Serie de Recopilación de Evidencia: Correos electrónicos
¿Por dónde empezar?
Esta guía de tecnología específica es parte de una serie que detalla cómo recopilar evidencia relacionada al uso indebido de la tecnología en casos de violencia doméstica, agresión sexual y acecho. Antes de seguir adelante, le recomendamos que lea el Manual para Utilizar el Conjunto de Herramientas de los Sistemas Legales: Comprensión e Investigación del Uso Indebido de la Tecnología, Enfoques para la Recopilación de Evidencia: Consideraciones de el/la Sobreviviente y Enfoques para la Recopilación de Evidencia: Colección de Evidencia Criminal vs. Sistema Civil.
¿Por qué utilizar este recurso?
La serie es parte de un Conjunto de Herramientas de Sistemas Legales que incluye guías para asistir a fiscales, policías y abogados/as civiles.
CONSEJO/AVISO IMPORTANTE PARA INTERCESORES: Si usted es intercesor/a de un/a sobreviviente que no es abogado/a, se recomienda especialmente que NO recopile o almacene evidencia para los/las sobrevivientes. Puede brindar una gran ayuda a los/las sobrevivientes al proporcionarles información para recopilar evidencia por sí mismos/as. Su participación en el proceso de recopilación o almacenamiento de evidencia puede conducir a la obligación de tener que testificar en la corte, lo que puede perjudicar las protecciones de confidencialidad e impactar negativamente tanto en el/la sobreviviente como en la integridad de su programa. Si tiene preguntas, por favor, comuníquese con la Red de Seguridad.
Correo Electrónico como Evidencia: Introducción
Los mensajes de correo electrónico, ya sea que se envíen por computadora o por un dispositivo móvil, son una forma de comunicación común. En los casos de violencia doméstica, las cortes ordenan por rutina el correo electrónico como medio de comunicación «seguro» entre las partes, ya que deja un registro escrito. Las personas abusivas, por lo general, hacen un uso indebido del correo electrónico al enviar mensajes de acoso, obtener acceso no autorizado o crear direcciones falsas a fin de monitorear o suplantar la identidad de los/las sobrevivientes o enviar virus de computadora o programas espías (spyware) (spyware). La evidencia del correo electrónico puede fortalecer un caso al proporcionar pruebas de maltrato y una imagen más clara de la dinámica de la relación.
Correo Electrónico: La Tecnología
A pesar de ser una tecnología común, la mayoría de las personas no comprenden cómo funciona el correo electrónico «entre bambalinas». Una comprensión básica puede ayudar al investigar y documentar la conducta abusiva. A fin de garantizar claridad, necesitamos identificar en primer lugar términos específicos que se utilizarán en este documento.
«Cliente» de correo electrónico: Hace referencia al programa utilizado para interactuar con su correo electrónico, como Outlook, Gmail y Yahoo!.
Encabezado del correo electrónico: Se trata de un archivo de registro de clasificaciones, que documenta información útil respecto del envío de un correo electrónico. También contiene información específica de la comunicación por correo electrónico en particular. Deben tomarse medidas específicas para ver el encabezado del correo electrónico, ya que comúnmente se encuentra oculto de la vista normal.
Cuerpo del correo electrónico: Se trata del contenido del correo electrónico; el mensaje que se envía.
Firma del correo electrónico: La firma del correo electrónico puede o no estar presente ya que es controlada por el usuario/autor. Generalmente se encuentra en el final del cuerpo del correo. Es como la firma del autor al finalizar un mensaje.
Archivos adjuntos del correo electrónico: Un adjunto es un archivo que se envía con un correo electrónico y puede ser una imagen (foto), un video, un archivo de audio, un documento, etc.
Evidencia del correo electrónico: La Marca Digital
Aunque la evidencia del correo electrónico puede ser extremadamente útil, no siempre se busca o se recopila de manera correcta, y puede eliminarse o adulterarse accidentalmente. El resto de este documento habla sobre cómo recopilar y mantener la evidencia del correo electrónico para aumentar su utilidad en la corte. También puedes leer más acerca de las diferencias en la recopilación de evidencia mediante tecnología entre los casos criminales y los casos civiles.
