Si hasta el momento hemos mencionado la facilidad de alteración de la prueba electrónica, no podemos olvidar que muchas veces nos olvidamos de la existencia de multitud de información asociada con nuestros documentos electrónicos, que se pierden en la impresión, y que pueden ayudarnos a la hora de conseguir una valoración adecuada de la prueba presentada.
Antes de eso debemos tener en cuenta lo siguiente
· No podemos negar categóricamente que no va a poderse probar la integridad de un documento electrónico concreto, como es el caso de un correo electrónico
La evolución en el estado de la técnica puede finalmente revelar que lo que se pensaba que podía probarse respecto de un documento era en realidad fácilmente modificable
Centrándonos en el caso de un correo electrónico, la realidad es que estos no son más que archivos en texto almacenados bien en nuestro servidor de
correo, bien en nuestro equipo, y a los que accedemos a través del cliente de correo que escojamos.
Que sean documentos de texto plano supone que (al menos en apariencia) podemos proceder a su modificación no detectable sin mayores dificultades que encontrar su localización y tener permisos para su edición a través de nuestro editor de textos favorito. Y, efectivamente, podemos realizar cambios en cualquiera de los datos que muestra nuestro cliente de correo: podemos cambiar el asunto, el cuerpo del mensaje, o incluso la documentación adjunta, y ante los ojos de alguien que visualice dicho correo electrónico revestirá la apariencia de ser el mensaje que se ha recibido inicialmente. Es aquí donde entra la importancia de la información invisible.
Pongamos el ejemplo de un correo electrónico básico, y la información que se nos muestra
En este correo electrónico de prueba nos encontramos con 89 caracteres (incluyendo espacios), donde se me informa del remitente, el destinatario, el asunto del correo electrónico, y la fecha en la cual he recibido dicho mensaje. Si se certificara exclusivamente lo que se puede ver en este caso, la modificación resultaría sencilla para cualquier usuario, sin necesidad de contar ni tan siquiera con herramientas específicas, y pudiendo obtener una prueba que (de no ser impugnada) podría gozar de un importante valor probatorio. Podría discutirse que, dejando de lado las posibles modificaciones, muchas veces la infracción ya puede apreciarse con el mero acceso al correo electrónico, como parte del cuerpo del mensaje, con lo cual ya no resulta necesario acudir a más datos para probar la misma. El problema es que ese argumento no cuenta con la fuerza suficiente, dado que estamos eliminando gran parte de la información que nos podría permitir probar el origen y contenido del correo electrónico concreto. Es por ello que toda prueba debe consistir en el volcado completo de la información que constituye dicho mensaje.
Si pasamos ahora a analizar el contenido completo del correo electrónico que hemos recibido podemos observar lo siguiente:
Pese a tratarse de exactamente el mismo mensaje, nos encontramos ahora con 1.835 caracteres (contando espacios) y un importante conjunto de información que hasta este momento desconocíamos. Cabeceras incluidas tanto por el remitente como por el servidor destinatario, y que quedarían fuera de la prueba si se limitara a certificar aquello que resulta visible con un mero cliente de correo electrónico.
Podría parecer que no resulta tan importante, pero si miramos el tipo de datos que se incluyen podemos observar algunos tan importantes como la IP origen del correo electrónico, que en este caso concreto ha superado la validación del Convenio de Remitentes o SPF. Ahora bien, en este caso también debemos reconocer que al tratarse de una mera cabecera en formato texto debería resultar sencillo alterarla (o incluso incluirla) si lo estimáramos oportuno, al igual que sucede con las cabeceras que incluyan direcciones IP. Dicho esto, existen otros datos que pueden resultarnos mucho más útiles.
En este caso me refiero a la cabecera DKIM, que nos permitirá comprobar si el mensaje ha sido modificado en tránsito o una vez recibido a través de un sistema de criptografía asimétrica.
En este caso concreto podría modificar el asunto o el cuerpo del mensaje, y visualmente podría prosperar, pero eso supondría que no superara la validación de la firma DKIM incluida en las cabeceras de este correo electrónico. En tanto no disponga de la clave privada utilizada por el servidor de correo saliente (y mientras el algoritmo de firma no cuente con una vulnerabilidad tal que me permita generar una colisión que incluya la información que me interesa) un perito experto podrá acceder a dicha cabecera e informar sobre si se ha producido una modificación del mensaje inicial. Por supuesto, también puede darse el caso de que el remitente haya firmado con su clave privada personal el correo electrónico, lo cual añadiría de nuevo un factor importante a nuestra prueba. Pero ello requiere que volquemos toda la información, tanto la que ve el usuario como la que no.
Dependiendo del caso es posible que el correo electrónico no solo se haya descargado en un equipo del cliente, sino que se mantenga una copia en un servidor de correo fuera de su control, y que podemos señalar para la obtención de información adicional. Por lo tanto, no podemos generalizar sobre las posibilidades de que prospere una determinada prueba en base únicamente a su naturaleza.
Los metadatos existentes en otros documentos como imágenes son también fácilmente modificables en nuestros equipos, y ya no se requiere de grandes conocimientos informáticos para realizar esta tarea al existir aplicaciones de fácil uso que podemos descargar en nuestros ordenadores.
El problema en la práctica es que muchas veces se descubren vulnerabilidades que revelan que incluso esta información oculta puede (en ocasiones) ser modificada de forma sencilla. Los terminales móviles pueden facilitar información de geolocalización falsa a las aplicaciones con las que trabajan, y
hay aplicaciones que incluyen la clave privada utilizada para firmar los ficheros como propios dentro de la propia aplicación y accesible para sus usuarios (de forma similar a lo sucedido en el caso de WhatsApp).
¿Podrá probarse su modificación?
A la pregunta de si puede probarse si un documento electrónico ha sido modificado por la parte que lo aporta la respuesta es “puede”, y dependerá de otras circunstancias que deberán ser analizadas caso por caso, teniendo además en cuenta que lo que damos por válido hoy puede que nos sorprendamos mañana descubriendo que no resultaba tan certero como parecía.
Esto no debe llevarnos a una falta de esfuerzo en la aportación de nuestras pruebas, o en la impugnación de las pruebas de la parte contraria, porque de ello finalmente dependerá la valoración que realice el Juez. En el ámbito de la prueba electrónica no debemos dar nada por sentado.
Sergio CARRASCO MAYANS Fuente original: