PERICIAS EN

CORREOS
ELECTRONICOS

MBA Ing. H. Beatriz P. de Gallo

Facultad de Ingeniería
UCASAL
bgallo@ucasal.edu.ar
 El correo electrónico
• Definiciones Básicas
• Otros Elementos de Interés
• Arquitectura de un correo electrónico
 El correo electrónico como evidencia digital
• Contexto legal de un email
• Puntos de Pericia
• Criterios de validez
 Pericia de correos electrónicos:
• Técnicas y Herramientas
• Identificación de IP
• Estado del arte
 Que es un correo electrónico?
• Todo mensaje de texto, voz, sonido o imagen
enviado a través de una red de comunicación
pública que puede almacenarse en la red o
en el equipo terminal del receptor hasta que
éste acceda al mismo (Directrices de la Unión
Europea 2002/58/CE)
• servicio que permite el intercambio de
mensajes a través de sistemas de
comunicación electrónicos
 Características:
• Similar al correo postal, tiene sus propios buzones

• En 1971 Ray Tomlinson incorporó el arroba (@)

• En sus orígenes, los e-mails eran enviados

directamente desde un usuario a una computadora,

• Luego se crearon los servidores de email que

aceptan, reenvían, entregan y almacenan mensajes.
 Formato de un email
• RFC 5322 y la serie RFC 2045 a RFC 2049,
colectivamente llamados Multipurpose Internet
Mail Extensions (MIME).
 Header (cabecera)
 Body (cuerpo)
 Metadatos
 Orden de los datos
 Inclusión (o nó) según sea el caso
• https://tools.ietf.org/html/rfc5322#page-6
 Los protocolos
• SMTP: comunicación entre servidores
 Funciona en línea, encapsulado en una trama TCP/IP
 Los protocolos
• POP3 (Protocolo de oficina de correos)
 permite recoger el correo electrónico en un servidor
remoto (servidor POP)
 administra la autenticación utilizando el nombre de
usuario y la contraseña.
 esto no es seguro, ya que las contraseñas, al igual que los
correos electrónicos, circulan por la red como texto sin
codificar.
 según RFC 1939, es posible cifrar la contraseña utilizando
un algoritmo MD5 y beneficiarse de una autenticación
segura. Sin embargo, debido a que este comando es
opcional, pocos servidores lo implementan.
 Los protocolos
• IMAP ((Protocolo de acceso a mensajes de Internet)
 Es un protocolo alternativo al de POP3, pero que ofrece más
posibilidades:
 Permite administrar diversos accesos de manera simultánea
 permite administrar diversas bandejas de entrada
 Brinda más criterios que pueden utilizarse para ordenar los
correos electrónicos
• IMAP está optimizado para almacenar correos
electrónicos en el ser vidor, mientras que el
protocolo POP3 asume generalmente que los
mensajes de correo electrónico se descargan al
cliente
• Correo web o webmail:
 Servicio on line
 Los correos residen en el servidor
• Cliente de correo electrónico
 Software instalado en el dispositivo (PC, Celular,
etc.) para acceder al correo
 Los correos residen en el dispositivo
 El correo electrónico es un servicio altamente
distribuido en el que intervienen varios agentes que
desempeñan diferentes roles para lograr el
intercambio electrónico de extremo a extremo
Estos actores están agrupados como:
 Actores Usuarios
 Actores del Servicio de Gestión de
Mensajes(MHS)
 Actores de Administración de Dominio
(ADMT).
ACTORES USUARIOS:
 Autor del correo
 Destinatario del correo
 Gestor de retorno
 Mediador
Tipo de Roles y Responsabilidades
Actor
Usuario
Autor  Responsable de crear el mensaje, su
contenido, y su lista de direcciones de
destinatarios.
 El MHS transfiere el mensaje del autor y lo
entrega a los Destinatarios.
 El MHS tiene un papel Originador que se
correlaciona con la función Autor.
Tipo de Actor Roles y Responsabilidades
Usuario
Destinatario  El destinatario es un consumidor del
mensaje emitido.
 El MHS tiene un papel de receptor que se
correlaciona con el papel de destinatario.
 Un destinatario puede cerrar el bucle de
usuario de comunicación mediante la
creación y la presentación de un nuevo
mensaje de las respuestas al autor, por
ejemplo, un formulario automatizado de
respuesta es el Message Disposition
Notification (MDN)
Tipo de Roles y Responsabilidades
Actor
Usuario
Gestor  Es una forma especial de destinatarios
de que proporciona notificaciones (fallas o
Retorno terminaciones) generados por el NHS,
ya que transfiere o entrega el mensaje.
 También se le llama Bounce Handler.
Tipo de Roles y Responsabilidades
Actor
Usuario
Mediador  Recibe, agregados, reformuladas, y
redistribuye los mensajes entre los autores
y los destinatarios.
 Reenvía un mensaje a través de un
proceso de re-envío.
 Algunos ejemplos de los mediadores son:
Alias, Remitente, listas de correo,
ACTORES del Servicio de Gestión de
Mensajes(MHS)

