Forense en correo electrónico

I. Introducción y objetivos

II. Forense en correo electrónico

III. Repaso nal

IV. Caso práctico con solución

V. Lecturas recomendadas

VI. Enlaces de interés

VII. Glosario

VIII. Bibliografía
Lección 1 de 8

I. Introducción y objetivos

1. Introducción de la unidad

Hoy en día, el correo electrónico es una de las vías de comunicación más utilizada entre las personas.
Consiste en un servicio de mensajería interpersonal que permite el intercambio de mensajes entre usuarios
sin que resulte necesario que se encuentren conectados en el mismo momento.

Existen distintas aplicaciones disponibles para la gestión de sistemas de correo electrónico, agrupadas
principalmente en dos modalidades:
 C LI E N T E DE C O R R E O E LE C T R Ó N I C O WE BM A I L O C O R R E O WE B:

Programas utilizados para gestionar mensajes recibidos y redactar otros nuevos (por ejemplo,
programas como Mozilla Thunderbird, Outlook Express, Outlook y Eudora, entre otros).

Este tipo de programas descarga todos los mensajes almacenados en el ordenador, sin perjuicio de
que se puedan mantener en el servidor determinados protocolos (por ejemplo, el protocolo IMAP).

Estos programas se pueden instalar en distintos dispositivos (entiéndase el portátil, tableta, ordenador
de sobremesa, smartphone, etc.).

C LI E N T E DE C O R R E O E LE C T R Ó N I C O WE BM A I L O C O R R E O WE B:

Webmail es un sistema o herramienta de acceso al buzón de correo a través de la web o, dicho de otro
modo, una modalidad de acceso al correo electrónico mediante acceso habilitado desde el propio
servicio de hosting, el cual permite al usuario leer y redactar mensajes accediendo desde el servidor
del hosting habilitado por la empresa.

Al acceder al servidor de la web antes mencionado, aparecerá una interfaz que permitirá al usuario, de
manera bastante sencilla e intuitiva, la introducción de su usuario y contraseña.

Como aspecto positivo, gracias a Webmail los correos electrónicos se almacenarán en el propio
servidor que aloja la cuenta de correo web.

Se utiliza como método de intercambio de información interna empresarial, información externa entre
individuos, transmisión de documentos y conversaciones de tipo general.
El correo electrónico puede ofrecer confidencialidad, autenticación e integridad en los datos, proporcionando
al usuario tranquilidad a la hora de utilizar este medio. Dado que este mecanismo ha ido creciendo a lo largo
de los últimos años, los atacantes maliciosos lo utilizan también como vector de infección o punto de
entrada al ataque, debido, principalmente, a los numerosos tipos de información que puede contener.

No hay duda de que el empleo de técnicas como la ingeniería social con el

objetivo de engañar a los usuarios de correo electrónico ha crecido de forma
exponencial en los últimos años. En la actualidad, sistemas como los firewalls
perimetrales o la securización de los servicios no resultan suficientes para
proteger a las empresas de ataques externos.

C O NT I NU A R

2. Objetivos de la unidad
En esta unidad se pondrá el foco en el correo electrónico como elemento del análisis forense. Se verán los
protocolos MIME, S/MIMe, SMTP y su extensión, ESMTP. Como objetivos primordiales de esta unidad
destacan los siguientes:

1 Presentar al alumno los elementos fundamentales del análisis forense en correo electrónico.

2 Exponer los dos estándares existentes en el desarrollo del correo electrónico (protocolos X400
y SMTP).

3 Desgranar los comandos básicos empleados por el protocolo STMP.

4 Presentar los aspectos básicos del protocolo extendido de STMP (ESTMP).

5 Introducir al alumno en el análisis de STMP desde Telnet y Wireshark.

Lección 2 de 8

II. Forense en correo electrónico

A través del correo electrónico se puede propagar malware y se pueden producir ataques de robo de
información y suplantación de identidad, por citar algunos de los incidentes de seguridad que pueden
generar la necesidad de realizar un análisis forense de los protocolos que se relacionen con la transferencia
y recepción de correos electrónicos. Esto permitirá al auditor estudiar el origen y contenido de un
determinado correo electrónico para que se puedan identificar varios puntos que es necesario tener en
cuenta:

Quién envía el mensaje.

Quién lo recibe.

Fecha a la que se envió.

Contenido del correo.

