En el momento en el cual un perito informático es requerido para realizar un informe pericial informático en relación al envio y/o certificación de correos electrónicos, es necesario realizar una doble distinción topológica en el conjunto de los correos electrónicos a peritar.
¿Esto que quiere decir?
Pues básicamente que hay que diferenciar cómo de dificil va a ser realizar dicha pericial informática. Por un lado, en función de si se trata de correos electrónicos tanto enviados como recibidos, es más complejo analizar pericialmente un correo electrónico enviado que uno recibido, ya que en dicho segundo caso, también habria que verificar y demostrar que dicho correo se recibió y fué entregado correctamente al destinatario.
Además, en función del servidor en el que se almacenan los correos electrónicos - los cuales pueden ser tanto locales (propias de la propia empresa), de terceras empresas proveedoras de este tipo de servicios, o bien puede tratarse de correos electrónicos almacenados en servidores de correo en la nube, como Gmail, MSN, Office, Yahoo...
Teniendo claros estos primeros parámetros y teniendo clara esta distinción topológica, se procede a explicar ante el juez (en el informe) la correlación con la dificultadque dicho servidor y dicha prueba tiene para efectuarse.
En primer lugar, se debe de explicar por qué es más complejo peritar o certificar la autenticidad de un correo que ha sido enviado en lugar de uno que ha sido recibido. Cuando una persona recibe un correo electrónico, este puede permanecer almacenado en el servidor de correo electrónico cuando se realiza la entrega, o ser eliminado al realizarse dicha entrega.
Es algo común en este tipo de infraestructuras que los correos se reenvien desde el servidor al cliente y sean borrados una vez el cliente ha descargado el correo en su aplicación de su ordenador (o teléfono móvil). En el caso de que el servidor esté configurado para mantener los correos electrónicos entregados, existirá entonces una copia de seguridad del correo electrónico que se desea peritar en dicho servidor. Por tanto, será necesario cotejar la copia entregada con la copia almacenada en el servidor. En caso de que el servidor esté configurado para borrar los correos electrónicos entregados, unicamente se tendría acceso a la copia local - aquella que ha sido guardada por el cliente en su ordenador o dispositivo informático. En este caso, sería necesario realizar un analisis de las "cabeceras" del correo electrónico recibido. (La información que define por donde ha pasado el correo electrónico).
Este análisis, que iría mostrando un conjunto de "saltos" entre servidores de correo electrónico, establecería el "camino" que este mail ha recorrido hasta llegar al destino final.
En caso de que se trate de un correo electrónico enviado, estos no tienen ninguna cabecera trazable, por lo que realizar un informe pericial sobre los mismos es más complejo, dado que este tipo de correos electrónicos pueden ser falsificados más fácilmente.
Un correo electrónico enviado no tiene por qué llegar a destino debido a varias causas. Siempre es recomendable por tanto, enviar los correos electrónicos con acuse de recibo, que no es sino un correo electrónico adicional, en caso de confirmación, enviado por el servidor receptor del correo electrónico al servidor emisor del mismo y que, garantizaría que dicho correo electrónico ha sido entregado correctamente a su destinatario.
El problema en este caso es que, dado que la “confirmación de entrega” también es un correo electrónico, puede igualmente, por alguna razón variada, no llegar al destinatario (en este caso, el emisor del correo electrónico original), lo cual ofrece una idea de todas las casuísticas posibles que intervienen en la investigación de la autenticidad de un correo electrónico enviado y la dificultad inherente en la realización de un informe pericial informático sobre dicha tipología de correos electrónicos.
Tipos de servidores
Hay que aclarar en el informe pericial que tipo de servidor es el que almacena los datos de los correos electrónicos a peritar. Si el servidor de correo electrónico ha estado, en algún momento, accesible de forma física o remota a la persona o empresa objeto del peritaje informático, sería necesario un análisis informático forense de dicho servidor, con la intención de comprobar que este no fué manipulado malintencionadamente. Si por el contrario, el servidor de correo electrónico se encuentra situado en una tercera empresa . Será decisión del perito si es necesaria o no la realización de un análisis informático forense de dicho servidor. ( note que no debería serlo en caso de que el proveedor cumpla con la regulación nacional en materia de protección de datos -LOPD- y de prestación de servicios -LSSI-, así como con los estándares internacionales relacionados con la seguridad y el tratamiento de la información).
Si, por contra, los correos se encuentran almacenados en algún proveedor de servicios en la nube como GMail (Google), MSN u Office 365 (Microsoft), Yahoo, etc., no será posible acceder directamente a sus servidores y, tanto los correos electrónicos enviados como recibidos, deberán peritarse mediante herramientas que certifiquen el contenido interno de una página web en la que se ha iniciado sesión, tales como eGarante, usada entre otros organismos, por la Guardia Civil.
Además del análisis forense del servidor en el que se almacenan los correos, también será necesario un examen forense del fichero contenedor de los correos electrónicos (situado en el disco duro del destinatario del correo) con objeto de verificar que ningún correo electrónico peritado fué manipulado malintencionadamente después de la entrega del servidor.
Es importante destacar que , en incontables ocasiones, se presentan en los juzgados para ser adjuntados a causas judiciales, supuestos correos electrónicos que no han sido avalados por un perito informático. Debido al desconocimiento general que existe sobre la informática, son admitidos como prueba pese a que podrían haber sido malintencionadamente modificados o alterados. Poder demostrar que un correo electrónico no ha sido modificado es algo no trivial que requiere de alguien con conocimientos en el campo y en la materia. También lo es demostrar su autenticidad para en todo momento lograr que se haga justicia.
Este tipo de pruebas son fácilmente descartables por el juez con la presentación de un contra-informe pericial informaático que demuestre que son susceptibles de haber sido - como mínimo - manipuladas y/o falsificadas.
En definitiva, demostrar la procedencia y originalidad de un correo electrónico puede ser complicado ya que en la mayoría de casos siempre hay intermediarios y lugares donde los mensajes pueden ser editados. Demostrar que no ha sido falsificado es relativamente fácil de demostrar, aunque hacerlo al revés no siempre lo es tanto. Es por eso que siempre que en un juicio o proceso judicial en el cual un correo electrónico pueda ser una prueba informática pericial que determine la sentencia, es siempre aconsejable acompañar dicho proceso con un perito informático que logre certificar la veracidad o falsedad de dicho documento, y dote ciertas garantías de vericidad al juez.