 Originador
 Retransmisor
 Gateway (o Interfase)
 Receptor
Tipo de Roles y responsabilidades
Actor MHS
Originador  Se asegura que un mensaje es válido para
su publicación y luego lo somete a un
Retransmisor
 Es responsable de las funciones del
Agente de entrega de correo.
 También realiza cualquier post-
presentación que se refieren a errores de
envío y entrega.
 El autor crea el mensaje, pero el
Originador maneja cualquier problema de
transmisión
Tipo de Roles y responsabilidades
Actor MHS
Retransmisor  Ejecuta el enrutamiento de transferencia del servicio
MHS y la función de almacenamiento y reenvío para
transmitir o retransmitir el mensaje a los destinatarios.
 Se agrega información de seguimiento, pero no
modifica la información del mail o la semántica del
contenido del mensaje.
 Puede modificar la representación del contenido del
mensaje, tales como el cambio de la forma de
transferir codificación de binario a texto, pero sólo
(según se requiera) para cumplir con el capacidades
del siguiente salto en el MHS.
 Cuando un retransmisor deja de intentar transferir un
mensaje, éste se convierte en un autor ya que envía un
mensaje de error a la dirección del remitente.
Tipo de Roles y responsabilidades
Actor MHS

Gateway  Conecta los servicios de correo

heterogéneos a pesar de las diferencias
en su sintaxis y semántica.
 Puede enviar un mensaje útil a un
destinatario en el otro lado, y sin
necesidad de cambios en cualquiera de
los componentes en el correo de los
destinatarios del autor o servicios.
Tipo de Roles y responsabilidades
Actor MHS
Receptor  Lleva a cabo la entrega final o envía el
mensaje a una dirección alternativa.
 También puede realizar el filtrado y
cumplimiento de otras políticas,
inmediatamente antes o después del envío.
ACTORES de Administración de Dominio:
 Están asociados con diferentes
organizaciones que tienen sus propias
autoridades administrativas, políticas
de operación y Toma de decisiones
basado en la confianza
Tipo de Roles y responsabilidades
Actor ADMD

Edge  Servicios de transferencia independiente en

las redes al límite del servicio de correo
abierto de Internet.
Consumidor  Puede ser un tipo de servicio perimetral,
como es común para el acceso a correo
electrónico basado en la web
Tránsito  Proveedores de Servicios de E-Mail (ISP)
que ofrecen capacidades de valor agregado
para los actores Edge, como la agregación y
filtrado.
Porqué nos interesa esto?
 El tránsito a nivel electrónico es diferente al
nivel de conmutación de paquetes.
 La transferencia de paquetes pasa por routers;
mientras que el intercambio de correos puede
abrirse directamente entre los límites de
Actores ADMD.
 Las Redes perimetrales pueden utilizar
estándares propios de correo electrónico
interno.
 Los ejemplos más comunes de los anuncios
son: Proveedores de la empresa, Proveedores de
Servicios de Internet (ISP) y proveedores de
servicios de correo electrónico.
ARQUITECTURA DE PROCESAMIENTO DE
UN E-MAIL:
 integración de varios componentes de
hardware y software, servicios y
protocolos que proporcionan
interoperabilidad entre sus usuarios y
entre los componentes a lo largo del
camino de la transferencia
TRAZABILIDAD DE UN E-MAIL:
 Caso de ejemplo
 El correo electrónico
• Definiciones Básicas
• Otros Elementos de Interés
• Arquitectura de un correo electrónico
 El correo electrónico como evidencia digital
• Contexto legal de un email
• Puntos de Pericia
• Criterios de validez
 Pericia de correos electrónicos:
• Técnicas y Herramientas
• Identificación de IP
• Estado del arte
 Uso masivo: medio de comunicación más
utilizado en el tráfico de red
 Inmediatez: Acorta tiempos y distancia
 Multiplicidad: Permite el intercambio de
múltiples tipos de datos
 Portabilidad: Se encuentra accesible en todos
los medios de comunicación tecnológicos
 Sincrónico / Asincrónico
 Lenguaje coloquial, y es muy utilizado
para la comunicación informal
 Registro Formal de una comunicación
entre dos partes.
• es importante reconocer que es posible
recuperar la conversación y utilizarla como
prueba de que tal comunicación existió.
Consistencia del elemento probatorio:
 Fuerza y el rigor técnico suficiente
 Los profesionales del foro judicial
quieren “ver” la prueba, darle forma,
buscar el origen, su historia, imaginar
todo lo que hay alrededor de este
componente, cual si fuera un “arma
homicida”.
 Volatilidad del dato digital !
Naturaleza Jurídica del correo electrónico:
 Relacionado con el contexto jurídico,
Castro Bonilla [3] menciona tres
enfoques :
• Como correspondencia o comunicación
• Como conjunto de datos
• Como transmisor de material protegido por
derechos de autor:
Naturaleza Jurídica del correo electrónico:
 Como correspondencia o comunicación
• idéntica naturaleza que el correo postal tradicional,
• protegido por las leyes que regulan la
correspondencia epistolar.
• Tanto los datos recibidos cuanto los enviados desde
la cuenta de correo, constituyen elementos
protegidos bajo el principio de inviolabilidad de las
comunicaciones.
• Ley 26.388 incluye el término "correo electrónico"
en el tipo de violación de correspondencia privada
establecida por los arts. 153 y 154 del Código Penal.
Naturaleza Jurídica del correo electrónico:
 Como conjunto de datos
• al ser datos personales, su manipulación se
encuentra supeditada a las normas relativas a la
protección de datos personales.
• A partir del análisis forense de un correo
electrónico es posible identificar una serie de datos
del individuo (receptor/emisor del correo) que
vulnera el derecho a la autodeterminación
informativa de una persona. .
Naturaleza Jurídica del correo electrónico:
 Como conjunto de datos
• Ley 25.326 “…tiene por objeto la protección
integral de los datos personales asentados en
archivos, registros, bancos de datos, u otros
medios técnicos de tratamiento de datos, sean
éstos públicos, o privados destinados a dar
informes, para garantizar el derecho al honor y
a la intimidad de las personas, así como
también el acceso a la información que sobre
las mismas se registre,…”.
 Permitirá al Juez determinar la procedencia de la
prueba, es decir, la congruencia entre los aspectos a
conocer y la necesidad de un técnico para que lo
asesore.
 Los puntos periciales se proponen en un pliego que
señala las cuestiones técnicas, de manera clara y
precisa, siempre referidas al tema que se dilucida en
la litis y que técnicamente puedan ser respondidas
por el Perito
• Ingrese al/los equipos de la empresa y extraiga y copie los correos
internos (emails)
• Corrobore en los correos electrónicos de la empresa si existe mails
relativos al texto.....
• Verifique si fue enviado un correo electrónico desde el remitente .... al
destinatario ...
• Compulse los sistemas informáticos de la empresa y realice un backup de
los correos electrónicos
• Revisar en el servidor de la empresa si existen mails enviados en
fechas.... citados en fojas....
• Indicar que el perito se expida sobre la autenticidad del correo citado en
foja...
• Informe a cerca de la autenticidad de los correos enviados y recibidos
entre ,...... y ....
• Informe sobre la correspondencia existente mediante mails remitidos y
recibidos al correo de la actora.... por parte de la demandada.
Puntos de pericia:
 En particular interesa definir el carácter
probatorio de un correo electrónico,
mediante las características de:
• AUTENTICIDAD y
• EXISTENCIA
¿Como se pr ueba la AUTENTICIDAD?

