924 09 06 08

Cómo identificar al autor de un correo electrónico anónimo

Forenlab Peritos Informáticos correo electrónico · anónimos · informática forense

Cómo identificar al autor de un correo electrónico anónimo

Recibir un correo electrónico anónimo amenazante o difamatorio es más común de lo que parece. Empresas que reciben correos extorsivos, particulares acosados, despachos donde llegan emails con información confidencial filtrada… La pregunta es siempre la misma: ¿cómo se identifica a quién está detrás?. La respuesta combina técnicas de informática forense con procedimientos legales: el análisis técnico aporta indicios; las diligencias judiciales aportan la autoría definitiva.

Lo que un correo anónimo siempre lleva

Aunque el remitente intente ocultarse con un alias, una cuenta desechable o un servicio de correo “anónimo”, todo email lleva metadatos que pueden analizarse. Los más relevantes son:

1. Cabeceras técnicas (headers)

Cada correo viaja con un conjunto de cabeceras que registran su trayectoria desde el servidor de origen al de destino. Las cabeceras clave son:

  • Received: cada salto que ha hecho el correo, con la IP del remitente o del servidor.
  • Return-Path: dirección a la que se devolverían los rebotes.
  • Message-ID: identificador único asignado por el servidor de origen.
  • X-Originating-IP: en algunos servicios, la IP del remitente.
  • Authentication-Results: SPF, DKIM y DMARC, que indican si el correo es auténtico o suplantado.
  • User-Agent o X-Mailer: el cliente desde el que se envió.

2. Metadatos del cliente

Si el correo se envió desde un cliente de escritorio (Outlook, Thunderbird, Apple Mail), las cabeceras pueden delatar versión del software, sistema operativo y configuración regional.

3. Patrones lingüísticos y horarios

El análisis de redacción (estilometría) y los horarios de envío son indicios complementarios que ayudan a estrechar el círculo de sospechosos en investigaciones internas.

Pasos de la investigación

Paso 1: Obtención del correo en formato original

El primer error que comete mucha gente es reenviar el correo al perito o al letrado. Eso destruye las cabeceras originales del primer envío. Lo correcto es:

  • En Gmail: “Mostrar original” (o “Ver mensaje original”).
  • En Outlook: archivo .eml o .msg original.
  • En Apple Mail: arrastrar el correo a una carpeta del Finder genera un .eml.
  • En el servidor (cuando es posible): el email tal y como llegó, sin modificaciones del cliente.

Paso 2: Análisis de cabeceras

El perito examina los Received desde abajo hacia arriba (cronología cronológica del email):

Received: from mail.proveedor.com ([X.X.X.X])
    by smtp.destino.com with ESMTPS
    for <victima@dominio.es>; Tue, 30 Apr 2026 09:14:22 +0200

La IP del primer Received (el más antiguo) suele ser la del servidor del remitente, y a veces la del propio cliente.

Paso 3: Geolocalización y atribución de IP

Una vez identificada la IP, el perito consulta:

  • Bases de datos WHOIS (RIPE, LACNIC, ARIN): titular del rango IP.
  • Geolocalización: aproximación geográfica.
  • Listas de proxies / Tor / VPN: si la IP corresponde a un servicio de anonimización.

Si la IP es de un ISP (Movistar, Vodafone, Orange, etc.), el ISP conoce al cliente al que se le asignó esa IP en ese momento. Pero esa información solo se obtiene mediante autorización judicial.

Paso 4: Solicitud judicial al ISP o proveedor

Si la investigación es seria, el siguiente paso es una diligencia judicial que solicite al ISP los datos del titular de la IP en la fecha y hora exactas. Por la Ley de Conservación de Datos (Ley 25/2007), los ISP españoles deben conservar estos registros durante 12 meses. Pasado ese plazo, los datos se pierden.

