dictamen pericial sobre correo electrónico enviado

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

A quien correspondaPresente.A continuación podrá encontrar el informe del análisis Informático Forense que he realizado con el objeto de revolver los cuestionamientos que me ha planteado.Dicho análisis ha sido realizado de acuerdo con las normas técnicas y éticas que rigen en mi profesión, las cuales requieren que la revisión sea planeada y realizada de tal manera que permita obtener una seguridad razonable de que los procedimientos seguidos, la información, contenidos, características y conclusiones que derivan de ellos, corresponden a la realidad, veracidad y valor de los hechos y aseveraciones técnicas expuestos.

DICTAMEN PERICIALI. ANTECEDENTESHaciendo uso de los elementos e información que se me proporciono para el presente estudio, se realizó el análisis y estudio del mensaje o correo electrónico objeto de estudio que fue enviado desde la cuenta de correo santibernabeu4@gmail.com y que fue recibido en la cuenta de correo asesoria@lloydmex.com, para determinar su posible origen y atribuibilidad.

El estudio de referencia consistió en la validación y traza inversa de los datos e información contenida en los encabezados de Internet de dicho correo electrónico en su formato nativo identificando su probable origen, ruta y verificación de los equipos informáticos involucrados en su trasmisión. Así mismo se realizó la investigación correspondiente respecto a los dominios de Internet involucrados y de las direcciones IP identificadas en los encabezados de Internet de referencia.

A partir de estos elementos, ha sido posible determinar la validez autenticidad y fiabilidad de los datos registrados en los encabezados de Internet del mensaje intercambiado, la posible ubicación geográfica de la dirección IP desde donde fue originado, el estado de la cuenta de correo electrónico desde la que fue enviado, su atribuibilidad y otra información relevante respecto a los atributos técnicos del correo objeto de estudio. A continuación se documentan las pruebas realizadas y los resultados obtenidos.

II. MATERIAL MOTIVO DE ESTUDIO.

Para la elaboración del presente dictamen pericial he tomado en cuenta:

• Acceso a la cuenta de correo electrónico asesoria@lloydmex.com, a partir del proveedor de servicios de correo electrónico de dicho dominio Gmail.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

• Correo electrónico objeto de estudio recibido el día 23 de mayo de 2012 de la cuenta de correo antibernabeu4@gmail.com, con asunto “Lic.Pub.NalMixta No LA-016B00009-N22-2012 (ajuste por 26 millones)”, en su formato nativo.

• Encabezados de Internet del correo electrónico de referencia obtenidos a partir del archivo electrónico en su formato nativo.

III. TOMA DE MUESTRAS.

A fin de allegarme de los elementos necesarios para realizar los estudios y análisis requeridos para determinar el origen, fiabilidad y autenticidad del mensaje de correo electrónico objeto de estudio, se me proporcionó el acceso al contenido de la cuenta de correo en donde fue recibida la comunicación de referencia. A continuación se describe el procedimiento seguido para la identificación y toma de muestra de mérito.

En un equipo de cómputo de mi propiedad con acceso a Internet se ejecutó el programa navegador Microsoft® Internet Explorer®, versión 9.0, desde donde se proporciono la URL www.gmail.com,

Versión del programa navegador empleado para la toma de muestras descrita.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Dirección de Internet o URL empleada.

Detalle de la pantalla anterior.

Una vez que el sitio de referencia responde se despliega la pantalla de autenticación y acceso al servicio de correo electrónico en donde el usuario ingresa su cuenta de correo y la contraseña que lo identifica y válida como titular de dicha cuenta.

El suscrito proporcionó los datos de autenticación para acceder al contenido de la cuenta de correo asesoria@lloydmex.com, tal y como se observa en las siguientes pantallas.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Pantalla de autenticación del servicio.

Datos de autenticación proporcionados.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Una vez que el sistema autenticó y validó los datos proporcionados, se desplego el contenido de la cuenta de correo electrónico de referencia, en donde se identificó la existencia del mensaje objeto de estudio, específicamente dentro de la carpeta denominada “Papelera”.

Identificación del correo electrónico objeto de estudio.

Detalles de la pantalla anterior.

Una vez identificado el mensaje de correo electrónico objeto de estudio, se obtuvo constancia de su contenido, sus propiedades y atributos técnicos, parte relevante de dichos elementos se encuentra registrada en los encabezados de Internet que forman parte del archivo electrónico, por lo que procedí a obtener una copia de los mismos.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Contenido del mensaje de correo electrónico de referencia.

