PRUEBA FORENSE SOBRE CORREO ELECTRÓNICO
Jue, 25/11/2004 - 13:23 — Rodolfo ...
Estimados amigos:
Me ha aprecido interesante la idea de esta página, y me he "dado una vuelta" por la misma. Me parece una iniciativa muy interesante. ¡Enhorabuena!
Os cuento que soy un abogado con un cierto interés en el tema informático, nuevas tecnologías, etc. Tengo una duda que me ha asaltado dando vueltas a diferentes temas, y quería exponerla, a ver si alguien me puede arrojar un poco de luz (quizá os parezca una tontería, pero mi desconocimiento técnico es insalvable).
Se trata de lo siguiente. Se trata de aportar como prueba en juicio civil unos correos eléctrónicos remitidos por un directivo de una empresa a un colaborador externo. Mi idea original es presentar la impresión en papel de esos correos ante el juez. Aquí pueden ocurrir dos cosas: que la empresa demandada los reconozca como ciertos (con lo cual, asunto arreglado), o -más probable- que niegue su autenticidad. La Ley me permite entonces proponer prueba sobre su autenticidad, y aquí es donde me encuentro con el problema. Se me ocurre llevar el PC del colaborador externo ante el Secretario Judicial, y que éste levante acta de que en la bandeja de entrada de correo electrónico de ese ordenador aparecen "x" correos, remitidos en tales fechas desde la dirección de correo electrónico "x". Pero claro, se me antoja que podrían argumentar desde la ampresa que esto podría haber sido fácilmente trucado, o bien que nieguen que tal dirección electrónica pertenezca a la empresa, etc.
La pregunta es: ¿existe alguna prueba que se pueda practicar por perito de la que se desprenda la realidad del envío y recepción de esos correos, así como que los mismos han salido de la empresa que se afirma, y, concretamente, del directivo "x", sin género de duda?
Os agradezco de antemano cualquier idea o sugerencia. Saludos.
- Inicie sesión o regístrese para enviar comentarios
Hola Rodolfo,
lo primero que haría sería ponerme en contacto con un perito informático forense. El te guiará en todo el proceso.
Los pasos más o menos que debes realizar son:
* primero parar el ordenador que contiene los mails y extraer el disco duro, este será una prueba en el juicio, por lo tanto no puede ser alterado. Cuanto más tiempo tardes en hacer esto menos validez tendrá tu prueba.
* Segundo: intentar conseguir los logs (registros) del servidor de correo, donde se indican el día y la hora y la dirección de origen y destino de los envios.
* tercero: conseguir los mails también del colaborador externo (si es posible) y que este pueda afirmar que los recibió.
Y alguna cosa más que seguro me olvido....
Espero que te sea de utilidad.
Muchas gracias por tu respuesta. Creo que tienes razón en cuanto a que cuando antes se haga todo, mejor. El problema es, precisamente, acceder al ordenador desde el cual se enviaron los mails, ya que pertenece a la empresa "contraria". Además, supongo que dichos correos habrán sido borrados de la bandeja de correos enviados.
Se me ocurre preguntar: ¿Pueden recuperarse en el disco duro los correos borrados? En caso de que el servidor de correo de la empresa borre los logs relativos a estos correos, ¿puede esto ser evidente para un perito? ¿Se dará cuenta un perito de que han sido borrados/alterados determinados logs? ¿Los logs quedan reflejados por envío o por día?
Espero no abusar de tu confianza. Quedo, por supuesto, agradecido y a tu disposición.
Hola Rodolfo. Verás, los registros electrónicos (logs) quedan en varios equipos. No sólo en el del emisor o en del receptor. La cosa es que cuando un emisor manda un correo electrónico, éste pasa a su servidor de envio. El servidor de envío manda a un servidor de "recepción" de correo y éste se lo manda a su destinatario final.
emisor -->(servidor emisor) -->(servidor receptor)--> Receptor
En el peor de los casos, no te dejarán tener acceso al ordenador emisor y tampoco podrás en un principio acceder al servidor de correo del emisor si éste es el corporativo (propiedad de la empresa). Pero siempre tendrás opción de conseguir por vía legal información del registro del servidor de correo de tu cliente (sin olvidar que ya tienes como prueba el ordenador de tu defendido)para así poder probar la autenticidad del correo objeto de la denuncia.