Con la identificación de:

 REMITENTE (nombre de usuario, cuenta de
correo y dirección IP),

 TRAZABILIDAD del mismo (diferentes servicios

o agentes que intervienen en la transmisión), y

 DESTINATARIO (nombre de usuario, cuenta de

correo y dirección IP).
Comprobando la presencia del archivo
digital del correo en:
• el dispositivo emisor y/o en el servidor
del ISP del emisor
• como en el dispositivo receptor del correo
y/o en el servidor ISP del receptor;
• y ambos archivos digitales son idénticos.
 El correo electrónico
• Definiciones Básicas
• Otros Elementos de Interés
• Arquitectura de un correo electrónico
 El correo electrónico como evidencia digital
• Contexto legal de un email
• Puntos de Pericia
• Criterios de validez
 Pericia de correos electrónicos:
• Técnicas y Herramientas
• Identificación de IP
• Estado del arte
Definición de objetivos y estrategias
 Leer el expediente
 Definir unos objetivos alcanzables
 Coordinados con los servicios jurídicos
del cliente
 Entender el contexto en el que se inserta
la prueba
 Seleccionar las técnicas y herramientas
Técnicas para la realización de la pericia:
 Análisis de los datos de cabecera,
 Análisis de los equipos emisores/receptores del
correo,
 Análisis de los servidores ISP,
 Análisis de los metadatos ocultos en las
aplicaciones utilizadas para la escritura del
correo.
 Todas estas técnicas en conjunto para la
confirmación redundante sobre la autenticidad y
existencia del correo electrónico.
 Cabecera,
 Fuentes de evidencia digital:
• Sistemas abiertos (pc, laptop, notebook, etc)
• Sistemas de comunicación (, redes, servidores, etc.)
• Sistemas convergentes (celulares, memorias,
dispositivos que contengan datos digitalizados)
 Logs de servidores de correo
Almacenamiento:
 Donde encontramos copias de un mail?
• en las PCs del remitente y del destinatario
• en los servidores de correo electrónico.
• en las copias de seguridad de estos equipos
• en los dispositivos móviles de los usuarios
 La clave para asegurar la evidencia confiable
es…copias alternativas!
• saber cómo funciona el servicio de mail
• Saber cómo se almacenan las copias
 Software para la gestión de los mails:
• Programas clientes
• Webmail
 Donde se almacenan los mensajes?
• En bases de datos estructuradas
• Permiten realizar búsquedas sofisticadas de
mensajes
• Pueden existir copias en la memoria caché
Almacenamiento:
 Sistemas gestores de mails:
• Grandes volúmenes de mensajes
• Múltiples usuarios intervinculados
• Requieren herramientas complejas para analizar los
correos:
 Intella (https://www.vound-
software.com/individual-solutions)
 Nuix
(https://www.nuix.com/products/nuix-
investigator-lab)
Almacenamiento:
 Inconvenientes:
• La búsqueda puede ofrecer datos no pertinentes a
la causa
• Restricciones legales sobre la vigilancia del
empleador hacia sus empleados que se aplican a
los mensajes de correo electrónico, llamadas
telefónicas y navegación por la web, cctv, etc.
• “Registro de negocio”
Almacenamiento:
 Consideraciones para evitar la inadmisibilidad
de la prueba:
• Se debe mantener el procedimiento escrito, claro y
estructura de COMO se obtuvo el correo
• Se debe evitar la extracción de datos NO