Existen dos estándares en el desarrollo de correo electrónico.

PR O T O C O LO X 40 0 PR O T O C O LO S M T P

Por un lado, existe el protocolo X400, que fue desarrollado y potenciado en la década de los ochenta por
varias empresas tecnológicas. Se trata de un estándar para el intercambio de correo electrónico que opera
conforme al modelo de interconexión de sistemas abiertos OSI.

El protocolo X400 fue considerado como el medio más certero y útil a nivel internacional para el intercambio
de mensajes y archivos entre los usuarios.
Este método de envío supone personalizar las comunicaciones, dirigiendo el correo electrónico a una suerte
de casilla electrónica personal. Cada casilla queda categorizada con un identificador único.
Los mensajes quedan almacenados en la casilla antes mencionada, hasta que el usuario acceda a ella
para visualizarlos.

PR O T O C O LO X 40 0 PR O T O C O LO S M T P

Por otro lado, existe el protocolo SMTP (Simple Mail Transfer Protocol), que fue definido también a principios
de los ochenta por el Internet Engineering Task Force (IETF) y que actualmente está reflejado en los RFC
(Request for Comments) 821 y 822.

Este protocolo se ha convertido, con el tiempo, en uno de los más utilizados en internet, por lo que se ha
llegado a convertir en un estándar.

En cuanto a los protocolos de acceso al buzón que acompañan al SMTP, el

número de posibilidades varía desde los clásicos POP2 (Post Office Protocol
v2) y POP3 (Post Office Protocol v3) hasta los IMAP (Internet Message
Access Protocol) y MAPI (Messaging Application Programming Interface) o
los actuales, basados en soporte HTTP, que se han extendido a medida que
crecía la popularidad de la web.

C O NT I NU A R
2.1. Cabeceras

Figura 1. Ejemplo de cabecera.

Fuente: elaboración propia.

FROM S UBJE C T DAT E TO RET

Aquí se muestra el remitente del mensaje. En cualquier caso, esta línea puede resultar fácilmente alterada,
siendo por ello la información menos fiable dentro de la cabecera del mensaje.
 FROM S UBJE C T DAT E TO RET

Comúnmente conocido como “asunto”. Consiste en una breve descripción que permite al usuario visualizar
el contenido y elementos esenciales del correo electrónico, sin necesidad de abrirlo.

FROM S UBJE C T DAT E TO RET

Esta línea incluye la fecha y hora en la que fue enviado el correo electrónico.

FROM S UBJE C T DAT E TO RET

Línea en la que se incluye la dirección del destinatario del correo electrónico, aunque en ocasiones puede no
figurar.

FROM S UBJE C T DAT E TO RET

También denominada Reverse Path, consiste en una dirección para procesar aquellos rebotes en los
correos electrónicos, es decir, una dirección que recibe la información procedente de todos los rebotes. En la
mayoría de los casos, esta línea se encuentra sobre el encabezado “Recibido”, el cual presenta aquella
dirección IP pública desde la cual se remitió el correo.

FROM S UBJE C T DAT E TO RET

En este campo se incluyen aquellos parámetros que el programa para envío de correo electrónico y el
servidor emplean para la comunicación entre ellos. Es importante apuntar que esta información no podrá
visualizarse por el emisor, dado que aparece una vez se hace clic en Enviar. Tampoco es visible para el
destinatario, pues desaparece antes de que el correo llegue a su bandeja de entrada.

FROM S UBJE C T DAT E TO RET

En este campo figurarán la hora y fecha exacta en las cuales el cliente o bien el servidor de correo recibieron
el mensaje.

FROM S UBJE C T DAT E TO RET

Esta línea identifica a todos aquellos sujetos por los que ha pasado el correo electrónico, también llamados
intermediarios. Para cada sujeto, se puede visualizar su dirección de IP propia, además de todos aquellos
protocolos de autenticación (DMARC, DKIM, SPF) validados por los distintos servidores (o no). Dicho de otro
modo, el campo “Received” va a identificar todas aquellas máquinas por las que ha viajado o pasado el
mensaje. Esta cabecera es la más importante y normalmente la que genera más confianza.

FROM S UBJE C T DAT E TO RET

En esta línea figurará el denominado identificador único de este específico correo electrónico. Esta
información puede sufrir modificaciones o alteraciones fácilmente.

