LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________ A quien corresponda Presente. A continuación podrá encontrar el informe del análisis Informático Forense que he realizado con el objeto de revolver los cuestionamientos que me ha planteado. Dicho análisis ha sido realizado de acuerdo con las normas técnicas y éticas que rigen en mi profesión, las cuales requieren que la revisión sea planeada y realizada de tal manera que permita obtener una seguridad razonable de que los procedimientos seguidos, la información, contenidos, características y conclusiones que derivan de ellos, corresponden a la realidad, veracidad y valor de los hechos y aseveraciones técnicas expuestos. DICTAMEN PERICIAL I. ANTECEDENTES Haciendo uso de los elementos e información que se me proporciono para el presente estudio, se realizó el análisis y estudio del mensaje o correo electrónico objeto de estudio que fue enviado desde la cuenta de correo [email protected]y que fue recibido en la cuenta de correo [email protected], para determinar su posible origen y atribuibilidad. El estudio de referencia consistió en la validación y traza inversa de los datos e información contenida en los encabezados de Internet de dicho correo electrónico en su formato nativo identificando su probable origen, ruta y verificación de los equipos informáticos involucrados en su trasmisión. Así mismo se realizó la investigación correspondiente respecto a los dominios de Internet involucrados y de las direcciones IP identificadas en los encabezados de Internet de referencia. A partir de estos elementos, ha sido posible determinar la validez autenticidad y fiabilidad de los datos registrados en los encabezados de Internet del mensaje intercambiado, la posible ubicación geográfica de la dirección IP desde donde fue originado, el estado de la cuenta de correo electrónico desde la que fue enviado, su atribuibilidad y otra información relevante respecto a los atributos técnicos del correo objeto de estudio. A continuación se documentan las pruebas realizadas y los resultados obtenidos. II. MATERIAL MOTIVO DE ESTUDIO. Para la elaboración del presente dictamen pericial he tomado en cuenta: • Acceso a la cuenta de correo electrónico [email protected], a partir del proveedor de servicios de correo electrónico de dicho dominio Gmail. SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________ Servicios Integrales 4Com, S.C. Prohibida su reproducción.
16
Embed
Dictamen pericial sobre correo electrónico enviado
Dictamen pericial sobre correo electrónico enviado
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
A quien correspondaPresente.A continuación podrá encontrar el informe del análisis Informático Forense que he realizado con el objeto de revolver los cuestionamientos que me ha planteado.Dicho análisis ha sido realizado de acuerdo con las normas técnicas y éticas que rigen en mi profesión, las cuales requieren que la revisión sea planeada y realizada de tal manera que permita obtener una seguridad razonable de que los procedimientos seguidos, la información, contenidos, características y conclusiones que derivan de ellos, corresponden a la realidad, veracidad y valor de los hechos y aseveraciones técnicas expuestos.
DICTAMEN PERICIALI. ANTECEDENTESHaciendo uso de los elementos e información que se me proporciono para el presente estudio, se realizó el análisis y estudio del mensaje o correo electrónico objeto de estudio que fue enviado desde la cuenta de correo [email protected] y que fue recibido en la cuenta de correo [email protected], para determinar su posible origen y atribuibilidad.
El estudio de referencia consistió en la validación y traza inversa de los datos e información contenida en los encabezados de Internet de dicho correo electrónico en su formato nativo identificando su probable origen, ruta y verificación de los equipos informáticos involucrados en su trasmisión. Así mismo se realizó la investigación correspondiente respecto a los dominios de Internet involucrados y de las direcciones IP identificadas en los encabezados de Internet de referencia.
A partir de estos elementos, ha sido posible determinar la validez autenticidad y fiabilidad de los datos registrados en los encabezados de Internet del mensaje intercambiado, la posible ubicación geográfica de la dirección IP desde donde fue originado, el estado de la cuenta de correo electrónico desde la que fue enviado, su atribuibilidad y otra información relevante respecto a los atributos técnicos del correo objeto de estudio. A continuación se documentan las pruebas realizadas y los resultados obtenidos.
II. MATERIAL MOTIVO DE ESTUDIO.
Para la elaboración del presente dictamen pericial he tomado en cuenta:
• Acceso a la cuenta de correo electrónico [email protected], a partir del proveedor de servicios de correo electrónico de dicho dominio Gmail.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
• Correo electrónico objeto de estudio recibido el día 23 de mayo de 2012 de la cuenta de correo [email protected], con asunto “Lic.Pub.NalMixta No LA-016B00009-N22-2012 (ajuste por 26 millones)”, en su formato nativo.
• Encabezados de Internet del correo electrónico de referencia obtenidos a partir del archivo electrónico en su formato nativo.
III. TOMA DE MUESTRAS.
A fin de allegarme de los elementos necesarios para realizar los estudios y análisis requeridos para determinar el origen, fiabilidad y autenticidad del mensaje de correo electrónico objeto de estudio, se me proporcionó el acceso al contenido de la cuenta de correo en donde fue recibida la comunicación de referencia. A continuación se describe el procedimiento seguido para la identificación y toma de muestra de mérito.
En un equipo de cómputo de mi propiedad con acceso a Internet se ejecutó el programa navegador Microsoft® Internet Explorer®, versión 9.0, desde donde se proporciono la URL www.gmail.com,
Versión del programa navegador empleado para la toma de muestras descrita.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Dirección de Internet o URL empleada.
Detalle de la pantalla anterior.
Una vez que el sitio de referencia responde se despliega la pantalla de autenticación y acceso al servicio de correo electrónico en donde el usuario ingresa su cuenta de correo y la contraseña que lo identifica y válida como titular de dicha cuenta.
El suscrito proporcionó los datos de autenticación para acceder al contenido de la cuenta de correo [email protected], tal y como se observa en las siguientes pantallas.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Pantalla de autenticación del servicio.
Datos de autenticación proporcionados.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Una vez que el sistema autenticó y validó los datos proporcionados, se desplego el contenido de la cuenta de correo electrónico de referencia, en donde se identificó la existencia del mensaje objeto de estudio, específicamente dentro de la carpeta denominada “Papelera”.
Identificación del correo electrónico objeto de estudio.
Detalles de la pantalla anterior.
Una vez identificado el mensaje de correo electrónico objeto de estudio, se obtuvo constancia de su contenido, sus propiedades y atributos técnicos, parte relevante de dichos elementos se encuentra registrada en los encabezados de Internet que forman parte del archivo electrónico, por lo que procedí a obtener una copia de los mismos.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Contenido del mensaje de correo electrónico de referencia.
Detalle de la pantalla anterior.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Propiedades del mensaje identificado.
Identificación de los encabezados de Internet.
Encabezados de Internet del correo objeto de estudio.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Una vez observados y obtenidos todos lo elementos que en mi opinión son necesarios para determinar el origen, fiabilidad y autenticidad del correo electrónico objeto de estudio, procedí a realizar la validaciones y análisis de mérito.IV. ANÁLISIS CORREO OBJETO DE ESTUDIO.
Lic.Pub.NalMixta No LA-016B00009-N22-2012 (ajuste por 26 millones)
23 de mayo de 2012 16:13
EncabezadoDelivered-To: [email protected]: by 10.229.39.143 with SMTP id g15csp49560qce; Wed, 23 May 2012 14:13:10 -0700 (PDT)Received: by 10.68.201.169 with SMTP id kb9mr11587540pbc.101.1337807590086; Wed, 23 May 2012 14:13:10 -0700 (PDT)Return-Path: <[email protected]>Received: from mail-pz0-f48.google.com (mail-pz0-f48.google.com [209.85.210.48]) by mx.google.com with ESMTPS id qt1si4066296pbc.236.2012.05.23.14.13.09 (version=TLSv1/SSLv3 cipher=OTHER); Wed, 23 May 2012 14:13:10 -0700 (PDT)Received-SPF: pass (google.com: domain of [email protected] designates 209.85.210.48 as permitted sender) client-ip=209.85.210.48;Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 209.85.210.48 as permitted sender) [email protected]; dkim=pass [email protected]: by dadz8 with SMTP id z8so13416296dad.35 for <[email protected]>; Wed, 23 May 2012 14:13:09 -0700 (PDT)DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type; bh=3J8vZHNrfSAfLtB7Lpbe8zwKhW02srNV/za6W2E6ocg=; b=wGFuB1h+Ozfov/sCRnZgwnTpRYsZlI46VdsCuQG8WuHGRa3yYtuRUw3UzOAvhlZEhH oyGHC0KO112JixV+rtWgwUuOQDb85ROJ2RcmUHSuyMnpuZyKbfGpfBOiIxlY52GMXAwT NHbN5JPSyoDYlxXzAAKQoYaNbUqOU2eloElaf1xl1692wg7pSE3C4sJoML9WFsNWOefN H+XdtKouHCu55mZdqDIhJNg8Ih5ZjPtTX4GNO7N98l7SELnivJx0v7+iNhJ+BycPC8s3 YPTs35oolEtqXyjdNfbIO8WWjT+YyWE/bZzi//MzUrw0vTQ8gIdx6ZkLypnueT93i4z3 Jrcg==MIME-Version: 1.0Received: by 10.68.237.74 with SMTP id va10mr14080795pbc.46.1337807589517; Wed, 23 May 2012 14:13:09 -0700 (PDT)Received: by 10.68.4.230 with HTTP; Wed, 23 May 2012 14:13:09 -0700 (PDT)Date: Wed, 23 May 2012 16:13:09 -0500Message-ID: <CALSm7P-H+MR-+n-Cg7udLojSWuv+-G3JzN56ctp-uy1uX24XRw@mail.gmail.com>Subject: =?UTF-8?B?TGljLlB1Yi5OYeKAi2xNaXh0YSBObyBMQS0wMTZCMDAw4oCLMDktTjIyLTIwMeKAizIgKA==?=