Espero no habarme ido mucho por peteneras. Suerte!
Muchas gracias, Dupont!
De peteneras, nada, que está todo muy claro. Si la cosa sigue adelante, lo comentaré en el foro, más que nada porque imagino que sois gente con "hambre" de saber de todo lo relacionado con la informática forense, y, al final, lo que diga el juez es lo que vale!
Saludos.
Pues is, a mi personalmente me interesa saber como acaba todo!!!
Si no me equivoco, es relativamente factible conseguir los logs del ordenador del defendido y del servidor email del defendido no es cierto?
Así los logs del servidor email del defendido, al ser una tercera "persona" corrovoran la recepcion de los email no és cierto? (tema legales se me escapan totalmente)
------------------------------------------------------------->
"... y no temeré entrar en el valle de las tinieblas pq Él estará conmigo!" <
http://raul-gimenez-herrada.neurona.com/
Hola que tal.
Podria alguien darme una orientación acerca de donde puedo encontrar los logs que se generan al enviar un correo electrónico?
Estoy realizando un trabajo sobre rastreo de correo electronico malicioso, y me interesa conocer el formato y como puedo localizar os logs, debido a que son una evidencia contundente pues nos proporcionan información importante como: fecha y hora; direcciones IP origen y destino; dirección IP que genera la bitácora; usuarios y errores.
Gracias de antemano.
Como comentan por aqui, si abres las cabeceras de los email (outlook, hotmail, etc... tienen opciones e incluso creo que con un editor de textos como notepad puedes hacerlo) podras ver todos los "saltos" que han echo hasta llegar a ti (donde se originó, los diferentes servidores de email que lo reenvian, con las fechas y horas de los saltos, etc...). A más, todos los servidores de correo electronico guardan sus propios registros (logs) con lo que en principio si se consegue acceder a ellos mediante una peticion (de a saber que tipo) prodrían corroborar la informacion contenida en el email recibido (diciendo que tal mensage fue reenviado tal dia).
Por cierto, cuanto tiempo estan obligados estos servidores de email (intermedios) a guardar sus logs?
------------------------------------------------------------->
"... y no temeré entrar en el valle de las tinieblas pq Él estará conmigo!" <
http://raul-gimenez-herrada.neurona.com/
Estimado amigo Rodolfo: aunque un poco tarde con respecto a la fecha de tu pregunta, aporto mi opinión pues tal vez valga para otra persona y por si te puede resultar de interés para otra vez conocer la mecánica de los emails, más abajo te pongo unos datos. Pero lo mejor es que te pongas en contacto con un perito informático que no solo descifrará los datos ocultos de los emails sino que además te orientará en la defensa y aportará un dictamen en el que el juez que resuelve pueda apoyarse. Una vez que se conozcan cual es el servisor de correo de donde salieron los emails y el servidor donde se reciben y envían al destinatario, elevas escrito al juzgado solicitando se oficie a las empresas propietarias de los servidores de correo salientes y entrantes para que digan si esos emails, con fechas, horas, IP del remitente, etc han salido y han sido recibidos por tal y cual, etc.
Saludos.
Funcionamiento de la transmisión-recepción de un correo.
En un correo postal el remitente rellena los campos de destinatario y pone un sello. Posteriormente, el servicio de correos pone un mata-sellos con la población de origen. Con estos datos se puede seguir la pista de por donde ha ido un correo postal.
Con los e-mails sucede lo mismo, cada escalón por el que pasa va añadiendo al mensaje una serie de datos técnicos que luego nos permitirá seguir el camino por el ha ido pasando.
-El remitente pone sus datos, los del destinatario y el mensaje, además el programa cliente de correo (del PC del remitente) añade datos como fecha y hora, así como su nombre y versión del programa, a estos datos se le suele llamar cabecera.
-El mensaje llega al servidor del remitente (proveedor de acceso a Internet), donde pone otro texto a la cabecera, estos datos suelen ser la I.P. del remitente entre otros.
-De ahí pasará por lo menos al servidor de correo del destinatario, donde añadirá otra cabecera, en el que dirá que lo ha recibido del servidor de correo anterior y a que hora.
-Al descargarlo el destinatario, su cliente de correo le añadirá otra cabecera con los datos del remitente y la hora de llegada a su servidor.