CONDUCENTES a la causa
• Se debe resguardar la cadena de custodia
• Ante la duda…las BUENAS PRÁCTICAS de auditoría
pueden ayudar.
Que és una IP?
 son la forma en que los ordenadores y otros
dispositivos se identifican en Internet.
 Se registran de forma automática en varios
archivos de registro y configuración
 Aparecen en los registros generados por
los servidores web y en encabezados de
correo electrónico
Rastreo de IP:
Como se estructura una red?
 cada equipo o dispositivo debe ser identificado
por separado
 existe un enlace de cable u otro que conecta a
cada dispositivo al menos una vez
 comunicaciones entre computadoras se
descomponen en paquetes
 Existen formas de corrección de errores de
envio para evitar las pérdidas de datos
Protocolos:
Que és TCP/IP?
 Protocolo más utilizado es debido a que es de
código abierto
 TCP / IP se encuentra actualmente en la
revisión:
• IPV4
• IPV6
 Formato de las direcciones:
• 123.345.123.345 (cuaterna)
• 2001:0db8:85a3:0000:0000:8a2e:0370:7334 (octeto)
 se utiliza ampliamente en las redes corporativas y
el hogar.
 Cada dispositivo - computadora, impresora de red,
etc - tiene una dirección en la red interna.
 Rango 192.168.0.nnn o 192.168.1.nnn que se
encuentran entre los "reservados" para ese
propósito.
 Comunicación interna: directa
 Comunicación externa: router.
 En un gran ambiente corporativo el rango de
direcciones IP interna es a menudo de10.0.0.0-
10.255.255.255.
IP Fija:
 Rol de router:
• Seguimiento de las solicitudes de cada
ordenadores internos hace al mundo exterior
(y las respuestas a los mismos),
• Así, para el mundo exterior puede parecer
que ser sólo un ordenador, mientras que la
red interna puede tener decenas o incluso
cientos de ordenadores.
• Problema?....quien envió el mail?....
IP Dinámica:
 Utilizada por proveedores de servicios de
Internet para optimizar el uso de las
direcciones públicas disponibles
 Los suscriptores del servicio modifican su IP
cada vez que resetean/apagan su router
 Pero…hay un REGISTRO de esta asignación
en el servidor
 Protocolo llamado RADIUS (Remote Dial de
autenticación de Servicio de usuario)
Pasos para rastrear una IP:
 una búsqueda mediante WHOIS o similar
 Solicitar la data al ISP (autorización legal)
 Puede haber varios dispositivos conectados en
el mismo momento
 Cada equipo puede tener más de un usuario
autorizado;
 Se debe establecer una cronología de la
actividad para identificar los dispositivos y
usuarios que actuaron en cada momento
 Problema?....wifi vulnerable
Que se debe evitar:
 La dirección IP externa NO se asocia a una
persona en particular, cuando existen varios
dispositivos en el lugar
 El servicio de Internet ofrece acceso
inalámbrico escasamente seguro
 Puede existir un control externo del dispositivo
por un troyano simulando una ubicación irreal
Herramientas
- eMailTrackerPro (analiza los encabezados de
correo),
- Email Tracer (identifica el trazado o camino
recorrido por un correo electrónico desde la
emisión hasta la recepción),
- Adcomplain (informe los abusos de mailing),
- Aid4Mail Forense (utilizado para la migración y
conversión de correos de/a diversos formatos),
Herramientas

