JDG Peritajes Informáticos Seguridad digital, evidencias y cuentas explicadas con calma.

Informe pericial

Informe pericial de correo electrónico: cuándo sirve y qué debe incluir

No todo email vale como prueba. La diferencia está en cómo se conservan las cabeceras, los metadatos y el contexto original del mensaje.

Guía: Guía práctica Lectura: 10 min Actualizado: 2026-06-19
Ver guía de evidencias Qué es un informe pericial

Antes de pedir un informe

El correo como evidencia se sostiene en sus cabeceras, no en la captura

Un email parece fácil de guardar: una captura, un reenvío, un PDF. Pero lo que da valor a un correo como posible prueba no es lo que se ve en la pantalla, sino la información técnica que lo acompaña: las cabeceras completas (SMTP headers), los metadatos del mensaje, los registros de autenticación del dominio remitente y la trazabilidad de los servidores por los que pasó.

Cuando un informe pericial analiza un correo, lo primero que hace es separar los hechos técnicos comprobables de las interpretaciones. Este artículo explica qué elementos dan solidez a un email, cómo conservarlos sin alterarlos, y en qué situaciones conviene encargar un informe forense.

Formatos de conservación

Captura, exportación y copia forense: qué conserva cada una

Método Qué guarda Qué pierde Valor como evidencia
Captura de pantalla Imagen del contenido visible en ese momento Cabeceras, metadatos, cuerpo completo si hay scroll, contexto de la bandeja Indicio visual, no acredita origen ni integridad
PDF o reenvío (.eml adjunto como archivo) Cuerpo del mensaje y algunos encabezados visibles Cabeceras completas de transporte, autenticación del dominio, ruta de servidores Documenta el contenido, pero no la trazabilidad técnica
Exportación .eml o .msg original Mensaje completo con cabeceras internas, cuerpo, adjuntos y metadatos originales Solo si el buzón se modifica antes de exportar Alto: conserva la estructura técnica del mensaje
Copia forense del buzón (PST/OST con hash) Bandejas completas, carpetas, elementos eliminados (según método), metadatos del servidor Nada relevante si se hace con herramienta forense y cadena de custodia Máximo: permite verificar integridad, fechas y contexto completo

El método elegido debe adaptarse al contexto: una reclamación de consumo no exige el mismo estándar que un procedimiento judicial. En caso de duda, conserva el original y consulta antes de transformarlo.

Qué hace válido un correo electrónico como evidencia

No basta con que el mensaje se vea real

Un email puede ser legítimo, estar falsificado, haber sido alterado después de enviarse o haber llegado con intermediarios que modificaron su contenido. La validez como posible evidencia se apoya en varios factores técnicos:

Cabeceras SMTP completas. Cada servidor por el que pasa el mensaje añade una entrada "Received". Esa cadena permite reconstruir la ruta, identificar el servidor de origen real y detectar discrepancias entre el remitente visible (From) y el técnico (envelope-from).

Autenticación del dominio remitente. Los registros SPF, DKIM y DMARC del dominio indican si el servidor que envió el mensaje estaba autorizado. Un fallo de autenticación no significa automáticamente que sea falso, pero obliga a explicar por qué.

Integridad del mensaje. Cualquier modificación del cuerpo o los adjuntos después de la recepción cambia el hash interno (si el mensaje lo incluye) y rompe la coherencia de las cabeceras. Por eso es crucial conservar el archivo original sin abrir adjuntos ni modificar el mensaje.

Contexto de la bandeja. La fecha de recepción, la carpeta donde aparece, si fue leído, respondido o reenviado, y la presencia de mensajes anteriores en el mismo hilo aportan información que una captura aislada no muestra.