Admitir la evidencia de correo electrónico generalmente implica demostrar que el correo es relevante para el caso y que una persona específica lo redactó y/o envió. Existen varias maneras diferentes de lograr esto, incluidos: acuerdos, registros de la empresa y posiblemente el correo electrónico en sí mismo.
NOTA IMPORTANTE SOBRE LOS ACUERDOS: Con frecuencia, las partes darán su consentimiento para que la evidencia de correo electrónico sea admitida en la corte. Puede ser útil considerar ponerse en contacto con la otra parte (de ser posible) para ver si se puede llegar a un acuerdo sobre la presentación de ciertos mensajes. Es mucho más sencillo presentar la evidencia mediante un acuerdo que solicitar un proceso legal o defender el tema en juicio.
ACERCA DEL CORREO ELECTRÓNICO Y LA PRIVACIDAD: Los/las fiscales y la policía, en particular, querrán limitar la cantidad de evidencia de correo electrónico que se recopila para protegerse de la información innecesaria que entrega el/la abogado/a defensor/a debido a los requerimientos de la doctrina Brady. Entregar información de los correos electrónicos privados de una víctima que no sea directamente relevante para el caso puede influir en la voluntad de las víctimas para testificar, confundir a los/las investigadores/as y puede llevar a repetir el trauma innecesariamente.
El Cuerpo
El cuerpo del correo electrónico puede tener información importante, más allá de lo que se indique claramente en la comunicación. En los casos en los que el remitente del correo electrónico sea impugnado, el cuerpo puede incluir vocabulario distintivo, información, patrones escritos, errores ortográficos u otros indicios de contexto que pueden ayudar a comprobar quién escribió el correo. Asimismo, el contenido de un correo electrónico en una cadena de mensajes puede proporcionar un contexto importante para la comunicación general, o podría utilizarse para demostrar que una persona está presentando de manera inapropiada solo una parte de una conversación a fin de confundir a el/la investigador/a.
Firmas
Es posible que haya información útil que deba investigarse en la/s firma/s de un correo electrónico o una cadena de correos. Las firmas , con frecuencia, se colocan automáticamente en la parte inferior de los correos electrónicos e incluso pueden olvidarse luego de la configuración inicial. Las firmas podrían ser incluidas solamente en los mensajes nuevos o podrían verse diferentes si el mensaje es una respuesta o está reenviado. Algunas firmas pueden ser legalmente vinculantes como en el caso de las «firmas electrónicas».
Archivos adjuntos
La evidencia que se encuentra en los archivos adjuntos no siempre se utiliza en su totalidad. Los adjuntos pueden tener metadatos importantes, o información acerca del mensaje o el adjunto, que puede ayudar a identificar al autor/remitente.
Si bien es útil examinar la metadatos disponibles, asegúrese de que toda investigación cumpla con los requisitos éticos apropiados. Muchos estados tienen opiniones éticas que impiden el uso de metadatos enviados de manera accidental. Esto es particularmente cierto cuando un/a abogado/a envía involuntariamente metadatos en un documento que proporciona información protegida acerca de otro cliente. Es importante conocer las normas éticas de su jurisdicción sobre este tema.
El Encabezado
El encabezado de un correo electrónico tiene metadatos importantes, incluidos el remitente, el destinatario, la fecha, la hora, el asunto y la dirección de Protocolo de Internet (IP). La dirección de protocolo de internet del remitente puede permitir a los/las investigadores/as determinar desde dónde se envió el correo electrónico y posiblemente quién lo envió. Tenga en cuenta que la dirección de protocolo de internet puede ser difícil de conectar al remitente si se utilizó un servidor proxy anónimo o un servicio de relé.
