje informático, será necesario un análisis informático forense de dicho servidor, con objeto de comprobar que éste no fue manipulado malintencionadamente. Si, por el contrario, el servidor de correo electrónico se encuentra situado en una tercera empresa (proveedora del servicio de correo electrónico), será decisión del perito informático (en la que influirá el análisis de las primeras evidencias recolectadas), si es necesaria o no la realización de un análisis informático forense de dicho servidor (no debería serlo en caso de que el proveedor cumpla con la regulación nacional en materia de protección de datos -LOPD- y de prestación de servicios -LSSI-, así como con los estándares internacionales relacionados con la seguridad y el tratamiento de la información). Si, por el contrario, los correos electrónicos se encuentran almacenados en algún proveedor de servicios en la nube como GMail (Google), MSN u Office 365 (Microsoft), Yahoo, etc., no será posible acceder directamente a sus servidores y, tanto los correos electrónicos enviados como recibidos, deberán peritarse mediante herramientas que certifiquen el contenido interno de una página web en la que se ha iniciado sesión, tales como eGarante, usada entre otros organismos, por la Guardia Civil.
Asimismo, como se advirtió en la primera parte del artículo, además del análisis forense del servidor en el que se almacenan los correos electrónicos y, en caso de que se trate de correos electrónicos recibidos, también será necesario un examen forense del fichero contenedor de los correos electrónicos (situado en el disco duro del destinatario), con objeto de verificar que los correos electrónicos peritados no fueron manipulados malintencionadamente después de la entrega del servidor.
Por otra parte, es de reseñar que, en incontables ocasiones, se presentan en los juzgados para ser adjuntados a causas judiciales, supuestos correos electrónicos sin el correspondiente aval de un peritaje informático elaborado por un perito informático colegiado y, debido al desconocimiento general que existe sobre la informática, son admitidos como prueba. Estos supuestos correos electrónicos son, normalmente, burdas falsificaciones realizadas con un procesador de textos ya que, en la mayoría de los casos, ni siquiera son presentados con las correspondientes cabeceras, ni tampoco con un análisis informático forense del fichero contenedor de los correos electrónicos ni del servidor en que se almacenaron los mismos antes de ser entregados al destinatario. Este tipo de pruebas pueden ser fácilmente descartadas por el juez con la presentación de un contra-informe pericial informático que demuestre que son susceptibles de haber sido, como mínimo, manipuladas y, en el peor de los casos, falsificadas.