FROM S UBJE C T DAT E TO RET

Multipurpose Internet Mail Extensions (por sus siglas en inglés, MIME): consiste en un estándar que extiende
el formato del correo electrónico. Su finalidad es la de habilitar cualquier tipo de mensaje, esto es, texto, voz,
binarios, datos, imágenes, etc., con el objetivo de que pueda ser enviado de forma simple y reversible
mediante el protocolo SMTP.

FROM S UBJE C T DAT E TO RET

Línea en la que se muestra el formato concreto del mensaje, por ejemplo, HTML o texto plano.

FROM S UBJE C T DAT E TO RET

El servicio de correo electrónico o el propio cliente de correo generan una puntuación de spam. Esto es lo
que se muestra en este campo.

FROM S UBJE C T DAT E TO RET

Esta línea dentro de la cabecera presenta la puntuación de spam normalmente generada por el servicio de
correo electrónico o el propio cliente.

FROM S UBJE C T DAT E TO RET

Se trata del correo electrónico o mensaje propiamente dicho, escrito y enviado por el remitente.
 C O NT I NU A R

2.2. MIME, S/MIME y SMTP

MIME (Multipurpose Internet Mail Extensions) añade una extensión al

protocolo SMTP, permitiendo la encapsulación de contenido multimedia
dentro de un mensaje SMTP.

MIME

(Multipurpose Internet Mail Extensions)

Es un estándar creado por Bell Communications en 1991 para aumentar las capacidades limitadas del
correo electrónico y, concretamente, permitir la inserción de documentos en un mensaje. Encuentra su
definición originaria en 1992, gracias a las RFC 1341 y 1342.

MIME utiliza BASE64 para codificar y convertir ficheros complejos en datos de tipo ASCII. Es compatible casi
con todas las aplicaciones actuales. Se puede consultar en los RFC 2045 a 2049.

Una nueva especificación de MIME permite soportar mensajes cifrados y se conoce como S/MIME. Esta
especificación está basada en criptografía de clave pública de tipo RSA y ayuda a prevenir la pérdida de
confidencialidad por medio de un ataque o una interceptación del envío de mensajes durante el tránsito o su
almacenamiento. Los RFC que especifican S/MIME son el 2311 y 2312.
MIME proporciona las siguientes funcionalidades al servicio de correo electrónico:

Empleo de texto enriquecido (colores, fuentes, diseños, etc.).

Uso de conjuntos de caracteres no pertenecientes al código ASCII.

Extensión ilimitada del mensaje.

Capacidad de enviar multitud de adjuntos en un solo mensaje.

Adjuntos binarios que se pueden dividir, en caso de resultar necesario.

Tipos de MIME primarios

–
Los tipos de MIME, empleados en el encabezado tipo de contenido, se usan con la finalidad de clasificar
archivos adjuntos de un correo electrónico.

Los tipos de MIME se emplean también en la web al objeto de categorizar documentos trasladados
mediante el protocolo HTTP. De ese modo, en el transcurso de una transacción entre servidor web y
explorador, el primer paso que llevará a efecto el servidor web consiste en enviar el tipo de MIME al
explorador, desde el archivo, de modo que dicho explorador conozca cómo mostrar o presentar el
documento.
Figura 2. Esquema de un mensaje MIME.
Fuente: elaboración propia.
Mensajes compuestos
–
El estándar MIME habilita el envío de mensajes compuestos, esto es, mensajes con múltiples adjuntos,
que, además, pueden ser jerarquizables.

Con esa finalidad, MIME habilita un estándar denominado “frontera”, que consiste en una cadena arbitraria.

C O NT I NU A R

2.3. Comandos SMTP

SMTP utiliza un número limitado de comandos que se deben conocer para poder recomponer y seguir los
mensajes en una captura de red.

HE LO MAIL FROM R C PT T O DATA

El cliente envía este comando al servidor SMTP con el objetivo de identificarse a sí mismo e iniciar la
conversación SMTP.

HE LO MAIL FROM R C PT T O DATA

Identifica la dirección de correo electrónico del remitente. Este comando, asimismo, informa al servidor
SMTP de que un nuevo intercambio de mensajes ha comenzado.

HE LO MAIL FROM R C PT T O DATA

Procedente de “Recipient To”. Este comando indica la dirección de correo electrónico del receptor del
mensaje. Puede repetirse en múltiples ocasiones para un correo dado, con el objetivo de entregar un único
mensaje a múltiples receptores.