Es importante destacar que la información precisa del encabezado está disponible únicamente en la versión electrónica original[1] del correo electrónico. Puede accederse a esta versión mediante una computadora o un dispositivo móvil, una plataforma o cuenta de correo web o un servidor de correo electrónico. El investigador no podrá ver el encabezado del correo electrónico original si el sobreviviente le reenvía el correo electrónico. Al reenviarse, el encabezado del correo original se reemplaza con un encabezado que contiene la información del que reenvía el correo. Tampoco es posible descubrir el encabezado con una simple foto de pantalla o foto del cuerpo del correo electrónico. También es posible que el/la sobreviviente copie/pegue el encabezado del correo electrónico en un documento nuevo y lo envíe, o envíe una foto de pantalla del encabezado, al investigador como adjunto del correo electrónico. El/la sobreviviente también puede iniciar sesión en su correo electrónico desde una computadora en la oficina de los/las investigadores/as y recuperar el encabezado del correo mientras que el investigador observa para garantizar la integridad de los datos. Los/las investigadores/as de la policía deben validar esta información al enviar notificaciones judiciales a la empresa de correo electrónico a fin de obtener no solo la comunicación en cuestión sino que también el encabezado del correo electrónico relacionado. Se debe enviar una notificación judicial a la cuenta de correo electrónico del sospechoso que se utilizó para enviar el correo electrónico en cuestión, solicitando copias de todos los correos enviados, los borradores y los registros de acceso durante el mismo marco de tiempo de los correos electrónicos de evidencia. Esto ayudará a proporcionar una imagen más completa de los eventos y a descartar si alguien accedió a la cuenta de correo del sospechoso y envió el correo en cuestión.
Recuerde que incluso si el correo electrónico original fue eliminado, todavía puede estar presente en la carpeta Papelera. Cuando el correo electrónico original se elimina desde la bandeja de entrada y la bandeja Papelera, pero el cliente del correo electrónico también está en un teléfono inteligente o una tableta que realiza una copia de seguridad en un almacenamiento de computadora o nube, el correo electrónico todavía puede existir en una de las copias de seguridad del dispositivo.
¿Qué es una dirección de protocolo de internet (IP)?
Las direcciones de protocolo de internet se han utilizado con éxito para identificar a personas abusivas. Resulta útil que el/la sobreviviente lleve un registro de las conductas de maltrato y documente las direcciones de protocolo de internet desde dichas comunicaciones electrónicas.
Una dirección de protocolo de internet aparecerá en una de dos maneras: como un código numérico o como una combinación de números y letras (dígitos hexadecimales). Se utiliza para identificar un dispositivo en particular en Internet. Cada dispositivo requiere de una dirección de protocolo de internet para conectarse a internet. Existen dos versiones de direcciones de protocolo de internet: IPv4 (versión 4) e IPv6 (versión 6). IPv4 está compuesta por cuatro conjuntos de números, cada uno varía de 0 a 255, y está separado por un punto. Por ej., "66.72.98.236" o "216.239.115.148". IPv6 está compuesta por ocho grupos de dígitos de cuatro hexadecimales, cada uno separado por dos puntos. Por ej., “2001:4860:4860:0000:0000:0000:0000:8888”. Con IPv6, la dirección de protocolo de internet , con frecuencia, se visualiza en un formato truncado. Esto se realiza al quitar los conjuntos de dígitos de cuadro hexadecimales cuyo valor son todos “0” y reemplazarlos con dos puntos adicionales. Por ej., “2001:4860:4860::8888”.
Existen dos tipos de dirección de protocolo de internet que pueden ser asignadas por un Proveedor de Servicio de Internet (ISP, por sus siglas en inglés). U na dirección de protocolo de internet estática siempre es igual, mientras que una dirección de protocolo de internet dinámica puede modificarse cada vez que el usuario se conecta a Internet. Una dirección de protocolo de internet es más común para usuarios particulares. Un ISP lleva registros de qué cliente fue asignado a una dirección de protocolo de internet específica en una fecha y un horario específicos. Así es como una residencia/ubicación puede asociarse con una dirección de protocolo de internet en particular. Los ISP generalmente guardan estos expedientes durante no más de 90 días.
Cómo Encontrar la Dirección de Protocolo de Internet
El encabezado de un correo electrónico , con frecuencia, contiene la dirección de protocolo de internet desde la que se envió el correo electrónico. Para encontrar la dirección de protocolo de internet de origen, es decir, la que se utilizó para enviar el correo electrónico, lea el encabezado del correo de abajo hacia arriba y busque la dirección de protocolo de internet que sigue a la “x-originating-ip” o “Client IP”. En algunos casos, la dirección “x-originating-ip” o “Client IP”que se muestra en el encabezado del correo puede no ser la que se emitió al remitente del correo por parte del ISP. Si busca la dirección de protocolo de internet (IP) y encuentra Google o un proveedor de correo electrónico, es posible que hayan sustituido su IP por la IP de origen (del remitente). En este caso, es probable que todavía tengan la dirección de protocolo de internet del remitente en archivo y puedan suministrarla si se los notifica legalmente.
Encontrar el encabezado de un correo electrónico depende del cliente de correo electrónico. Para ver instrucciones sobre cómo encontrar los encabezados, pruebe con una búsqueda en línea con “Cómo usar encabezados de correo electrónico completos en in [´nombre del cliente de correo electrónico].”
Cómo Buscar o Rastrear una Dirección de Protocolo de Internet
Una vez que tiene la dirección x-originating-IP o Client IP, puede encontrar el ISP que está arrendando la dirección de protocolo de internet al realizar una búsqueda “WhoIs”. Existen varios recursos en línea diferentes para encontrar esta información. Uno que se utiliza comúnmente es www.arin.net. Algunos de estos sitios también brindarán otra información, incluida la ubicación geográfica aproximada del dispositivo asignado a la dirección de protocolo de internet. Esta información de ubicación puede no ser lo suficientemente confiable o precisa y debe utilizarse solo para indicar una ciudad general dentro de un estado.
A continuación brindamos un ejemplo de un encabezado de correo electrónico completo, destacando en rojo la X-Originating-IP y la Message ID, una identificación única proporcionada por el servidor de correo electrónico SMTP de origen que puede ayudar a identificar al remitente, incluso si el campo “From” (De) se encontraba alterado.
Cómo Contactar al Proveedor de Servicio de Internet (ISP, por sus siglas en inglés)
El ISP puede identificar a quién se le asignó la dirección de protocolo de internet. En algunos casos, puede ser una vivienda particular, relacionada directamente con la persona abusiva, o puede ser un hotel, una biblioteca, una cafetería u otro lugar. En este último caso, necesitaría establecer que la persona abusiva estuvo allí mediante otra evidencia, como grabaciones de vigilancia de seguridad y registros de conexión para la WiFi pública que se utilizó.
La mayoría de los ISP tienen un contacto específico para la policía. Puede buscar información de ese contacto específico en la lista del ISP en Search.org; por ejemplo:
Con una Notificación de Retención o una Orden de Preservación, el ISP creará una copia de los datos identificados en la orden y guardará esta información hasta que reciba la notificación legal apropiada o hasta que pasen 90 días. Una Orden de Preservación generalmente es válida durante 90 días; sin embargo, se puede otorgar una Orden de Preservación adicional al ISP, sumando así 90 días adicionales y alcanzando un total de 180 días. Este es un paso crítico para garantizar que la información esté disponible hasta que pueda obtenerse una citación (“subpoena”), una orden judicial para la exhibición de expedientes o una orden de allanamiento. Una citación (“subpoena”) u orden judicial para la exhibición de expedientes puede permitirle obtener información básica del suscriptor, mientras que una orden de allanamiento puede obtener acceso a contenido real del correo electrónico.
Tenga en cuenta que el ISP puede intentar notificar a la persona abusiva sobre la notificación del proceso legal que recibieron respecto de su cuenta. Para disminuir los riesgos de seguridad para la víctima, incluya en la citación (“subpoena”), la orden judicial para la exhibición de expedientes o la orden de allanamiento instrucciones específicas para el ISP de no notificar al titular/cliente de la cuenta (la persona abusiva) ni realizar cambios, como bloquear el acceso a la cuenta. Algunos ISP exigen una orden judicial por separado que ordene que no divulguen la notificación del proceso legal al titular/cliente de la cuenta (la persona abusiva).
Algunos ISP pueden indicar que cobrarán un cargo por el procesamiento de la información solicitada. Informarles que el cargo no es posible , con frecuencia, genera que se renuncie a él. En algunas jurisdicciones, se le puede solicitar a la corte que haga que el/la ofensor/a pague el costo de procesar solicitudes al ISP.
Conectar una Dirección de Protocolo de Internet a una Persona Específica
Este último paso puede ser la parte más difícil de una investigación. En algunos casos, ubicar la dirección de protocolo de internet y colocar esa información en una búsqueda de IP puede brindarle indicios útiles sobre las coordenadas geográficas del remitente. Lamentablemente, esa evidencia no siempre puede ser admisible o estar disponible. En muchos casos, será necesario crear evidencia circunstancial para demostrar que la dirección de protocolo de internet está conectada a un dispositivo que el supuesto/a delincuente posee o utiliza y que dicho/a delincuente tuvo acceso, motivo y oportunidad de usar el dispositivo.
Recomendaciones para Recopilar Evidencia de Correo Electrónico
RECOMENDACIÓN 1: Considerar los Correos Electrónicos Recibidos y Enviados
Es importante hablar con los/las sobrevivientes acerca de las comunicaciones por correo electrónico con la persona abusiva y también acerca de cualquier comunicación sospechosa o maliciosa que pueda haber venido de la persona abusiva mediante suplantación de la identidad. A veces, los/las sobrevivientes pueden ser reacios a debatir cosas que consideran que no pueden demostrar. Por ejemplo, los/las sobrevivientes pueden ser reacios/as a debatir o informar que una persona había utilizado de manera inapropiada su dirección de correo electrónico para enviar mensajes, fingiendo ser el/la sobreviviente, porque les avergüenza el mensaje o porque temen no poder demostrar que fue la parte abusiva. Hágale saber a el/la sobreviviente que es su trabajo ayudarlo/a a demostrar quién lo envió. Su trabajo es comunicarle a usted todo lo que haya pasado, incluidas las cosas que pueden resultar incómodas o difíciles de comprobar.
RECOMENDACIÓN 2: Proteger contra el Acceso Inapropiado
Existe una variedad de maneras en las que una persona abusiva podría falsificar evidencia de correo electrónico. Podrían acceder al correo electrónico de el/la sobreviviente de manera ilegal para eliminar o enviar correos inapropiados. También podrían crear una cuenta falsa con una dirección similar a la cuenta real (por ej., terry.smith@company.com podría falsificarse como terrysmith.company@gmail.com), o podrían usar un servicio de suplantación de correo electrónico. También podrían usar suplantación de la identidad para exponer a los/las sobrevivientes a una perspectiva negativa. Es importante ser consciente sobre estas posibilidades y estar preparado/a para ayudar a la corte a entenderlas.
Muchos usuarios/as de correo electrónico permiten al titular de la cuenta ver qué dispositivos accedieron a la misma. Algunos incluso brindan información sobre la fecha, el horario, el navegador de Internet utilizado y la ubicación geográfica aproximada para cada dispositivo. Es importante ayudar a los/las sobrevivientes a crear contraseñas seguras y a garantizar que el/la sobreviviente tenga un sistema para comprobar con regularidad cuáles dispositivos pueden acceder a sus cuentas.
Próximos Pasos en su Investigación
A pesar de los desafíos que la tecnología puede plantear a la recopilación de la evidencia, es posible comprobar casos de maltrato exitosamente mediante la tecnología a través de una investigación eficaz e intercesoría creativa. Ayude a los/las sobrevivientes a entender cómo proteger, recopilar y preservar la evidencia. Lea más información acerca de la importancia de hacer participar a los/las sobrevivientes en el proceso de recopilación de evidencia en Enfoques para la Recopilación de Evidencia: Consideraciones para Sobrevivientes. La participación activa de los/las sobrevivientes puede conducir a información que puede fortalecer el caso, y puede brindarles a los/las sobrevivientes herramientas esenciales de seguridad y sanación, independientemente del resultado del caso.
Para obtener más información, consulte los recursos en nuestra Serie de Recolección de Evidencia. Si tiene más preguntas acerca de la investigación de los casos de maltrato mediante tecnología, comuníquese con Red de Seguridad Tecnológica y visite TechSafety.org para obtener más información.
[1] “Original” es un término complicado porque los archivos digitales “viven” en muchos lugares simultáneamente. En este caso, el término original hace referencia principalmente a un mensaje que no se ha “reenviado” o enviado como parte de una “respuesta”.
