Peritaje informático de email: guía completa de análisis forense de correo electrónico (2026)

Resumen ejecutivo: peritaje forense de email

En enero de 2026, el director financiero de una empresa de distribución española recibió un email de su CEO solicitando una transferencia urgente de 147.000 euros a un proveedor internacional. El dominio del remitente era idéntico. La firma, el tono, las referencias a conversaciones previas: todo encajaba. Tres días después, cuando el CEO real preguntó por el pago, descubrieron el fraude. El dinero ya estaba en una cuenta en Hong Kong.

Como perito informático forense, este tipo de caso llega a mi despacho con una frecuencia creciente. El correo electrónico sigue siendo el vector de ataque más utilizado en España y en el mundo: el 91% de los ciberataques comienzan con un email malicioso, según Deloitte Cyber Intelligence (2025). Y lo que determina si la víctima recupera su dinero, si el responsable es identificado y si las pruebas son válidas en juicio es, en gran medida, la calidad del análisis forense del email.

Esta guía es el recurso más completo en español sobre peritaje informático de correo electrónico. Cubre desde los fundamentos técnicos del análisis de cabeceras hasta la jurisprudencia del Tribunal Supremo, pasando por herramientas forenses, cadena de custodia y precios actualizados a 2026.

Por qué necesitas un perito informático de email

El correo electrónico es el pilar de la comunicación empresarial y, al mismo tiempo, la puerta de entrada principal para el fraude digital. Los números de 2025 confirman una tendencia que no deja de crecer.

La magnitud del problema: cifras globales

• 55.500 millones de dólares en pérdidas acumuladas por fraude BEC entre 2013 y 2024 según el FBI IC3 (Internet Crime Complaint Center).
• 2.700 millones de dólares en pérdidas solo en 2024, la segunda categoría más costosa de cibercrimen reportada al IC3.
• 30% de aumento en ataques BEC en el primer trimestre de 2025, con un incremento del 15% sostenido durante todo el año (LevelBlue SpiderLabs, 2025).
• 40% de los emails de phishing BEC fueron generados con inteligencia artificial a mediados de 2024 (Hoxhunt, 2026).
• 4,89 millones de dólares: coste promedio de una brecha de seguridad originada por BEC (IBM Cost of a Data Breach Report, 2024).

El panorama en España

INCIBE gestionó 122.223 ciberincidentes en 2025, un 26% más que en 2024. De esos incidentes:

• 25.133 fueron fraudes online, con el phishing por correo electrónico como tipología líder.
• Banca (34%), transporte (14%) y energía (8%) fueron los sectores más atacados.
• El servicio “Tu Ayuda en Ciberseguridad” de INCIBE atendió 142.767 consultas en 2025 (+44,9% respecto a 2024), siendo el phishing el motivo de consulta más frecuente.
• Un 28% de los usuarios españoles reportan haber recibido intentos de phishing por correo electrónico.

Situaciones en las que se necesita peritaje de email

Tipos de fraude por email: taxonomía completa

Entender las diferencias entre cada tipo de ataque es esencial para el análisis forense, ya que cada uno deja rastros técnicos distintos y requiere un enfoque de investigación diferente.

Phishing genérico

El phishing es el envío masivo de correos electrónicos fraudulentos que suplantan la identidad de una entidad legítima (banco, administración pública, empresa conocida) para engañar al destinatario y conseguir que revele credenciales, datos financieros o instale malware.

Indicadores forenses: dominios similares (typosquatting), cabeceras con fallos en SPF/DKIM, enlaces a dominios recién registrados, IPs de envío en listas negras.

Spear-phishing

El spear-phishing es una variante dirigida y personalizada. El atacante investiga a la víctima (cargo, empresa, contactos, proyectos) y crea un email creíble orientado específicamente a esa persona.

Indicadores forenses: contenido personalizado que demuestra investigación previa (OSINT), dominios lookalike con certificado SSL válido, ausencia de indicadores genéricos de spam.