Detalle de la pantalla anterior.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Propiedades del mensaje identificado.

Identificación de los encabezados de Internet.

Encabezados de Internet del correo objeto de estudio.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Una vez observados y obtenidos todos lo elementos que en mi opinión son necesarios para determinar el origen, fiabilidad y autenticidad del correo electrónico objeto de estudio, procedí a realizar la validaciones y análisis de mérito.IV. ANÁLISIS CORREO OBJETO DE ESTUDIO.

Correo

De: Para: Asunto: Fecha:

Santiago Bernabéu santibernabeu4@gmail.com asesoria@lloydmex.com

Lic.Pub.NalMixta No LA-016B00009-N22-2012 (ajuste por 26 millones)

23 de mayo de 2012 16:13

EncabezadoDelivered-To: asesoria@lloydmex.comReceived: by 10.229.39.143 with SMTP id g15csp49560qce; Wed, 23 May 2012 14:13:10 -0700 (PDT)Received: by 10.68.201.169 with SMTP id kb9mr11587540pbc.101.1337807590086; Wed, 23 May 2012 14:13:10 -0700 (PDT)Return-Path: <santibernabeu4@gmail.com>Received: from mail-pz0-f48.google.com (mail-pz0-f48.google.com [209.85.210.48]) by mx.google.com with ESMTPS id qt1si4066296pbc.236.2012.05.23.14.13.09 (version=TLSv1/SSLv3 cipher=OTHER); Wed, 23 May 2012 14:13:10 -0700 (PDT)Received-SPF: pass (google.com: domain of santibernabeu4@gmail.com designates 209.85.210.48 as permitted sender) client-ip=209.85.210.48;Authentication-Results: mx.google.com; spf=pass (google.com: domain of santibernabeu4@gmail.com designates 209.85.210.48 as permitted sender) smtp.mail=santibernabeu4@gmail.com; dkim=pass header.i=@gmail.comReceived: by dadz8 with SMTP id z8so13416296dad.35 for <asesoria@lloydmex.com>; Wed, 23 May 2012 14:13:09 -0700 (PDT)DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type; bh=3J8vZHNrfSAfLtB7Lpbe8zwKhW02srNV/za6W2E6ocg=; b=wGFuB1h+Ozfov/sCRnZgwnTpRYsZlI46VdsCuQG8WuHGRa3yYtuRUw3UzOAvhlZEhH oyGHC0KO112JixV+rtWgwUuOQDb85ROJ2RcmUHSuyMnpuZyKbfGpfBOiIxlY52GMXAwT NHbN5JPSyoDYlxXzAAKQoYaNbUqOU2eloElaf1xl1692wg7pSE3C4sJoML9WFsNWOefN H+XdtKouHCu55mZdqDIhJNg8Ih5ZjPtTX4GNO7N98l7SELnivJx0v7+iNhJ+BycPC8s3 YPTs35oolEtqXyjdNfbIO8WWjT+YyWE/bZzi//MzUrw0vTQ8gIdx6ZkLypnueT93i4z3 Jrcg==MIME-Version: 1.0Received: by 10.68.237.74 with SMTP id va10mr14080795pbc.46.1337807589517; Wed, 23 May 2012 14:13:09 -0700 (PDT)Received: by 10.68.4.230 with HTTP; Wed, 23 May 2012 14:13:09 -0700 (PDT)Date: Wed, 23 May 2012 16:13:09 -0500Message-ID: <CALSm7P-H+MR-+n-Cg7udLojSWuv+-G3JzN56ctp-uy1uX24XRw@mail.gmail.com>Subject: =?UTF-8?B?TGljLlB1Yi5OYeKAi2xNaXh0YSBObyBMQS0wMTZCMDAw4oCLMDktTjIyLTIwMeKAizIgKA==?=

=?UTF-8?B?YWp1c3RlIHBvciAyNiBtaWxsb25lcyk=?=From: Santiago Bernabeu <santibernabeu4@gmail.com>To: asesoria@lloydmex.comContent-Type: multipart/alternative; boundary=047d7b33d08826a83604c0ba9a97

--047d7b33d08826a83604c0ba9a97Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: quoted-printable

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Reporte del resultado del análisis del encabezado

Análisis de todas la direcciones IP identificadas en el encabezado.