Procedimiento

Cómo conservar un correo sin perder datos técnicos

  1. No reenvíes el mensaje: el reenvío genera cabeceras nuevas y borra las originales. Usa la opción "Guardar como" de tu cliente de correo (.eml en Outlook, Thunderbird, Gmail; .msg en Outlook completo).
  2. Exporta la cabecera completa: en la mayoría de clientes hay una opción "Ver origen" o "Mostrar cabeceras completas". Cópiala en un archivo de texto separado y consérvalo junto al .eml.
  3. Anota el contexto: desde qué cuenta y dispositivo accediste, cuándo viste el mensaje por primera vez, si había otros correos relacionados y si realizaste alguna acción (responder, marcar, borrar).
  4. Guarda los adjuntos por separado sin abrirlos: si el correo lleva archivos adjuntos, descárgalos a una carpeta etiquetada sin modificar su nombre ni extensión original.
  5. Crea una copia de seguridad de la carpeta completa: si el buzón lo permite, exporta la carpeta a un archivo PST (Outlook) o realiza una copia de los archivos locales del cliente de correo.
  6. Documenta cualquier manipulación: si necesitas reenviar, imprimir o extraer una parte del mensaje, anota qué hiciste, cuándo y por qué. Esa nota ayuda a quien revise el caso a separar el estado original de los cambios posteriores.

Errores comunes al guardar correos como posible prueba

Lo que debilita la evidencia sin que te des cuenta

Reenviar en lugar de exportar. Es el error más frecuente. Al reenviar, el mensaje original se convierte en adjunto o se pierde, y el nuevo mensaje tiene cabeceras del reenvío, no del original.

Captura parcial. Una imagen que solo muestra el remitente, el asunto y las primeras líneas del cuerpo no permite verificar cabeceras, adjuntos ni el contenido completo.

Modificar el mensaje antes de guardarlo. Responder, marcar como leído, mover a otra carpeta o eliminar adjuntos cambia los metadatos internos. Siempre que sea posible, conserva una copia antes de tocar nada.

No anotar fechas ni contexto. Una semana después puede ser imposible recordar si el correo llegó a las 10:00 o a las 18:00, si se abrió en el móvil o en el ordenador, o si había otros mensajes relacionados.

Confiar en la imagen sin verificar el remitente técnico. Un email puede mostrar un nombre y una dirección conocidos pero venir de un servidor no autorizado. Solo las cabeceras completas permiten confirmar el origen real.

Cuándo puede tener sentido pedir un informe pericial

El informe añade contexto técnico que el correo por sí solo no explica

Un informe pericial de correo electrónico no consiste en repetir lo que el mensaje dice. Consiste en analizar los elementos técnicos que permiten sostener o cuestionar su autenticidad, origen, integridad y momento de envío o recepción.

Tiene sentido pedirlo cuando:

  • El correo es la prueba principal de un contrato, pedido, factura, acuerdo o instrucción.
  • Existen dudas sobre si el mensaje fue enviado por quien aparece como remitente.
  • Se sospecha que el contenido fue alterado después de la recepción.
  • El mensaje forma parte de una reclamación, denuncia, despido, litigio o inspección.
  • Se necesita acreditar que un email fue enviado o recibido en una fecha concreta.
  • El buzón completo debe analizarse para reconstruir comunicaciones durante un período.

Qué debe incluir un informe pericial de correo electrónico

Un informe útil sobre un correo electrónico suele contener:

1. Objeto del informe: qué mensajes se analizan, a qué solicitud responde y qué se pretende determinar. 2. Metodología: herramientas usadas, criterios de extracción, cadena de custodia aplicada y límites del análisis. 3. Descripción de las cabeceras: ruta de servidores, marcas de tiempo, autenticación SPF/DKIM/DMARC, discrepancias entre remitente visible y técnico. 4. Análisis de adjuntos: metadatos de archivos, detección de modificaciones, extracción de contenido relevante. 5. Contexto del buzón (si procede): volumen de mensajes, hilos relacionados, elementos eliminados, patrones de comunicación. 6. Conclusiones: qué se ha podido verificar, qué no, y qué limitaciones tiene el análisis. 7. Anexos: copia de los mensajes en formato original, dump de cabeceras, informes de herramientas utilizadas.