BEC (Business Email Compromise)

El fraude BEC es la modalidad más costosa. El atacante compromete o suplanta una cuenta de email corporativa legítima para solicitar transferencias, cambiar datos bancarios de proveedores o robar información confidencial.

Subtipos de BEC según el FBI:

Indicadores forenses: cuenta real comprometida (sin fallos en SPF/DKIM si usan la cuenta legítima), reglas de reenvío ocultas en el buzón, accesos desde IPs anómalas, cambios recientes en datos bancarios.

Whaling

El whaling es spear-phishing dirigido exclusivamente a altos ejecutivos (C-suite: CEO, CFO, CTO). Los emails son extremadamente sofisticados, a menudo imitando comunicaciones legales, fiscales o regulatorias.

Indicadores forenses: alto nivel de personalización, referencias a información corporativa no pública, dominios premium con certificado EV SSL, a veces combinado con deepfakes de voz para confirmar por teléfono.

Pharming por email

El pharming combina el email con la manipulación de DNS o archivos hosts. El email contiene un enlace que redirige a una web clonada, pero la URL en la barra del navegador parece legítima porque se ha manipulado la resolución DNS.

Indicadores forenses: análisis del enlace revela redirecciones intermedias, el dominio final difiere del visible, puede haber modificaciones en la configuración DNS del equipo víctima.

Análisis forense de cabeceras de email: SPF, DKIM y DMARC

Las cabeceras de un email contienen la información técnica que permite reconstruir el recorrido del mensaje desde el servidor de origen hasta el buzón del destinatario. Son el equivalente digital a los sellos postales y remites de una carta certificada, y constituyen la base de todo análisis forense de correo electrónico.

Anatomía de una cabecera de email

Un email contiene decenas de cabeceras. Las más relevantes para el análisis forense son:

SPF (Sender Policy Framework)

SPF es un registro DNS que indica qué servidores de correo están autorizados a enviar emails en nombre de un dominio. Cuando un servidor receptor recibe un email, consulta el registro SPF del dominio del remitente y compara la IP de envío con las IPs autorizadas.

Ejemplo de registro SPF:

v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:203.0.113.50 -all

Resultados posibles del análisis SPF:

DKIM (DomainKeys Identified Mail)

DKIM utiliza criptografía asimétrica para firmar digitalmente los emails. El servidor emisor firma el mensaje con una clave privada, y el servidor receptor verifica la firma consultando la clave pública publicada en el DNS del dominio.

Lo que DKIM certifica:

• Que el email fue enviado por un servidor autorizado por el dominio.
• Que el contenido del email (cuerpo + cabeceras firmadas) no ha sido alterado en tránsito.

Ejemplo de cabecera DKIM:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=empresa.es; s=selector1;
  h=from:to:subject:date:message-id;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=AuUoFEfDxTDkHlLXSZEpZj79LICEps6eda7W3deTVFOk...

Análisis forense de DKIM:

Si d=empresa.es pero el From muestra [email protected] y la firma DKIM es válida, el email fue realmente enviado desde la infraestructura de empresa.es. Si falla, alguien está suplantando el dominio.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC es la capa que unifica SPF y DKIM. Define la política del dominio sobre qué hacer cuando un email falla las comprobaciones de autenticación y dónde enviar los informes.

Ejemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100

Políticas DMARC:

Importancia forense de DMARC: un dominio con p=reject hace muy difícil la suplantación directa. Si un email fraudulento pasó las comprobaciones DMARC, indica que el atacante comprometió la cuenta real (BEC verdadero) o que el dominio receptor no validó DMARC correctamente.

Extracción y preservación de evidencia email

La forma en que se extrae y preserva un correo electrónico determina su admisibilidad como prueba judicial. Una extracción incorrecta puede invalidar la evidencia más concluyente.

Formatos de almacenamiento de email

Procedimiento de extracción forense

Extracción desde los proveedores más comunes

Gmail (Google Workspace):

• Google Takeout (takeout.google.com) para exportar buzón completo en .mbox.
• Google Admin Console para logs de actividad (quién accedió, desde dónde, cambios de contraseña).
• Vault de Google Workspace para retención legal (litigation hold) en entornos corporativos.

Microsoft 365 / Exchange:

• Compliance Center para eDiscovery y búsqueda de contenido.
• Exportación PST desde Outlook o PowerShell (New-MailboxExportRequest).
• Unified Audit Log para rastrear accesos, reglas de reenvío y cambios en la cuenta.

Thunderbird / Clientes IMAP:

• Exportación directa de .eml (guardar como archivo individual).
• Copia del perfil completo de Thunderbird (carpeta Profiles) que incluye todo el buzón en formato mbox.

Cadena de custodia del correo electrónico

La cadena de custodia es el procedimiento documentado que garantiza que la evidencia digital no ha sido alterada desde su obtención hasta su presentación en juicio. Sin ella, la prueba puede ser impugnada e invalidada.

Las 8 fases de la cadena de custodia de email

Documento de custodia: contenido mínimo

Análisis forense avanzado de email

Más allá de las cabeceras y la autenticación, el análisis forense avanzado permite reconstruir el escenario completo del ataque y obtener información crucial para la investigación.

Rastreo de IP (IP tracing)

Cada email contiene al menos una dirección IP en las cabeceras Received y, en ocasiones, en X-Originating-IP. El análisis de estas IPs revela:

• Geolocalización aproximada del remitente (país, ciudad, proveedor de internet).
• Tipo de conexión: residencial, VPN comercial, proxy Tor, servidor cloud.
• Historial de la IP: si ha sido utilizada para spam o ataques previos (consulta en DNSBL y bases de datos de reputación).
• Correlación temporal: si la misma IP aparece en múltiples emails fraudulentos del mismo caso.

Limitaciones: los atacantes sofisticados utilizan VPN, proxies o servicios de envío masivo que ocultan la IP real. En estos casos, la investigación requiere colaboración con el proveedor del servicio de email o con las autoridades.

Análisis de timestamps (marcas temporales)

El análisis temporal de un email permite detectar inconsistencias que revelan manipulación o suplantación:

Análisis de adjuntos y malware

Los archivos adjuntos en emails de phishing son uno de los vectores de infección más comunes. El análisis forense de adjuntos incluye:

• Extracción segura: los adjuntos se extraen en un entorno aislado (sandbox) para evitar la ejecución de código malicioso.
• Análisis de metadatos: los archivos de Office, PDF e imágenes contienen metadatos (EXIF, propiedades del documento) que pueden revelar el autor real, la herramienta de creación y la fecha de modificación.
• Análisis de macros: los documentos Office con macros VBA son el vehículo más utilizado para entregar malware. Se analiza el código de la macro para determinar su comportamiento (descarga de payload, conexión a C2, exfiltración de datos).
• Análisis de URLs embebidas: los enlaces dentro de adjuntos PDF o HTML se extraen y analizan para identificar destinos de phishing, kits de exploit o infraestructura de comando y control.
• Sandboxing: ejecución controlada del adjunto en entorno virtual para observar su comportamiento (conexiones de red, cambios en el sistema de archivos, persistencia).

Análisis de enlaces y redirecciones

Los emails de phishing contienen enlaces que aparentan ser legítimos pero redirigen a sitios fraudulentos. El análisis forense de URLs incluye:

• Resolución de acortadores: expandir URLs acortadas (bit.ly, tinyurl, etc.) para revelar el destino real.
• Análisis de redirecciones: seguir la cadena completa de redirecciones HTTP (301/302) hasta el destino final.
• WHOIS del dominio: determinar cuándo se registró el dominio de destino, quién lo registró y desde qué país.
• Captura del sitio de phishing: documentar la web fraudulenta con capturas de pantalla con marca temporal y hash antes de que sea eliminada.

Herramientas forenses para análisis de email

Caso práctico: investigación de fraude BEC

A continuación se describe un caso real (con datos anonimizados por protección de datos) que ilustra el proceso completo de peritaje informático de email en un fraude BEC.

Nota: Los datos han sido anonimizados para proteger la identidad de las partes. Cualquier coincidencia con personas o empresas reales es accidental.

Contexto del caso

• Empresa: distribuidora de alimentación con 85 empleados, facturación anual de 12 millones de euros.
• Incidente: el departamento financiero recibió un email aparentemente del CEO solicitando transferencia urgente de 94.000 EUR a un “nuevo proveedor en Italia”.
• Resultado: la transferencia se ejecutó. El banco receptor (Italia) bloqueó parte de los fondos (41.000 EUR) tras la denuncia, pero 53.000 EUR ya habían sido movidos a una cuenta en un tercer país.

Proceso de investigación forense

Fase 1 - Adquisición de evidencia (día 1):

• Exportación del buzón completo del CFO en formato PST desde Microsoft 365.
• Exportación del email fraudulento en formato .eml con cabeceras completas.
• Logs del Unified Audit Log de Microsoft 365 (90 días de actividad).
• Hash SHA-256 de todos los archivos exportados.

Fase 2 - Análisis de cabeceras (día 1-2):

• El email mostraba From: [email protected] (dominio real de la empresa).
• SPF: pass. DKIM: pass. DMARC: pass. El email fue enviado realmente desde Google Workspace de la empresa.
• Conclusión: no era spoofing. La cuenta del CEO había sido comprometida.

Fase 3 - Análisis de acceso (día 2-3):

• Los logs de Google Workspace revelaron un acceso a la cuenta del CEO desde una IP localizada en Lagos (Nigeria) el 15 de enero a las 02:17 CET.
• Ese mismo día se habían creado dos reglas de reenvío ocultas en el buzón del CEO: todos los emails con “factura” o “transferencia” en el asunto se reenviaban automáticamente a una cuenta de Gmail externa.
• El atacante había permanecido en la cuenta 23 días antes de actuar, leyendo emails para aprender el tono, los procesos internos y las relaciones con proveedores.

Fase 4 - Reconstrucción del ataque (día 3-4):

• El CEO había recibido un email de phishing el 8 de enero suplantando a Microsoft (“su contraseña caduca en 24 horas”).
• El enlace llevaba a un kit de phishing Evilginx2 que capturó usuario, contraseña y token de sesión (bypaseando el 2FA de Google).
• Con el token de sesión, el atacante accedió a la cuenta sin necesitar credenciales.

Fase 5 - Informe pericial (día 5-7):

• Informe de 47 páginas detallando toda la investigación.
• Evidencias: .eml con cabeceras, logs de acceso, capturas de las reglas de reenvío, análisis del kit de phishing, geolocalización de IPs.
• Cadena de custodia documentada con hashes SHA-256 de cada pieza de evidencia.
• Conclusiones: la cuenta del CEO fue comprometida mediante phishing avanzado; el atacante envió el email fraudulento desde la cuenta legítima; la empresa no tenía políticas de verificación de transferencias por segundo canal.

Resultado del caso

El informe pericial fue admitido como prueba en el procedimiento penal. La Policía Nacional, con los datos técnicos del informe (IPs, email externo, timestamps), pudo solicitar cooperación judicial internacional a través de Eurojust. La empresa recuperó los 41.000 EUR bloqueados y la aseguradora cubrió parcialmente el resto tras acreditar el incidente con el peritaje.

Marco legal en España: LEC, LECrim, RGPD y jurisprudencia

El peritaje informático de email se enmarca en un conjunto de normas procesales y sustantivas que determinan cómo debe obtenerse, preservarse y presentarse la evidencia digital.

Ley de Enjuiciamiento Civil (LEC)

Ley de Enjuiciamiento Criminal (LECrim)

RGPD y protección de datos

El acceso a buzones de correo electrónico de terceros implica tratamiento de datos personales. El peritaje debe respetar:

• Principio de minimización (Art. 5.1.c RGPD): acceder solo a los emails relevantes para la investigación.
• Base legitimadora (Art. 6.1.f RGPD): interés legítimo o mandato judicial como base para el tratamiento.
• Derechos del afectado: si el peritaje implica acceder a emails de empleados en el ámbito laboral, deben respetarse las sentencias del TEDH (caso Barbulescu II) sobre expectativa de privacidad.

Jurisprudencia relevante

Cuánto cuesta un peritaje de email

El coste de un peritaje informático de correo electrónico depende de la complejidad del caso, el volumen de emails a analizar y si requiere ratificación en juicio.

Factores que aumentan el precio:

• Volumen superior a 100 emails relevantes.
• Necesidad de análisis de múltiples cuentas o servidores.
• Cooperación internacional (proveedores de email en otras jurisdicciones).
• Urgencia (entrega en menos de 72 horas).
• Complejidad técnica (cuentas comprometidas, malware sofisticado, cifrado).

Preguntas frecuentes

1. ¿Un email impreso en papel es válido como prueba en juicio?

Un email impreso en papel tiene un valor probatorio limitado. Puede ser impugnado por la parte contraria alegando que ha sido manipulado, fabricado o sacado de contexto. El Tribunal Supremo ha establecido que, cuando se impugna su autenticidad, es necesario un cotejo pericial (Art. 326.2 LEC). Para máxima eficacia probatoria, el email debe presentarse en formato digital con cabeceras completas y un informe pericial que certifique su autenticidad e integridad.

2. ¿Qué diferencia hay entre un notario y un perito informático para certificar un email?

Un notario puede dar fe de lo que ve en pantalla en un momento concreto (acta notarial), pero no tiene la capacidad técnica para analizar cabeceras, verificar SPF/DKIM/DMARC, detectar manipulaciones en metadatos o extraer evidencia forense de un servidor de correo. El peritaje informático certifica no solo el contenido visible, sino la autenticidad técnica, el origen real del mensaje y la integridad de los datos. La combinación de ambos (acta notarial + informe pericial) ofrece la máxima protección legal.

3. ¿Pueden falsificarse las cabeceras de un email?

Sí, determinadas cabeceras como From, Reply-To y Subject pueden falsificarse trivialmente. Sin embargo, los protocolos de autenticación (SPF, DKIM y DMARC) están diseñados precisamente para detectar esa falsificación. Un email con SPF=fail y DKIM=fail es altamente sospechoso. Además, las cabeceras Received insertadas por servidores intermedios son mucho más difíciles de falsificar, ya que cada servidor en la cadena añade su propia traza. El análisis forense profesional detecta estas inconsistencias.

4. ¿Cuánto tiempo se tarda en hacer un peritaje de email?

Un peritaje básico (análisis de cabeceras de unos pocos emails) puede completarse en 2-3 días laborables. Un peritaje estándar con análisis de buzón completo requiere 5-7 días. Una investigación completa de fraude BEC con análisis de cuenta comprometida puede llevar 7-15 días, dependiendo de la complejidad y la colaboración de los proveedores de servicio.

5. ¿Qué hago si soy víctima de un fraude BEC?

Las primeras horas son críticas. Los pasos inmediatos son: (1) contactar con el banco para intentar bloquear o revertir la transferencia, (2) no borrar ni modificar ningún email relacionado, (3) denunciar ante la Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos), (4) contratar un perito informático para la extracción y preservación forense de la evidencia, y (5) reportar el incidente a INCIBE (017) para recibir asistencia técnica.

6. ¿El perito necesita acceso a mi cuenta de email?

El perito necesita acceso al buzón para realizar la extracción forense completa. Esto puede hacerse de varias formas: acceso directo supervisado por el cliente, exportación por parte del departamento de IT bajo supervisión del perito, o mediante una orden judicial en caso de procedimientos penales. El acceso se limita estrictamente a los emails relevantes para la investigación (principio de minimización del RGPD).

7. ¿Sirve el peritaje de email para casos laborales?

Sí. El peritaje de email es frecuente en procedimientos laborales: acoso laboral documentado por email, despidos en los que se discute el contenido de comunicaciones, competencia desleal por filtración de información, o incumplimientos contractuales. La jurisdicción social admite la prueba electrónica conforme a la LEC (aplicable supletoriamente).

8. ¿Qué es la norma ISO 27037 y por qué es importante?

La norma ISO/IEC 27037 establece directrices internacionales para la identificación, recopilación, adquisición y preservación de evidencia digital. Seguir esta norma garantiza que el peritaje se ha realizado conforme a estándares reconocidos internacionalmente, lo que refuerza significativamente la admisibilidad y el peso de la prueba ante los tribunales.

9. ¿Puede un email eliminado ser recuperado y usado como prueba?

En muchos casos, sí. Los emails eliminados permanecen en la papelera durante un periodo (30 días en Gmail, 14-30 días en Outlook). Incluso después de vaciarse la papelera, los proveedores de email pueden conservar copias en sus backups durante un periodo limitado. Con las herramientas forenses adecuadas (MailXaminer, Stellar Email Forensic, Autopsy), es posible recuperar emails eliminados de archivos PST, MBOX o imágenes forenses de disco. La recuperabilidad depende del tiempo transcurrido y del tipo de almacenamiento.

10. ¿El peritaje de email se puede hacer en remoto?

Sí. Gran parte del peritaje de email puede realizarse en remoto, especialmente cuando el correo está alojado en servicios cloud (Gmail, Microsoft 365). La exportación del buzón, el análisis de cabeceras y la generación del informe no requieren presencia física. Solo en casos donde sea necesario adquirir imágenes forenses de dispositivos locales (servidor Exchange on-premise, equipo del empleado) puede requerirse presencia física o envío del dispositivo.

Fuentes y referencias

1. FBI IC3 (2024). “Business Email Compromise: The $55 Billion Scam”. PSA 240911. ic3.gov
2. FBI IC3 (2024). “2024 Internet Crime Report”. ic3.gov
3. LevelBlue SpiderLabs (2025). “BEC Email Trends: Attacks up 15% in 2025”. levelblue.com
4. Hoxhunt (2026). “Business Email Compromise Statistics 2026”. hoxhunt.com
5. INCIBE (2026). “INCIBE detectó más de 122.000 incidentes de ciberseguridad en 2025”. incibe.es
6. Valimail (2025). “How to read email headers: Decode SPF, DKIM, and DMARC like a pro”. valimail.com
7. SOC Investigation (2024). “Email Header Analysis - Use Cases Including SPF, DKIM & DMARC”. socinvestigation.com
8. Buades Legal (2020). “Los correos electrónicos y su valor probatorio ratificado por el Tribunal Supremo”. buadeslegal.com
9. Noticias Jurídicas. “Tribunal Supremo: los correos electrónicos sí son prueba documental válida”. noticias.juridicas.com
10. Mariscal Abogados (2024). “E-mail as Evidence at Trial in Spain”. mariscal-abogados.com
11. Signaturit (2024). “Electronic evidence: admissibility in court”. signaturit.com
12. Forensics Insider (2025). “12 Best Email Forensic Tools for Efficient Analysis”. forensicsinsider.com
13. Eftsure (2025). “20 Business Email Compromise Statistics 2025”. eftsure.com
14. IBM (2024). “Cost of a Data Breach Report 2024”. ibm.com
15. BOE (2020). “El correo electrónico como medio probatorio: su naturaleza de prueba documental”. boe.es

Artículos relacionados que pueden interesarte:

• Cadena de custodia digital: guía ISO 27037 para evidencia electrónica
• Cómo preparar evidencia digital para un proceso judicial
• 5 errores comunes al recopilar pruebas digitales
• Deepfakes IA y fraude empresarial: detección forense
• Cuánto cuesta un informe pericial informático en 2026