=?UTF-8?B?YWp1c3RlIHBvciAyNiBtaWxsb25lcyk=?=From: Santiago Bernabeu <[email protected]>To: [email protected]: multipart/alternative; boundary=047d7b33d08826a83604c0ba9a97
[Resolviendo aspmx.l.google.com...][Contactando aspmx.l.google.com [173.194.77.26]...][Conectado]220 mx.google.com ESMTP hx8si7782585obb.30EHLO Network-Tools.com250-mx.google.com at your service, [67.222.132.193]
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
250-SIZE 35882577250-8BITMIME250-STARTTLS250 ENHANCEDSTATUSCODESVRFY asesoria252 2.1.5 Send some mail, I'll try my best hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30EXPN asesoria502 5.5.1 Unimplemented command. hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30MAIL FROM:<[email protected]>250 2.1.0 OK hx8si7782585obb.30RCPT TO:<[email protected]>250 2.1.5 OK hx8si7782585obb.30RSET250 2.1.5 Flushed hx8si7782585obb.30QUIT221 2.0.0 closing connection hx8si7782585obb.30[Conexión cerrada]
Google Map para la dirección IP 209.85.210.48
Mountain View, Estados Unidos
Localización geográfica aproximada de la dirección IP 209.85.210.48.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
Interpretación del resultado
La traza y datos obtenidos del análisis forense aplicado al mensaje objeto de estudio arroja resultados normales y válidos para un correo electrónico que fue enviado, trasmitido y recibido correcta y satisfactoriamente el día Miércoles, 23 Mayo del 2012 a las 16:13 horas, por las cuentas que se observan en el cuerpo del correo desde la dirección IP 209.85.210.48, dirección que corresponde a las registradas por el proveedor de servicios de correo electrónico Gmail® de Google, dicho rango de direcciones corresponde al esperado de acuerdo a los resultados obtenidos en el estudio realizado a los dominios analizados.
Así mismo la identificación de la ubicación geográfica de dicha dirección IP de origen muestra que el correo fue enviado desde el estado de California en Estados Unidos que según mi experiencia es una de las varias locaciones donde se encuentran resguardados los equipos de cómputo y servidores del proveedor de servicios de referencia.
Las cuentas de correo electrónico observadas en el cuerpo del mensaje estudiado al momento de mi revisión se encuentran activas y funcionales, sin embargo, en lo que respecta a la cuenta de correo del remitente [email protected], al tratarse de una cuenta asociada a un dominio público que de acuerdo a mi experiencia no cuenta con ningún mecanismo o sistema de validación de la información proporcionada por el usuario al momento de registrarse para hacer uso del servicio, no existen elementos técnicos para determinar la titularidad de la misma.
Debido a lo anterior, la posibilidad técnica de realizar indagaciones o análisis más profundos con el objeto de identificar el equipo, persona o algún otro elemento que permita relacionar el origen de los correos electrónicos con el titular de la cuenta de correo del remitente no es posible.
Por otro lado, no se identificaron elementos que permitan relacionar el origen del correo electrónico con algún dominio privado o particular, todas las direcciones IP identificadas que son sujeto de análisis se encuentran relacionadas al servicio de correo electrónico proveído por Gmail® y a su vez por Google®.
Por lo antes dicho y fundado, me permito emitir las siguientes:VI. CONCLUSIONESPRIMERA. Se han realizado y descrito los procedimientos informáticos y de
investigación de campo de mérito para contestar inductiva,
demostrativa y científicamente los problemas planteados.
SERVICIOS PERICIALES EN TECNOLOGIA DE LA INFORMACIÓN_______________________________________
Servicios Integrales 4Com, S.C. Prohibida su reproducción.
LABORATORIO DE INVESTIGACIÓN EN INFORMÁTICA FORENSE_______________________
SEGUNDA. Se identificó la existencia de un correo electrónico en formato y estado