Preguntas frecuentes sobre informes periciales de correo

¿Sirve una captura de pantalla como prueba?

Puede servir como indicio inicial, pero no acredita origen, integridad ni fecha del mensaje. Una captura recortada o sin cabeceras tiene poco peso si la otra parte la impugna.

¿Necesito un informe pericial para una reclamación de consumo?

Depende del valor y la disposición de la otra parte a reconocer el correo. Muchas reclamaciones se resuelven con la conservación ordenada de los mensajes originales. El informe suele ser necesario cuando hay negativa, contradicción o procedimiento formal.

¿Se puede falsificar un correo electrónico?

Sí, es posible enviar un mensaje con un remitente falso (spoofing) si el dominio destino no tiene protecciones SPF/DKIM/DMARC. Las cabeceras completas permiten en muchos casos detectar la falsificación.

¿Qué diferencia hay entre cabeceras visibles y cabeceras completas?

Las cabeceras visibles son las que el cliente de correo muestra por defecto (From, To, Subject, Date). Las cabeceras completas incluyen los campos de transporte (Received, Message-ID, Authentication-Results, DKIM-Signature, etc.) que solo se ven al exportar el origen del mensaje.

¿Cuánto cuesta un informe pericial de correo electrónico?

El coste varía según el volumen de mensajes, la complejidad técnica y la urgencia. Puede ir desde unos cientos de euros para un análisis puntual hasta varios miles si se perita un buzón completo con cadena de custodia y comparecencia judicial.

Siguiente paso útil

Evidencias digitales Guía práctica para conservar contexto antes de reclamar. Qué es un informe pericial Elementos, método y límites de un informe formal. Perito de páginas web Evidencia, certificación e informe sobre contenido web. Checklist de evidencias Ordena qué guardar primero según canal y riesgo.

Siguiente lectura

Guias relacionadas para continuar

Si quieres seguir con el mismo tema, aqui tienes paginas cercanas que amplian la tecnica, comparan variantes o te llevan a la siguiente rutina.

Guía práctica Evidencias digitales: cómo conservar contexto antes de reclamar Aprende a guardar mensajes, correos, capturas y archivos con orden para no perder la secuencia de los hechos. Guía práctica Qué es un informe pericial y qué debería aclarar Elementos habituales de un informe pericial: objeto, método, evidencias, límites y conclusiones comprensibles. Guía práctica Perito de páginas web: evidencia, certificación e informe Cómo preparar evidencia de una página web: URL, fecha, captura completa, contenido borrado, tienda online, certificación e informe pericial. Guía práctica Checklist de evidencias digitales Herramienta para decidir qué guardar primero según el tipo de incidente digital y el nivel de urgencia.
Elena Márquez Lobo

Autora de la guía

Elena Márquez Lobo

Analista editorial de seguridad digital y documentación técnica

Explica cuentas, evidencias digitales y hábitos de seguridad con lenguaje claro para personas y pequeños negocios que necesitan actuar sin precipitarse.

Especialidad: Especializada en contenidos de seguridad digital aplicada, documentación de incidentes, protección de cuentas y comunicación técnica para usuarios no expertos.

Experiencia: Ha trabajado en guías prácticas sobre privacidad, gestión de accesos, conservación de evidencias y respuesta inicial ante incidentes cotidianos.

Actualizado: 2026-06-19 Política editorial Correcciones

Por qué confiar

Publicamos guías independientes con límites claros, sin prometer servicios periciales ni sustituir asesoramiento profesional.

Compartir

Envía esta guía a quien necesite ordenar un problema digital.

Referencia Guardar JDG Peritajes Informáticos como referencia Úsala para decidir con menos prisa cuando haya dudas digitales.