Buenas,

Sirva este primer mensaje como presentación. Estudié ingeniería informática y he empezado a interesarme por el mundo del hacking a raíz de varias peticiones de abogados para realización de peritajes. Por lo general es extraer información sobre fotos y vídeos que, hasta ahora, era capaz de responder. Lo último ya me ha resultado más difícil y a la vez me ha generado más curiosidad.

La cuestión es que se me pide hacer un contraperitaje en un caso en el que una persona que utiliza correo corporativo de GMAIL recibe un mensaje con adjuntos. Ese adjunto es un certificado falsificado (esto está claro por el CSV, no han tenido la más mínima vergüenza a la hora de reutilizar un CSV cambiando texto en el PDF). La cuestión es que dicen que han recibido el archivo tal cual. El perito en cuestión analiza cabeceras y demás y llega a la conclusión de que el correo es íntegro y que fue recibido así. Toca hacer un contraperitaje y poner en duda la veracidad del correo.

Lo podemos hacer fácilmente de forma indirecta porque ellos se apoyan en que el correo proviene a su vez reenviado de otra persona. Aquí es dónde podemos entrar porque eso sí que es texto puro y duro que se puede manipular fácilmente por parte del que les envía el correo. Creo que aquí el perito se ha columpiado al dar por buena la fecha y dirección del reenvío sólo con el típico texto que aparece en el cuerpo del mensaje. Pero claro, esto sería una forma válida pero que a mí me deja un regusto soso.. necesito saber técnicamente más.

Por lo tanto, empiezo a hacer pruebas y me envío correos a mi buzón corporativo en GMAIL y abro el correo con Outlook. Desde allí puedo cambiar texto, subject e incluso los adjuntos. Se sincroniza de nuevo la carpeta IMAP y ahí está el correo con la fecha original y todo. Por supuesto, esto cambia ciertas cosas de la cabecera como los "hops" por los que pasó el correo original. Imagino que esto es metainformación que Outlook cambia y mete en la cabecera pero me hace pensar si existirá una forma de modificar contenidos de un correo sin que se "note" tan exageradamente el cambio en la cabecera.

La pregunta surge porque, según he leído, hay un parámetro que aseguraría que el mail ha sido manipulado y es el UID del correo ya que, al modificarlo, GMAIL elimina el correo original y crea una copia exacta pero con un UID distinto. Este UID al ser correlativo y automático, hace que el correo modificado y la fecha ya no cuadren... En definitiva ese UID no sería problema ya que el perito no lo ha tenido en cuenta... pero vamos, que el contraperitaje está en marcha y es válido, pero quiero saber más...

¿Alguna utilidad, aplicación o algo que me permita hacer esas pruebas?

GRacias