HE LO MAIL FROM R C PT T O DATA

Advierte del comienzo de la transferencia del contenido del mensaje (cuerpo del mensaje, adjuntos, etc.).
Después de que el comando DATA haya sido enviado al servidor, este último responderá con un código 354
de respuesta.
 HE LO MAIL FROM R C PT T O DATA

Si el comando RSET se envía al servidor de correo electrónico, la transferencia del correo en curso será
paralizada o abortada. La conexión no se cerrará, pero toda la información sobre el remitente y destinatarios
y los datos del correo serán eliminados, junto con la memoria de almacenamiento temporal y las tablas de
estado, que quedarán limpias.

HE LO MAIL FROM R C PT T O DATA

Comprueba que un buzón está disponible para la entrega de mensajes; por ejemplo, vrfy ted comprueba que
hay un buzón para Ted en el servidor local. Este comando está desactivado en las implementaciones de
Exchange de manera predeterminada.

HE LO MAIL FROM R C PT T O DATA

Este comando solicita al servidor cerrar la conexión. Si la conexión puede ser cerrada, el servidor responderá
con un código numérico 221 y entonces se cierra la sesión.
 HE LO MAIL FROM R C PT T O DATA

Este comando inicia la transferencia del correo electrónico.

En toda transacción de mensajes de correo electrónico es posible conocer su situación, consultando los
códigos de estado referidos a un e-mail. Estos códigos permiten saber qué está pasando con el mensaje de
correo en todo momento. Los valores de estado que se utilizan se especifican en la RFC 821 e identifican
desde el estado del servicio hasta el envío de un comando no válido.

C O NT I NU A R

2.4. Protocolo extendido SMTP

S M T P E X T E N DI DO

Llamado ESMTP, es la definición de un conjunto nuevo de extensiones del protocolo SMTP para dotar al
servicio de mayor funcionalidad. Este nuevo formato de comandos y funcionalidades se encuentra definido
en la RFC 1869. En ella se establece una estructura para todas las extensiones existentes y se marca la
pauta para las extensiones futuras. Estas extensiones podrán utilizarlas los clientes de correo electrónico, y,
para ello, podrán consultarle al servidor SMTP si las admite.
Cuando un sistema se conecta a un agente de transmisión de correo, este puede enviar el comando EHLO,
que forma parte del conjunto extendido del protocolo SMTP, en vez del comando original HELO. Si el agente
de transmisión de correo es compatible con SMTP extendido, el servidor responderá con una serie de
comandos soportados. Si no es compatible con ESMTP, el agente mostrará un error de tipo 500, de comando
no reconocido, provocando que el agente del cliente solo trabaje con peticiones de tipo SMTP.

Figura 3. SMTP desde Telnet.

Fuente: elaboración propia.

Por otro lado, se encuentra la herramienta Wireshark, cuya interfaz gráfica está preparada para interpretar
los protocolos de correo electrónico, resultando, así, un mecanismo muy útil para comprender o capturar
información muy precisa de una conversación.

Con Wireshark, tal como muestra la figura presentada bajo estas líneas, se podrá interpretar cualquier
transferencia SMTP; por ello, e independientemente del cliente de correo electrónico empleado para
redactar y enviar un mensaje, Wireshark funcionará para el análisis forense.

Grosso modo, los pasos seguidos por esta herramienta consisten en lo siguiente:

1 Toma de la captura (captura de los paquetes de red).

2 Filtrado de SMTP básico, de aquellos paquetes relevantes de cara al análisis.

3 Posteriormente, los campos de la transferencia mediante SMTP serán interpretados.

4 Wireshark extraerá los archivos que se han transmitido por correo electrónico.

5 Finalmente, la herramienta efectúa un filtrado de tipo avanzado, que permite al analista obtener
información más detallada.

Figura 4. SMTP desde Wireshark.

Fuente: elaboración propia.
Lección 3 de 8

III. Repaso final

Esta unidad se ha centrado en la realización de análisis forenses en los correos electrónicos, por lo que
se han estudiado los protocolos de uso más común. Más específicamente, se han desarrollado las
distintas líneas de información en la cabecera del correo electrónico, tanto las visibles como las que
proporcionan información oculta (entiéndanse el comando Received y datos adicionales, como la
puntuación de spam puntual y la puntuación normalmente generada, entre otros).

