924 09 06 08

Validez judicial de un email: cómo se autentica un correo electrónico

Forenlab Peritos Informáticos email · validez judicial · informática forense · prueba digital

Validez judicial de un email: cómo se autentica un correo electrónico

Un correo electrónico puede ser prueba decisiva en un juicio: lo usamos cada día y guardamos en él contratos, instrucciones, reconocimientos de deuda y conversaciones que comprometen a las partes. El problema es que, técnicamente, un email es trivial de falsificar: cualquiera puede escribir un mensaje, alterar las fechas en su propia bandeja o reenviar uno modificado. Por eso, ante un juez, no basta con imprimir el correo. Hay que autenticarlo.

Este artículo explica qué hace exactamente un perito informático para que un email sea aceptado en sala con valor probatorio sólido.

¿Qué se discute realmente cuando se aporta un email?

Cuando una de las partes presenta un email como prueba, la parte contraria casi siempre lo impugna alegando uno o varios de estos puntos:

  • Manipulación del contenido: “El email original no decía eso, lo han cambiado”.
  • Manipulación de la fecha: “Yo no envié eso ese día, lo han antedatado”.
  • Suplantación de identidad: “Ese email no salió de mi cuenta”.
  • Cadena de reenvíos rota: “Han reenviado el email muchas veces y han perdido los metadatos originales”.

El trabajo del perito es descartar técnicamente cada una de estas hipótesis con evidencias verificables.

El email no es lo que ves: son las cabeceras

Cuando lees un correo en Gmail o Outlook, ves una versión resumida y formateada del mensaje. Pero detrás hay un objeto técnico mucho más rico: el archivo .eml completo con todas las cabeceras (headers).

Las cabeceras contienen:

  • Received: — cada salto que ha hecho el correo, con IPs, servidores y timestamps.
  • Message-ID: — identificador único asignado por el servidor de origen.
  • DKIM-Signature: — firma criptográfica que el servidor de origen pone para que el receptor verifique que el mensaje no ha sido alterado en tránsito.
  • Authentication-Results: — verificación SPF/DKIM/DMARC realizada por el servidor receptor.
  • Return-Path: — dirección a la que se devolverían los rebotes.
  • X-Originating-IP y similares — añadidas por algunos servidores de correo.

Imprimir un email borra todas estas cabeceras. Por eso un pantallazo o impresión es prueba insuficiente ante un juez si la otra parte impugna.

Los 4 pilares de la autenticidad

1. Cabeceras completas y servidores intermedios

El perito recibe el archivo .eml original (no una impresión, no una captura) y verifica el camino completo que ha seguido el correo. Si hay incoherencias —un servidor que no debería estar en la ruta, una IP de un país inesperado, un timestamp desordenado— se documenta y eleva sospecha de falsificación.

Si quieres entender mejor cómo se leen estas cabeceras, ver: cómo identificar al autor de un correo electrónico anónimo.

2. Firma DKIM

DKIM es una firma criptográfica que pone el servidor de envío. El receptor consulta el DNS del dominio remitente, obtiene la clave pública y verifica la firma sobre el contenido del mensaje + ciertas cabeceras. Si el contenido o la cabecera se han alterado tras el envío, la firma DKIM falla.

El perito vuelve a verificar la DKIM en laboratorio. Si falla por motivos legítimos (clave rotada por el proveedor, rotación expirada) lo documenta. Si pasa correctamente, el contenido del email es íntegro al menos hasta el primer servidor receptor — eso le da peso probatorio enorme.

3. Confirmación con el servidor de origen

Si el remitente colabora, se puede solicitar al proveedor de correo (Google Workspace, Microsoft 365, el servidor IMAP del despacho…) los logs del envío. Estos logs son llevados con políticas de retención de la propia empresa proveedora y son prueba independiente.

Si el remitente no colabora, se puede pedir al juez que requiera al proveedor mediante diligencia probatoria.

4. Cadena de custodia de la copia pericial

El perito clona el buzón original (o la parte relevante) preservando los archivos .eml con sus hashes MD5/SHA-256. A partir de ahí trabaja sobre la copia, no sobre el original. El acta de cadena de custodia documenta cuándo, dónde, con qué herramientas y bajo qué supervisión se hizo la copia.

Para detalles, ver: cadena de custodia digital.

Errores típicos que invalidan un email como prueba

A lo largo de muchos casos, hemos visto los siguientes errores frecuentes:

  • Imprimir el email y aportarlo como pantallazo: sin cabeceras técnicas, la otra parte impugna y suele tener éxito.
  • Reenviar el email al perito en lugar de exportarlo: el reenvío altera las cabeceras originales y puede romper la firma DKIM.
  • Trabajar sobre el correo en la propia bandeja sin clonarlo: si se modifica algo (incluso por error, como mover a otra carpeta) la integridad queda en duda.
  • Esperar demasiado: las políticas de retención de los proveedores son cortas. Microsoft 365 conserva ciertos logs solo 90 días por defecto. Si el caso se mueve lento, las pruebas pueden desaparecer.

Casos en los que el email es prueba aceptada sin discusión

  • Email firmado digitalmente con certificado cualificado (eIDAS): tiene presunción de autenticidad y la otra parte tiene que probar lo contrario.
  • Email con sello de tiempo cualificado de un prestador acreditado: la fecha es indiscutible.
  • Email registrado por un servicio de notificación electrónica certificada (tipo certified email, lleva trazabilidad notarial integrada).

Si los emails relevantes para tu caso son de este tipo, la autenticación es automática y el peritaje se concentra en el contenido, no en la prueba de origen.

Resumen práctico

Si vas a usar un email como prueba:

  1. Exporta el archivo .eml completo desde tu cliente de correo (no imprimas ni hagas pantallazos).
  2. Contacta a un perito informático antes de que pasen 30 días desde el envío original.
  3. No reenvíes el correo ni a tu abogado ni a nadie — eso contamina la cadena de custodia.
  4. Conserva el dispositivo original y no formatees ni reinstales hasta que el perito haya hecho la copia.

Y si la otra parte es la que aporta el email contra ti, lo primero es pedir el archivo .eml original y verificarlo con un perito antes de aceptarlo. Muchos casos se ganan solo demostrando que el email aportado por la contraria no se sostiene técnicamente. Más información sobre el perito informático y los servicios periciales que ofrecemos.