Dirección IP Ciudad Bandera País

209.85.210.48 Google Mountain View Estados Unidos

Análisis del Encabezado

Información Origen Información Correo Información GeográficaDirección IP Origen De Continente

Host Origen Remitente Latitud

Organización Origen Asunto Longitud

País Origen Fecha Zona Horaria

Ciudad Origen Identificador del Mensaje GMT offset

Ruta seguida por el correo

santibernabeu4@gmail.comMiércoles, 23 Mayo 2012 14:13:09 -0700 (PDT)

[10.68.4.230]Miércoles, 23 Mayo 2012 14:13:09 -0700 (PDT)

[10.68.237.74]Miércoles, 23 Mayo 2012 14:13:09 -0700 (PDT)

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

mail-pz0-f48.google.com(209.85.210.48)Miércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

mx.google.comMiércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

--Miércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

[10.229.39.143]

asesoria@lloydmex.com

Recibido por Recibido de Fechaasesoria@lloydmex.com [10.229.39.143] --

[10.229.39.143] -- Miércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

-- mx.google.com Miércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

mx.google.com mail-pz0-f48.google.com[209.85.210.48]

Miércoles, 23 Mayo 2012 14:13:10 -0700 (PDT)

mail-pz0-f48.google.com[209.85.210.48] [10.68.237.74] Miércoles, 23 Mayo 2012 14:13:09

-0700 (PDT)

[10.68.237.74] [10.68.4.230] Miércoles, 23 Mayo 2012 14:13:09 -0700 (PDT)

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

[10.68.4.230] santibernabeu4@gmail.com Miércoles, 23 Mayo 2012 14:13:09 -0700 (PDT)

Detalles obtenidos desde los Registros Regionales de Internet

Dominio/Registrante IP Registr

o País Ciudad/Dirección ISP

10.229.39.143 ** ** ** **

mail-pz0-f48.google.com209.85.210.48GOOGLE INC.

ARIN UNITED STATES MOUNTAIN VIEW GOOGLE

INC.

10.68.237.74 ** ** ** **

10.68.4.230 ** ** ** **

Validación de las direcciones de correo electrónico identificadas

Dirección Remitente

ResultadosDirección Válida: <santibernabeu4@gmail.com>Registros MXPreferencia Intercambio Dirección IP

5 gmail-smtp-in.l.google.com [173.194.77.26]

10 alt1.gmail-smtp-in.l.google.com [0.0.0.0]

20 alt2.gmail-smtp-in.l.google.com [0.0.0.0]

30 alt3.gmail-smtp-in.l.google.com [0.0.0.0]

40 alt4.gmail-smtp-in.l.google.com [0.0.0.0]

Sesión SMTP

[Contactando gmail-smtp-in.l.google.com [173.194.77.26]...][Conectado]220 mx.google.com ESMTP qk9si7754234obc.155EHLO Network-Tools.com

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

250-mx.google.com at your service, [67.222.132.193]250-SIZE 35882577250-8BITMIME250-STARTTLS250 ENHANCEDSTATUSCODESVRFY santibernabeu4252 2.1.5 Send some mail, I'll try my best qk9si7754234obc.155RSET250 2.1.5 Flushed qk9si7754234obc.155EXPN santibernabeu4502 5.5.1 Unimplemented command. qk9si7754234obc.155RSET250 2.1.5 Flushed qk9si7754234obc.155MAIL FROM:<admin@Network-Tools.com>250 2.1.0 OK qk9si7754234obc.155RCPT TO:<santibernabeu4@gmail.com>250 2.1.5 OK qk9si7754234obc.155RSET250 2.1.5 Flushed qk9si7754234obc.155QUIT221 2.0.0 closing connection qk9si7754234obc.155[Conexión cerrada]

Dirección Destinatario

ResultadosDirección Válida: asesoria@lloydmex.comMX records

Preferencia Intercambio Dirección IP

10 aspmx.l.google.com [0.0.0.0]

20 alt1.aspmx.l.google.com [0.0.0.0]

30 alt2.aspmx.l.google.com [0.0.0.0]

40 aspmx2.googlemail.com [0.0.0.0]

50 aspmx3.googlemail.com [0.0.0.0]

SMTP session

[Resolviendo aspmx.l.google.com...][Contactando aspmx.l.google.com [173.194.77.26]...][Conectado]220 mx.google.com ESMTP hx8si7782585obb.30EHLO Network-Tools.com250-mx.google.com at your service, [67.222.132.193]

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

250-SIZE 35882577250-8BITMIME250-STARTTLS250 ENHANCEDSTATUSCODESVRFY asesoria252 2.1.5 Send some mail, I'll try my best hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30EXPN asesoria502 5.5.1 Unimplemented command. hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30MAIL FROM:<admin@Network-Tools.com>250 2.1.0 OK hx8si7782585obb.30RCPT TO:<asesoria@lloydmex.com>250 2.1.5 OK hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30QUIT221 2.0.0 closing connection hx8si7782585obb.30[Conexión cerrada]