• FTK (utilizada para el descifrado de claves),

• Encase (para la obtención de un archivo
imagen del correo con el objeto de preservar
la prueba original libre de manipulación),
• FINALeMAIL (para restaurar y recuperar mails
borrados o perdidos).
Frameworks integrados
- Integrated E-mail Análisis Forense Framework
(IEFAF):
- Navegador Interbase de datos,
- Explorador de estadísticas,
- Explorador de minería de datos,
- submódulo Weka y
- Explorador de E-mail.
- Integrated E-mail Análisis Forense Framework
(IEFAF):
- Visor de Edición de Detalles del e-mail,
- Visor de mapas para la ubicación geográfica de las
IP encontradas en el e-mail,
- Visor de Estadísticas acerca de la frecuencia de uso
de palabras, eventos u objetos repetitivos;
- Visor de red social que muestra la vinculación entre
todos los IP y nombres de clientes de mail; y
- Visor de minería de datos que opera con Weka
Por donde va el tema?
 Se les pide a los abogados cada vez más a ser
igualmente versado en legal, así como otras
cuestiones técnicas o de negocios.
 el concepto de documento necesita ser
extendido …"no importa el material que se
utiliza, sólo que hay algo que trae en sí
suficientes caracteres para dar testimonio de un
hecho ocurrido.“
Por donde va el tema?
 grupos de enfoque de expertos deliberan
sobre temas críticos que enfrentan los
profesionales de la forensia digital
 Cloud computing: seguridad vs costos,
dificultades para utilizar herramientas forenses
tradicionales
 Estudios estadísticos de masas de correos:
escenarios de predicción de respuestas y
comportamientos
 The Forensic Challegner (teoría de juegos
+elearning)
Aplicación de técnicas estilométricas:
 Análisis comparativo de escritura y estilo del texto de correos
anónimos
 Objetivos:
• determinar si existen diferencias objetivas entre los mensajes
de correo electrónico originarios de diferentes autores,
basados únicamente en el texto contenido en el mensaje y en
la estructura del mensaje
• determinar si el estilo de un autor es consistente dentro de sus
propios textos
• determinar algún método para automatizar el proceso de
identificación de autoría
• determinar si existe alguna diferencia inherente entre la forma
en que las personas con atributos sociales similares, como el
género, la edad, el nivel educativo o el idioma fondo, construir
mensajes de correo electrónico.
Aplicación de técnicas de representación del
conocimiento:
 Ontologías
Naturaleza Propiedad
Jurídica

Como correspondencia o
comunicación Privado

Como conjunto de
datos Empresarial/Laboral

Como transmisor de
material protegido por
derechos de autor
PROCEDIMIENTOS
FORMALES

TÉCNICAS Y
HERRAMIENTAS

PUNTOS DE PERICIA
 Autenticidad Existencia

Identificación del remitente Archivo digital en el

dispositivo emisor

Trazabilidad Archivo digital en el

dispositivo receptor

Identificación del Ambos archivos digitales

destinatario sean idénticos
Aplicación de tecnologías semánticas a la Forensia Digital

Objetivo:

Generar un contexto de análisis de la evidencia

digital que permita una visión integrada,
sistemática y orientada al sujeto
1.¿Cuáles son las partes de un correo electrónico que resultan de
interés para un análisis forense?

2.¿Cuáles son los componentes informáticos a través de los

cuales se escribe y se lee un correo electrónico?

3. ¿Cuáles son los datos o componentes que permiten validar

la existencia de un correo electrónico?

3.1. ¿Cuál es la fecha, hora y dirección 3.2. ¿Cuál es la fecha, hora y dirección
IP de emisión del correo electrónico? IP de recepción del correo electrónico?
 Conceptualización
Concepto Descripción Atributos de instancia
Cuenta de correo emisor
Cuenta de correo receptor
Todo mensaje de texto, voz, sonido o
ID del Mensaje
imagen enviado a través de una red
Fecha y hora emisión
Correo de comunicación pública que puede
Fecha y hora recepción
Electrónico almacenarse en la red o en el equipo
Dirección IP
terminal del receptor hasta que éste
Asunto
acceda al mismo
Cuerpo
Archivo adjunto
Alias
Emisor Usuario que envía el correo electrónico Nombre
Firma
Alias
Usuario que recibe el correo
Receptor Nombre
electrónico
Firma
Tipo de Hardware
Componente informático que interviene
Identificación única del equipo
Hardware en el emisión/transmisión/recepción del
Dirección IP del equipo
correo electrónico
Nombre del equipo
… … …
Axioma 1: sobre la autenticidad de
un correo electrónico

