Peritajes en Informática

El formato eml de los correos electrónicos respeta el estándar RFC-822 y sus sucesores multipartes y con archivos adjuntos incluidos en el propio eml. Una vez que se realizan los análisis de rutina sobre servidor, encabezado y cuerpo de los mensajes, en ocasiones es necesario también revisar el texto ascii completo del correo en búsqueda de mayores indicios, o bien para entender el contexto de los indicios relevados por el robot cualquiera sea la metodología que utilicemos para parsear el texto ascii de encabezado y cuerpo del correo. Mi editor de preferencia siempre ha sido notepad ++, en su calidad de gratuito, liviano e integrado al explorador de archivos. El primer obstáculo con este editor es que no existe un complemento formal que permita resaltar la sintaxis de los archivos eml, solamente existiendo algunos parches que no funcionan correctamente. Razón por la cual se procedió a probar el editor Sublime (pronunciado “sabláim”) en su versión 3.1.1. build 3176 el cual

En investigación de fraude documental se considera que no existe la falsificación perfecta, sino que se habla de insuficiente investigación científica. De similar manera, el perito informático realiza una investigación científica sobre servidor, encabezado y cuerpo de los documentos electrónicos en formato eml. A continuación se muestra el registro de una comunicación  compuesta por numerosos correos electrónicos donde fue posible rastrear en el cuerpo del mensaje las fechas en las que se cursaron los correos electrónicos de una de las personas intervinientes. De: Mariano Perez <dperez@hotmail.com> Enviado el: miércoles, 9 de diciembre de 2015 8:27 a. m. Para: a ventas <aventas@hotmail.com> Asunto: RE: Oferta promoción Hola Mariano, buen dia, te comento que para (…) De: a ventas <aventas@hotmail.com>   Para: Mariano Perez <dperez@hotmail.com> Date: Thu, 3 Dec 2015 14:15:02 +0000 Asunto: RE: Oferta promoción El contrato te lo pu

1.   Testigo online por contenidos de un sitio web. Para validar un documento .pdf firmado puede utilizar la siguiente dirección url: https://valide.redsara.es/valide/validarFirma/ejecutar.html  Existen situaciones donde se debe preservar el contenido obrante en un sitio web en un momento determinado. Por ejemplo: promociones que publica un proveedor, fotos en un sitio web público, costos de determinados artículos. Al momento de un peritaje judicial existen opciones para recuperar información histórica de un sitio web con ciertas limitaciones. Así por ejemplo Internet Archive: Wayback Machine en su sitio web https://archive.org/web/ nos ofrece la posibilidad de realizar una búsqueda por hipervínculo. Si hemos tenido suerte y dicha página web ha sido almacenada por Wayback machine, entonces tendremos la posibilidad de recuperar dicho elemento y ofrecerlo como prueba en un proceso judicial siempre que la parte contraria no haya realizado una configuración especial en su sitio we

El formato de archivos xlsx posee una cantidad de archivos comprimidos cuya estructura de directorio interna presenta indicios susceptibles de  análisis . 1. Fechas: Las fechas de creación, modificación, última impresión del archivo xlsx no siempre reflejan la fecha real en la cual el archivo fue creado, modificado o impreso. Esto es debido a que al momento en que se debe realizar el  análisis , el archivo ha sido copiado a un CD o pendrive a fines de ser ofrecido como prueba. En el caso de los archivos adjuntos a los correos electrónicos, al descargar estos en la computadora se generan con la fecha local de la computadora. Lo que no permite realizar mayores  análisis  a partir de dichos elementos. 1.1 Para poder analizar los archivos de la estructura interna de cada archivo xlsx se debe contar con una herramienta de descompresión de  archivos , por ejemplo: winrar, 7zip u otro. 1.2 Se hace click sobre el archivo xlsx con el botón derecho del ratón y se selecciona la opción

Mostrándole a un compañero de trabajo sobre la posibilidad de adulterar correos electrónicos utilizando Microsoft Outlook 2016 con el servidor Exchange, se quedó sorprendido de lo fácil que resulta modificar el contenido de un  correo  electrónico. Por la manera en que se encuentra configurado Exchange, el correo también quedó impactado en OWA con lo cual el cambio realizado en la computadora se vio reflejado también en el servidor. Y surgió la pregunta sobre de qué manera sería posible determinar si un  correo  ha sido adulterado, ya que muchas de las discusiones laborales se resuelven remitiéndose a los correos electrónicos enviados y recibidos. Para determinar fehacientemente la alteración, lo ideal es contar con acceso al log de transacciones de  Exchange , pero en este caso esa posibilidad no se encuentra disponible por no poseer los accesos. Tampoco se dispone de acceso vía IMAP que permitan verificar la secuencia de UID o msgno. Razón por la cual nos queda únicamente la

Una de las tareas centrales de un perito informático oficial en causas civiles consiste en el análisis y evaluación de correos electrónicos. Podría darse el caso de que una persona fabrique una comunicación que en realidad nunca existió o bien altere un correo electrónico y modifique la fecha de recepción o algún archivo adjunto. Por todo ello, resulta necesario contar con elementos objetivos que permitan identificar rastros en la evidencia presentada que concuerden o no concuerden con lo esperable. En esta oportunidad se presenta un  análisis  de firma electrónica, el cual de resultar positivo el test realizado sería un indicio de autenticidad del correo; no obstante, el hecho de no resultar positivo el test de firma electrónica no es indicio de que el correo ha sido adulterado. Me ha sucedido en numerosas oportunidades, principalmente analizando correos electrónicos de años 2014, 2015 o anteriores donde se posee una firma electrónica, pero el mecanismo de validación no entrega un re

Los correos electrónicos recibidos desde cuentas hotmail.com, outlook.com, live.com provenientes del servidor de correo electrónico outlook.com poseen un tag generado de manera automática llamado thread-index. Dicho tag incluye de manera codificada una o más fechas y horas. De incluir una fecha, la misma se corresponde con la fecha de envío del correo electrónico y debe ser similar a la fecha obrante en el correo electrónico. De tratarse de una comunicación donde se involucra un intercambio de correos que poseen un mismo asunto y sus sucesivas respuestas o reenvíos, el tag thread-index puede incluir asimismo información sobre las fechas y horas de dichos reenvíos. Toda esta información puede ser útil al momento que se sospecha que la fecha de un correo electrónico ha sido adulterada. Una forma manual de obtener la decodificación de thread-index es la siguiente: 1) Abrir el encabezado del correo electrónico recibido e identificar la línea donde figura thread-index y