Skip to content
Arbittraje

Análisis forense de correos electrónicos y metadatos en arbitrajes comerciales

25 de enero de 2026
Análisis forense de correos electrónicos y metadatos en arbitrajes comerciales

Comparte esta entrada:

Compartir en WhatsApp Compartir en Telegram Compartir en LinkedIn Compartir en Pinterest
imagen 1
Análisis forense de correos electrónicos y metadatos en arbitrajes comerciales 3

Análisis forense de correos electrónicos y metadatos en arbitrajes comerciales

Raymond Orta Martínez, Perito Infomático, Abogado especialista en Derecho Procesal UCV. Inv Asistida por IA

A continuación presento un artículo práctico, exhaustivo y técnicamente riguroso sobre análisis forense de correos electrónicos y metadatos en arbitraje comercial internacional, orientado a árbitros, abogados litigantes y peritos forenses, con un enfoque operativo (qué pedir, cómo preservarlo, cómo verificarlo, cómo impugnarlo y cómo valorarlo), e incorporando advertencias y guías básicas frente a deepfakes.

Análisis forense de correos electrónicos y metadatos en arbitrajes comerciales

Autenticidad, integridad, atribución y fiabilidad probatoria del documento digital

1. Planteamiento: la prueba digital ya no es “un PDF”, sino un sistema de datos

En arbitraje comercial, la controversia probatoria rara vez gira sobre “si el documento existe”, sino sobre cuatro vectores:

  1. Autenticidad: si el documento es lo que dice ser.
  2. Integridad: si el contenido se ha mantenido inalterado (o si la alteración es detectable y explicable).
  3. Atribución: si puede vincularse razonablemente a una persona/entidad (autoría, envío, recepción, control del buzón o del sistema).
  4. Fiabilidad: si el documento, aun auténtico, es confiable en su contexto (cadena de custodia, preservación, completitud, sesgos de extracción).

En correos electrónicos, estos cuatro ejes no se prueban con capturas de pantalla, ni con PDFs “imprimidos”: se prueban con artefactos nativos, registros de sistema, metadatos, trazas de transporte, políticas de retención, y cadena de custodia documentada.

2. Caso de referencia práctico: Shell vs. Venture Global (arbitraje y litigio satélite)

Sin entrar en el fondo contractual (LNG), el valor de este referente es metodológico: ilustra la relevancia de alegaciones de irregularidad probatoria, confidencialidad arbitral y revisión judicial por causales asociadas a conducta procesal o fraude. La prensa especializada y reportes corporativos han descrito: (i) un laudo favorable a Venture Global; (ii) impugnación/acciones en sede judicial por parte de Shell; y (iii) alegaciones cruzadas vinculadas a supuesta falta de evidencia o fraude y a la confidencialidad.

Lección operativa: cuando una parte sostiene que hubo evidencia “withheld”, manipulación o fraude, la discusión real se desplaza a:

  • qué sistemas produjeron el correo/documento,
  • cómo se extrajo,
  • si se preservó forensemente,
  • qué registros corroboran el tránsito y existencia del mensaje,
  • si se omitieron custodios, periodos o repositorios relevantes,
  • y qué estándar aplicará el tribunal (y eventualmente la sede judicial) para valorar esa impugnación.

3. Marco normativo y “soft law” aplicable a documentos electrónicos

3.1. IBA Rules on the Taking of Evidence: documento como “data” y no como “papel”

Las Reglas IBA definen “Document” de forma tecnológicamente amplia (incluye “program or data of any kind”, mantenido por medios electrónicos, audiovisuales u otros).
Esto habilita al tribunal a exigir producción y autenticación no solo del “contenido visible”, sino del dato subyacente y su contexto técnico.

3.2. Reglas ICC / UNCITRAL y la discrecionalidad probatoria

En arbitraje comercial internacional, las reglas institucionales (por ejemplo ICC) y ad hoc (UNCITRAL) suelen conferir amplia discrecionalidad al tribunal para:

  • determinar admisibilidad, pertinencia, materialidad y peso,
  • ordenar producción,
  • gestionar peritajes,
  • y modular confidencialidad/protección de datos.

Implicación práctica: el estándar no es “reglas estrictas de evidencia” (common law), sino debido proceso arbitral, igualdad de armas, oportunidad razonable para alegar y probar, y racionalidad técnica en la motivación sobre autenticidad.

4. Anatomía forense del correo electrónico: qué debe examinarse (y qué NO)

4.1. Capas del correo

Un correo contiene, al menos, estas capas:

  1. Contenido: cuerpo, adjuntos, enlaces, firmas.
  2. Metadatos de aplicación: campos “From/To/Cc/Bcc”, “Subject”, Message-ID, Date, MIME boundaries, encoding.
  3. Encabezados de transporte (headers): cadena “Received”, autenticación SPF/DKIM/DMARC, IPs, nombres de host, timestamps intermedios.
  4. Metadatos del repositorio: Exchange/M365, Google Workspace, IMAP/POP, PST/OST, MBOX, EML, journaling, eDiscovery holds.
  5. Registros correlativos: logs del servidor, logs de gateway, SIEM, MTA, auditoría, DLP, CASB, endpoints.

4.2. Error típico: “me imprimieron el correo”

Un PDF o impresión:

  • pierde encabezados completos,
  • pierde estructura MIME,
  • pierde trazas Received,
  • pierde DKIM signature (o la vuelve inútil),
  • es altamente falsificable con editores de PDF.

Conclusión: en arbitraje serio, el PDF es un exhibito ilustrativo, no el artefacto probatorio primario.