Google Map para la dirección IP 209.85.210.48

Mountain View, Estados Unidos

Localización geográfica aproximada de la dirección IP 209.85.210.48.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Interpretación del resultado

La traza y datos obtenidos del análisis forense aplicado al mensaje objeto de estudio arroja resultados normales y válidos para un correo electrónico que fue enviado, trasmitido y recibido correcta y satisfactoriamente el día Miércoles, 23 Mayo del 2012 a las 16:13 horas, por las cuentas que se observan en el cuerpo del correo desde la dirección IP 209.85.210.48, dirección que corresponde a las registradas por el proveedor de servicios de correo electrónico Gmail® de Google, dicho rango de direcciones corresponde al esperado de acuerdo a los resultados obtenidos en el estudio realizado a los dominios analizados.

Así mismo la identificación de la ubicación geográfica de dicha dirección IP de origen muestra que el correo fue enviado desde el estado de California en Estados Unidos que según mi experiencia es una de las varias locaciones donde se encuentran resguardados los equipos de cómputo y servidores del proveedor de servicios de referencia.

Las cuentas de correo electrónico observadas en el cuerpo del mensaje estudiado al momento de mi revisión se encuentran activas y funcionales, sin embargo, en lo que respecta a la cuenta de correo del remitente santibernabeu4@gmail.com, al tratarse de una cuenta asociada a un dominio público que de acuerdo a mi experiencia no cuenta con ningún mecanismo o sistema de validación de la información proporcionada por el usuario al momento de registrarse para hacer uso del servicio, no existen elementos técnicos para determinar la titularidad de la misma.

Debido a lo anterior, la posibilidad técnica de realizar indagaciones o análisis más profundos con el objeto de identificar el equipo, persona o algún otro elemento que permita relacionar el origen de los correos electrónicos con el titular de la cuenta de correo del remitente no es posible.

Por otro lado, no se identificaron elementos que permitan relacionar el origen del correo electrónico con algún dominio privado o particular, todas las direcciones IP identificadas que son sujeto de análisis se encuentran relacionadas al servicio de correo electrónico proveído por Gmail® y a su vez por Google®.

Por lo antes dicho y fundado, me permito emitir las siguientes:VI. CONCLUSIONESPRIMERA. Se han realizado y descrito los procedimientos informáticos y de

investigación de campo de mérito para contestar inductiva,

demostrativa y científicamente los problemas planteados.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

SEGUNDA. Se identificó la existencia de un correo electrónico en formato y estado

válidos recibido en la cuenta asesoria@lloydmex.com, que fue enviado

desde la cuenta santibernabeu4@gmail.com, el día 23 de mayo de

2012 a las 16:13 horas, con asunto “Lic.Pub.NalMixta No LA-

016B00009-N22-2012 (ajuste por 26 millones)”.

TERCERO. Del análisis de los elementos técnicos del mensaje identificado,

específicamente de sus encabezados de Internet, fue posible

determinar su origen hasta los equipos de cómputo del proveedor del

servicio de correo electrónico denominado GMAIL. La traza y

localización geográfica de la dirección IP de origen de dicho correo

solo es técnicamente posible hasta el lugar en donde se encuentran los

equipos informáticos encargados de proporcionar el servicio.

CUARTO. La dirección IP origen del correo electrónico objeto de estudio fue

identificada y localizada en la Ciudad de Mountain View, en el estado

de California, en Estados Unidos de Norteamérica, lugar en donde

según mi experiencia se encuentran localizados algunos de los centros

de cómputo del proveedor de servicios de identificado.

QUINTO. La cuenta de correo electrónico santibernabeu4@gmail.com, se

encuentra activa por lo que al momento de mi revisión es funcional

en lo que respecta al envío/recepción de mensajes de correo. Sin

embargo, debido a la propia naturaleza de la cuenta de correo de

referencia y su relación con el servicio ofrecido por el proveedor en lo

que respecta al dominio gmail.com, NO es posible realizar un rastreo o

identificación más profunda del usuario titular, origen y uso de dicha

cuenta.

México, D.F. a 04 de junio de 2012.

Ing. Marco Antonio Ramos Zúñiga.No. Cédula Profesional 2452025

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.

LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________

Ingeniero en Sistemas.

SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________

Servicios Integrales 4Com, S.C. Prohibida su reproducción.