EXP.: 202521031410 Cómo certificar la entrega de un email

por | Mar 21, 2025 | Portfolio

Certificación de emails

REF.: 202521031410 Título: Certificación de envío de correo electrónico a XXX@XXX.goXXX.es

Antecedentes

El cliente manifiesta:

  • Haber enviado un correo electrónico a la dirección «XXX@XXX.goXXX.es” el día 5 de noviembre de 2024 a las 15:58h
  • Haber reenviado dicho correo electrónico a la misma dirección destinataria el día 30 de enero de 2025 a las 10:13h incluyendo el contenido del anterior y solicitando confirmación de recepción del mismo.

Objetivos


Verificación del envío de buena fe del primer correo electrónico desde la dirección “XXX@XXXma.com” al destinatario «XXX@XXX.goXXX.es»

PERICIAL

El caso que tenemos a continuación gira en torno a la posibilidad de certificar la entrega de un correo electrónico desde una fuente a un destino, con confirmación de esa entrega de forma fehaciente de tal modo que pueda servir como prueba fiel de la recepción de la comunicación.

Hay ocasiones en las que se hace necesario ser capaz de documentar un envío de un correo electrónico y su contenido de forma que pueda servir como prueba defendible ante un tercero (envío de documentación legal en plazo, respuesta ante administraciones públicas, etc).

Requisitos para certificar en envío y recepción

A) Evidencia del Envío (Emisor)

  • Registros de logs del servidor SMTP:
    • Debe incluir fecha, hora, IP de origen, destinatario y acuse de recibo (si aplica).
    • Ejemplo: Logs de servidores como Postfix, Exchange o Gmail con sellado temporal.
  • Comprobante de envío (Delivery Status Notification – DSN):
    • Confirmación de que el servidor receptor aceptó el mensaje.

B) Evidencia de Recepción (Destinatario)

  • Registros del servidor receptor (MTA – Mail Transfer Agent):
    • Debe constar la recepción en el buzón del destinatario.
  • Acuse de recibo (MDN – Message Disposition Notification):
    • Opcional, pero válido si el destinatario confirma la lectura.

Verificación de la integridad del texto (No repudio)

A) Firma Digital y Certificado Digital

  • Email firmado digitalmente (S/MIME o PGP):
    • Garantiza autenticidad e integridad del contenido.
    • El certificado debe ser emitido por una Entidad Certificadora reconocida.
  • Sello de tiempo (Timestamping Authority – TSA):
    • Vincula el email a un momento exacto (RFC 3161).

B) Hash Criptográfico del Mensaje

  • Generación de un resumen (SHA-256, etc.) del cuerpo y adjuntos:
    • Permite demostrar que el contenido no fue alterado.
    • Idealmente, el hash debe almacenarse en un blockchain o notariado digital.

B) Cabeceras completas (Headers) del Email

  • Incluyen rutas de servidores (Received: from):
    • Prueba la trazabilidad del mensaje.
  • Message-ID único:
    • Asignado por el servidor de origen.

Métodos de certificación aceptados jurídicamente

  • Servicios de Correo Certificado (Ej.: Certified Email, Burofax Electrónico, eGarante):
    • Empleados en entornos legales (notificaciones judiciales, contratos).
  • Intervención de un Perito Informático:
    • Análisis forense de metadatos, autenticidad de servidores y ausencia de manipulación.

Cumplimiento legal

  • Reglamento eIDAS (UE):
    • Reconocimiento de firmas electrónicas avanzadas y sellos de tiempo cualificados.
  • Ley 34/2002 (LSSICE):
    • Validez del email como medio de notificación.

Conclusión

Para que un email sea válido como prueba debe garantizar su autenticidad (quién envía), su integridad (si existen modificaciones), la trazabilidad (evidencia en el envío y recepción) y una vinculación temporal con marca (fecha y hora fiable),

Para la pericial que nos solitican, al no haberse utilizado una firma de testigo independiente al realizar el envío (por ejemplo, eGarante), no se puede determinar fehacientemente la recepción del correo electrónico del interesado pero, tras el estudio de las cabeceras del correo electrónico estudiadas directamente accediendo al servicio de webmail de la empresa Gmail, se puede determinar que el email se envió correctamente, ya que cuenta (en este caso) con todas las cabeceras que añade el servidor a los emails enviados, además de localizarse en la carpeta de envíos.

Puesto que un usuario común no tiene acceso a modificaciones de las carpetas básicas de una cuenta de correo electrónico de Gmail, se puede considerar que el usuario no ha podido modificar el email y añadirlo a la carpeta de enviados de forma manual modificando las carpetas en el servidor. Esta acción sí es posible realizarla si el usuario cuenta con su propio dominio y hosting con acceso raíz a las carpetas como administrador.

La mejor manera, y más segura, de tener constancia de envío, entrega y certificación del contenido es usar un testigo de confianza externo como, por ejemplo eGarante, de tal modo que esta entidad tenga prueba con copia de tal envío. Además, esta prueba incluye una firma y una marca temporal que garantiza la entrega.