Un correo electrónico es auténtico cuando se

identifican:
• los datos del remitente (nombre de usuario, cuenta de
correo y dirección IP),
• la trazabilidad del mismo (diferentes servicios o agentes
que intervienen en la transmisión) y
• los datos del destinatario (nombre de usuario, cuenta de
correo y dirección IP).
 Axiomas

Axioma 2: sobre la existencia de

un correo electrónico

Un correo electrónico existe cuando se comprueba

la presencia del archivo digital del mismo:
• en el dispositivo emisor (ó en el servidor del ISP del emisor)
• en el dispositivo receptor del correo (ó en el servidor ISP del
receptor); y
• ambos archivos digitales son idénticos.
 CORREO

OCURRENCIA OCURRENCIA DE OCURRENCIA DE

DE EMISIÓN TRANSMISIÓN TRANSMISIÓN
OCURRENCIA DE
OCURRENCIA DE
TRANSMISIÓN
TRANSMISIÓN
OCURRENCIA DE
OCURRENCIA DE
TRANSMISIÓN
TRANSMISIÓN
OCURRENCIA DE OCURRENCIA DE
RECEPCIÓN RECEPCIÓN
• “Todo correo tiene un emisor y es único”
• “Todo correo debe tener al menos un receptor”
• “Todo correo tiene una secuencia de ocurrencias
• “Toda secuencia está conformada por al menos un hilo
de ocurrencias”
• “Toda ocurrencia que no tenga una anterior será una
ocurrencia de emisión”
• “Toda ocurrencia que tenga una anterior y una
siguiente será una ocurrencia de transmisión”
• “Toda ocurrencia que no tenga una siguiente será una
ocurrencia de recepción”
 “Todo correo tiene un emisor y es único”
Correo (x): - es correo
Emisor (x):- es emisor
emiteUn es una relación entre CORREO y EMISOR: emiteUn(c,e)

x / Correox e / Emisor e  emiteUnx, e

x / Correox e1 , e2 / Emisor e1   Emisor e2   emiteUnx, e1   emiteUnx, e2   e1  e2
Problemática del correo electrónico:
• Datos de cabecera y cuerpo que se encuentran
residentes en archivos propietarios de los clientes de
correo que gestionan la cuenta de mail
Necesidad de utilizar otras técnicas:
• Instanciación Automática de Ontologías (IAO) a
partir de textos o datos no estructurados
• Herramientas de búsqueda y recuperación de
información o Information Search and Retrieval (ISR)
Comprende recuperación extracción de carga de la
tres de la la información ontología
información necesaria
etapas:
Estado Actual
• Segunda iteración
• Formalización con lógica de primer orden
• Instanciación
• Incorporación de conceptos del contexto
jurídico
• Encuesta de opinión sobre puntos de pericia
• Estudio comparativo de herramientas de
forensia digital
• Pruebas experimentales
• Reusabilidad de ontologías
PREGUNTAS?
 International Journal of Network Security & Its Applications (IJNSA),Vol.3, No.6,
November 2011
 DOI : 10.5121/ijnsa.2011.3617 227
 M.Tariq Banday, TECHNIQUES AND TOOLS FOR FORENSIC INVESTIGATION OF E-
MAIL, P. G. Department of Electronics and Instrumentation Technology
 Hadjidj, R., Debbabi, M., Lounis, H., Iqbal, F., Szporer, A., & Benredjem, D. (2009).
Towards an integrated e-mail forensic analysis framework. digital investigation, 5(3),
124-137.
 Abraham Pasamar, 2011, La prueba pericial informática frente a la impugnación de
la autenticidad de un e-mail
 Kooti, F., Aiello, L. M., Grbovic, M., Lerman, K., & Mantrach, A. (2015). Evolution of
Conversations in the Age of Email Overload. arXiv preprint arXiv:1504.00704.
 Gupta, G., Mazumdar, C., & Rao, M. S. (2004). Digital Forensic Analysis of E-mails: A
trusted E-mail Protocol. International Journal of Digital Evidence, 2(4), 8.
 Corney, M.W. (2003). Analysing e-mail text authorship for forensic purposes(Doctoral
dissertation, Queensland University of Technology).