Adicionalmente, se ha efectuado un estudio de los comandos SMTP básicos, al objeto de conocer qué
está ocurriendo en todo momento con el correo electrónico.
Para concluir la unidad, se ha aprendido a emplear la herramienta Telnet y Wireshark para ayudar en esta
tarea. Con estas herramientas se consiguen la interpretación y el filtrado del protocolo de correo
electrónico.

En síntesis, tras el estudio de esta unidad, se ha aprendido la finalidad de la disciplina del análisis
forense en correos electrónicos, que no es otra que proporcionar al analista o auditor información
específica que le ayude y le ofrezca una orientación sobre un ataque en concreto, como bien puede ser el
robo de información, suplantación de identidad…, y que puede haberse producido a través del envío de
malware por un mensaje de correo.
Lección 4 de 8

IV. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

ENUNCIADO

En este caso práctico el alumno se va a encargar de analizar correos electrónicos y deberá averiguar qué
tipo de ataque es y cómo se ha producido. Se adelanta que los métodos que utilizar son el e-mail
spoofing y el typosquatting.
E-mail spoofing es una práctica que consiste en engañar al usuario alterando el contenido del campo
“From”. Se verá una dirección que parece legítima, pero, en realidad, los correos electrónicos se envían
desde otro dominio diferente.

Typosquatting es otra práctica que consiste en crear un dominio con un nombre casi igual o muy
parecido. Dos ejemplos de typosquatting para el dominio @imf.es podrían ser @lmf.es e @inf.es.

ESCENARIO 1

Se proporcionan las cabeceras de un correo recibido en la cuenta de jgomez[@]mercerialoli[.]es y

presuntamente enviado desde la cuenta alberto[@]pacolopezss[.]com.
¿Podrías decir por qué se trata de un correo electrónico fraudulento y a cuál de los dos tipos de ataques
al dominio presentados en el enunciado corresponde?
Figura 1.
Fuente: elaboración propia.
ESCENARIO 2

Se proporcionan las cabeceras de un correo recibido en la cuenta de tpastor[@]tapicestomas.com y

presuntamente enviado desde la cuenta agonzalez[@]alfombraspepe[.]com.

¿Podrías decir por qué se trata de un correo electrónico fraudulento y a cuál de los dos tipos de ataques
al dominio presentados en el enunciado corresponde?
Figura 2.
Fuente: elaboración propia.
 VER SOLUCIÓN

SOLUCIÓN

ESCENARIO 1 ESCENARIO 2

Al analizar la cabecera de los correos electrónicos se puede observar cómo la del campo “From” no es la
que aparece en el correo a simple vista.

En el correo electrónico se puede leer alberto[@]pacolopezss[.]com como remitente. Este dominio parece el
dominio real de la empresa Paco Sociedades Sanitarias. Analizando las cabeceras se ve cómo el e-mail ha
sido realmente enviado desde otro dominio (mail[.]ru), por lo que se trata de un caso de e-mail spoofing.

Figura 3.
Fuente: elaboración propia.
 ESCENARIO 1 ESCENARIO 2

En las cabeceras aparece un dominio parecido al del apartado anterior.

El dominio @alfombraspepe.es ha sido suplantado por @aIfombraspepe.com, sustituyendo el carácter “L”

de alfombras por una “i” mayúscula, haciéndolo imperceptible a simple vista.

Esta práctica es un claro ejemplo de typosquatting.

Figura 4.
Fuente: elaboración propia.
Lección 5 de 8

V. Lecturas recomendadas

“Consejos de seguridad en el uso del correo electrónico”. Grupo Ático34; 2018.

Lección 6 de 8

VI. Enlaces de interés

Gavrailova, Gabriela. “¿Qué es Return Path y por qué debes personalizarlo?”. Mailjet Blog; 2019

ABRIR ENLACE

Felipe. “Protocolo POP: qué es y cómo funciona”. Hosting Plus; 2021.

ABRIR ENLACE
Lección 7 de 8

VII. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

Codificación BASE64
–
Sistema de numeración posicional que utiliza el número 64 como base.

Código ASCII
–
Las siglas ASCII se corresponden con American Standard Code for Information Interchange, código
propuesto por Robert W. Bemer con la finalidad de crear códigos que se asignen a caracteres
alfanuméricos (números, símbolos, letras y acentos).

Ingeniería social
–
Técnicas que buscan aprovechar patrones de comportamiento, buena fe o desconocimiento técnico de los
usuarios para la ejecución de acciones maliciosas o fraudulentas.

Malware
–
Virus o gusano que típicamente afecta a múltiples dispositivos corporativos y que pueda parar o ralentizar
el servicio.

Phishing
–
Técnica específica de ingeniería social por la que un tercero se hace pasar por otra persona e intenta que
una potencial víctima realice ciertas acciones para obtener provecho de ello o de la organización donde
esta se encuentra.

Protocolo IMAP (Internet Message Access Protocol)

–
Protocolo que permite acceder al correo electrónico desde cualquier lugar y cualquier dispositivo. En el
momento en que se lee un mensaje con IMAP, realmente no se descarga ni almacena, sino que se lleva a
cabo la lectura desde el propio servicio de correo electrónico.
Protocolo MAPI (Messaging Application Programming Interface)
–
Protocolo optimizado que permite interactuar con la cuenta de correo electrónico.

Protocolo MIME (Multipurpose Internet Mail Extensions)

–
Consiste en un estándar que extiende el formato del correo electrónico. Su finalidad es la de habilitar
cualquier tipo de mensaje, esto es, texto, voz, binarios, datos, imágenes, etc., con el objetivo de que pueda
ser enviado de forma simple y reversible mediante el protocolo SMTP.

Protocolo POP (Post Office Protocol)

–
Es un protocolo que establece conexión entre cliente y servidor de correo electrónico para, así, poder
tramitar el envío de correos electrónicos. Su primera versión fue creada en 1984 y desde entonces ha ido
evolucionando en distintas versiones, mejorando en seguridad, velocidad y eficiencia (POP3…).

Protocolo SMTP (Simple Mail Transfer Protocol)

–
Se trata de un protocolo de transferencia simple de correo electrónico, el cual define el método a través del
cual el e-mail es intercambiado y comunicado entre direcciones IP.

RFC (Request for Comments)

–
Un RFC es un documento formal creado por la Internet Engineering Task Force (IETF) que describe las
especificaciones de una tecnología concreta. Cuando un RFC se ratifica y aprueba, se convierte en un
documento formal estandarizado. Las RFC fueron utilizadas por vez primera durante la creación de los
protocolos ARPANET, que sentaron las bases de aquello que hoy se entiende por internet.

Vector de infección
–
Es el medio de entrada del ataque que provoca el incidente.
Lección 8 de 8

VIII. Bibliografía

Caro Lindo, A.; Sancho Núñez, J. C.; Ávila Vegas, M. M.; Sánchez Cabrera, M. “MOOC
‘Investigación en Informática Forense y Ciberderecho’, experiencia y resultados. En: Caro Lindo,
A.; García Villalba, L. J.; Sandoval Orozco, A. L. (coords.). Actas de las V Jornadas Nacionales
de Ciberseguridad; 2019.

Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por
la que se modifica la Directiva 2002/58/CE.

ISO/IEC 27037: 2012. Guidelines for identification, collection, acquisition and preservation of
digital evidence. 2012.

ISO/IEC 27035:2016. Information technology. Security techniques. Information security

incident management. 2016.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio

electrónico. BOE, n. 166; 12 de julio de 2002.

Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones

electrónicas y a las redes públicas de comunicaciones. BOE, n. 251; 19 de octubre de 2007.

Ley Orgánica 3/2018, de 5 de diciembre de 2018, de Protección de Datos Personales y garantía

de los derechos digitales. BOE, n. 294; 6 de diciembre de 2018.

Martínez, Asier. “RFC 3227-RFC 3227. Directrices para la recopilación de evidencias y su

almacenamiento”. Instituto Nacional de Ciberseguridad; 2014.
National Institute of Standards and Technology. NIST 800-61. Computer Security Incident
Handling Guide. NIST; 2012.

National Institute of Standards and Technology. NIST 800-86. Guide to Integrating Forensic
Techniques into Incident Response. NIST; 2016.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos).

Sánchez Rojo, E. “Técnicas para fortalecer la seguridad de tu correo electrónico”. PC Actual;

2020.

UNE 71505:2013. Gestión de evidencias electrónicas. 2013.

UNE 71506:2013. Metodología para el análisis forense de las evidencias electrónicas.