Para ello el letrado:

  1. Presenta querella o demanda con el informe pericial.
  2. Solicita medida cautelar de diligencias preliminares o identificación del usuario de la IP.
  3. El juzgado, si lo aprecia, libra oficio al ISP.
  4. El ISP responde con el titular del contrato.

Paso 5: Investigación complementaria

Con el titular identificado, el perito y el letrado complementan la investigación con:

  • Análisis del dispositivo del sospechoso (con autorización judicial).
  • Cruce de horarios y localización.
  • Revisión de cuentas paralelas en redes sociales o foros.
  • Análisis estilométrico del lenguaje del correo comparado con otros textos del sospechoso.

Limitaciones técnicas

No todos los correos son rastreables al 100%. Los principales obstáculos:

  • Correo enviado a través de servicios anonimizadores (Tor, ProtonMail con políticas estrictas, Tutanota): la IP de origen está oculta o no se conserva.
  • VPN comerciales que no guardan logs.
  • Cuentas creadas con datos falsos y desde redes públicas (WiFi de cafeterías, bibliotecas).
  • Correos con más de 12 meses: el ISP ya no conserva los registros de asignación de IP.
  • Servicios de correo desechables (Mailinator, 10minutemail).

A pesar de estas limitaciones, la mayoría de correos anónimos en casos reales no se envían con tantas precauciones y pueden trazarse con éxito.

Caso típico: correo extorsivo a una empresa

  1. La empresa recibe un correo anónimo amenazando con publicar información confidencial salvo que se pague una cantidad.
  2. El perito recibe el correo en .eml original.
  3. Analiza cabeceras → identifica IP española de un ISP.
  4. La empresa interpone querella con el informe pericial.
  5. El juzgado libra oficio al ISP.
  6. El ISP devuelve el titular de la IP en esa fecha-hora.
  7. Se identifica al autor: en muchos casos, un ex-trabajador o un competidor.

Forenlab ha intervenido en casos de este perfil en sectores muy variados.

Identificación de autores en redes sociales y foros

La metodología es similar pero con matices:

  • Las plataformas (Twitter/X, Facebook, Instagram, LinkedIn, Telegram) responden a oficios judiciales.
  • Hay tratados de cooperación internacional (especialmente con EEUU vía MLAT).
  • Para foros pequeños y servicios de mensajería sin sede en Europa, la identificación es más difícil.

Preguntas frecuentes

¿Puedo identificar al autor sin pasar por el juzgado? Lo que no requiere juzgado es el análisis técnico (cabeceras, IP). Lo que sí requiere juzgado es obtener del ISP el titular de la IP. Sin ese paso, normalmente no se puede atribuir definitivamente.

¿Cuánto tarda la investigación? Análisis técnico: 5-10 días. Diligencias judiciales: variable según juzgado (semanas o meses).

¿Qué pasa si el correo viene de fuera de España? Aplica cooperación judicial internacional. Para EEUU es razonablemente eficaz; para algunos países asiáticos o offshore es muy lento o imposible.

¿Vale la pena intentarlo si han pasado 12 meses? Pierdes el dato del ISP, pero pueden quedar otras vías (análisis estilométrico, cuentas asociadas, dispositivos del sospechoso) si hay indicios concretos.

¿La policía investiga gratis? Las Fuerzas y Cuerpos de Seguridad investigan en casos penales (amenazas graves, extorsión, acoso). Para casos civiles o disputas privadas, el perito de parte aporta el informe técnico que sustenta la querella.

Conclusión

Identificar al autor de un correo anónimo es viable en la mayoría de casos si se actúa con rapidez (antes de 12 meses) y con metodología forense. El análisis de cabeceras y la trazabilidad de IP son la columna vertebral del trabajo, complementados con diligencias judiciales para obtener la identidad del titular. En Forenlab analizamos correos anónimos con cadena de custodia documentada y elaboramos el informe pericial para querella o demanda. Contáctanos y te respondemos en menos de 24 horas laborables.