Peritos informáticos de Indalics realizaron un informe pericial informático sobre la autenticidad de mails en un caso de robo de información corporativa y daños informáticos en el marco de una instrucción penal en los juzgados de Marbella.
Mails corporativos para sustraer información de la empresa
Una empresa radicada en Marbella detectó que un empleado había remitido numerosos correos electrónicos a una cuenta externa Gmail con abundante información corporativa muy sensible. Al objeto de documentar el suceso y antes de que dichos correos pudieran ser eliminados por el empleado, la empresa contactó a los peritos informáticos de Indalics con el fin de realizar el debido estudio forense y posterior dictamen pericial informático sobre la autenticidad de los correos.
Fueron objeto de estudio de urgencia más de 50 correos electrónicos para lo que se nos requirió:
- Intervenir los ficheros electrónicos de cada uno de los mails, estableciendo su cadena de custodia digital
- Estudio sobre el origen y autenticidad de los documentos adjuntos que figuraban en cada correo electrónico
- Determinar la autenticidad de mails intervenidos, especialmente sobre su fecha de envío y destino.
- Transcripción del contenido de mails y ficheros adjuntos.
Estudio de autenticidad de mails corporativos
Así, el perito informático de Indalics procedió a acceder al buzón de correo corporativo del que partieron los mails, encontrando unos 50 correos electrónicos con información sensible, todos ellos remitidos a una cuenta Gmail externa en un día concreto, a lo largo de hora y media. Para ello los peritos documentaron la situación de los correos y descargaron de cada uno de ellos el fichero electrónico con extensión EML, el cual contiene el código informático que constituye realmente el mail, en contraposición a su representación visual o escrita en pantalla o papel.
Tras examinar el código MIME de los correos no se encontraron incoherencias que hicieran sospechar de una manipulación de los mismos. Ésta circunstancia, que estuvieran alojados en un hosting externo sin posibilidad de acceder con privilegios administrativos que permitieran manipular los correos depositados en el buzón y que ninguno de los ficheros adjuntos hubiera sido creado con posterioridad a la supuesta comunicación electrónica, permitieron inferir autenticidad de mails objeto de estudio.
El código MIME de un correo electrónico
Multipurpose Internet Mail Extensions o MIME (en español «extensiones multipropósito de correo de internet») son una serie de convenciones o especificaciones dirigidas al intercambio a través de Internet de todo tipo de archivos (texto, audio, vídeo, etc.) de forma transparente para el usuario. Una parte importante del MIME está dedicada a mejorar las posibilidades de transferencia de texto en distintos idiomas y alfabetos. En sentido general las extensiones de MIME van encaminadas a soportar:
- Texto en conjuntos de caracteres de distintos formatos;
- Adjuntos que no son de tipo texto;
- Cuerpos de mensajes con múltiples partes (multi-part);
- Información de encabezados.
Prácticamente todos los mensajes de correo electrónico escritos por personas en Internet, y una proporción considerable de estos mensajes generados automáticamente, son transmitidos en formato MIME a través de SMTP. Los mensajes de correo electrónico en Internet están tan cercanamente asociados con el SMTP y MIME que usualmente se les llama mensaje SMTP/MIME.
Los clientes de correo y los servidores de correo convierten automáticamente desde y a formato MIME cuando envían o reciben (SMTP/MIME) e-mails.
Correos electrónicos aportados al proceso judicial
Así, el letrado de la parte actora procedió a aportar los correos electrónicos intervenidos y peritados informáticamente ante los juzgados de Marbella. Con ello, evita que dichos correos puedan ser impugnados en caso de aportarlos únicamente impresos en papel, ya que se aporta la prueba electrónica documentada y certificada por un perito informático colegiado. Constituye un grave error aportar sólo los correos en papel, por la facilidad con la que la parte contraria puede impugnarlos para que el tribunal no los tenga en cuenta.
Ratificación del perito ante los juzgados de Marbella
En fecha reciente, Pedro De La Torre Rodríguez, perito informático colegiado, titular del despacho Indalics, acudió a los juzgados de instrucción de Marbella para ratificar su informe pericial y someterse a las preguntas de las partes. En dicho trámite únicamente acudió la parte actora, y tras ratificarse el perito en la autenticidad de los mails, formuló una serie de preguntas con el fin de clarificar al tribunal su acusación.
Tras concluir el perito informático su declaración, continúa abierta la instrucción penal tanto por sustracción de información corporativa como por daños informáticos, dado que el perito pudo documentar que los correos y sus adjuntos fueron eliminados escasas horas después de haberlos peritado.