5. Metodología forense robusta en arbitraje: protocolo en 8 fases

Fase 1: Delimitación probatoria y mapa de sistemas

  • Identificar custodios (personas), sistemas (M365/Exchange, Gmail, servidores on-prem), repositorios (archivos PST, vaults, backups), y periodos.
  • Definir hipótesis: ¿falsificación? ¿alteración? ¿supresión selectiva? ¿atribución indebida?

Producto: “Data Map” + “Custodian List” + “System Inventory”.

Fase 2: Preservación y “legal hold”

  • Orden de preservación (interno) y, si procede, solicitud al tribunal para “preservation order”.
  • Congelar políticas de retención/auto-borrado y journaling.

Riesgo: “spoliation” técnica (borrado automático, reciclaje de backups, expiración de logs).

Fase 3: Recolección (collection) con defensibilidad

Buenas prácticas:

  • Extraer correos en formatos nativos (EML/MBOX/PST) y/o mediante eDiscovery (Microsoft Purview, Google Vault).
  • Obtener mailbox audit logs, message trace, y journaling cuando exista.
  • Documentar hash (SHA-256) de contenedores (PST/MBOX) y de artefactos individuales relevantes.

Punto crítico: la recolección debe ser repetible, auditable y con mínima alteración (“forensically sound” en términos operativos).

Fase 4: Cadena de custodia digital (Chain of Custody)

Debe incluir:

  • quién recolectó,
  • cuándo,
  • con qué herramienta/versión,
  • desde qué sistema,
  • qué filtros aplicó,
  • dónde se almacenó,
  • hashes al ingreso y en cada transferencia,
  • control de acceso y bitácora.

En arbitraje, una cadena de custodia bien instrumentada suele ser decisiva para el “weight” de la prueba.

Fase 5: Análisis técnico de autenticidad e integridad

En correos, se recomienda:

(A) Validación del “Message-ID”

  • Coherencia con el dominio emisor.
  • Concordancia con Message Trace (si existe).

(B) Reconstrucción de ruta (Received headers)

  • Orden cronológico inverso.
  • Coherencia de timestamps y zonas horarias.
  • Concordancia con infraestructura conocida (MX, gateways, third-party relays).

(C) Autenticación SPF/DKIM/DMARC

  • DKIM: verificar firma (si se preservó íntegra la cabecera y cuerpo canonicalizado).
  • DMARC alignment con dominio From.

(D) Examen MIME

  • Adjuntos: Content-Type, Content-Disposition, boundaries.
  • Búsqueda de inconsistencias típicas de “fabricación artesanal”.

(E) Correlación con logs

  • MTA logs, message trace, SIEM, endpoint artifacts (archivos temporales, attachments opened).

(F) Integridad criptográfica

  • Hash de EML/adjuntos.
  • Si hay firma electrónica avanzada: validar certificado y cadena.

Fase 6: Atribución (quién lo envió realmente)

En arbitraje, la atribución rara vez se “prueba” al 100%; se construye por convergencia:

  • Control del buzón (credenciales, MFA, logs de acceso).
  • IPs y ubicaciones históricas.
  • Patrón lingüístico/estilométrico (con cautela; es indicio, no prueba reina).
  • Dispositivos asociados (MDM, registros de cliente Outlook, móviles).
  • Consistencia con comunicaciones adyacentes (“thread integrity”).

Fase 7: Presentación pericial comprensible para árbitros

El informe debe traducir lo técnico a conclusiones controlables:

  • Qué se examinó (artefactos).
  • Qué metodología se siguió (reproducible).
  • Qué hallazgos objetivos existen (tablas, hashes, cabeceras relevantes).
  • Qué inferencias se hacen y con qué grado de certeza.
  • Qué alternativas plausibles se descartaron.

Fase 8: Gestión de objeciones y contrapericia

  • Entregar “work papers” y material verificable bajo orden de confidencialidad.
  • Preparar “rebuttal report” y “hot-tubbing” si el tribunal lo adopta.

6. “Tutorial” básico: verificación operativa de un correo (nivel inicial, con rigor)

6.1. Checklist mínimo para abogados (sin herramientas avanzadas)

Solicite a la contraparte o al cliente, idealmente:

  1. El correo en formato .eml (mensaje individual) o .pst/.mbox (contenedor).
  2. Encabezados completos (“view original” en Gmail / “internet headers” en Outlook).
  3. Evidencia de message trace (M365) o registros del gateway (si corporativo).
  4. Políticas de retención y si existe journaling/vault.
  5. Identificación del custodio y del buzón exacto.

Si no hay EML ni headers completos, usted no tiene “correo”; tiene un relato impreso.

6.2. Señales de alerta técnica (red flags)

  • “Received” inexistentes o con saltos ilógicos.
  • Campo “Date” incoherente con Received.
  • Message-ID con formato atípico o dominio incongruente.
  • DKIM ausente en dominios que normalmente firman todo.
  • Adjuntos “re-embedidos” sin coherencia MIME.
  • Hilos (“threads”) con “in-reply-to” y “references” inconsistentes.

7. Metadatos de documentos adjuntos: el segundo campo de batalla

En arbitraje comercial, la manipulación suele ocurrir en el adjunto, no en el correo:

  • PDFs editados,
  • contratos “reconstruidos”,
  • hojas Excel recalculadas,
  • Word con historial suprimido.

7.1. Qué metadatos interesan

  • PDF: producer, creator, incremental updates, xref tables, object streams, fechas internas, firmas.
  • Office: propiedades internas, revision IDs, autores, timestamps, historial si existe, enlaces a plantillas, rutas.
  • Excel: fórmulas, celdas ocultas, macros, fechas de cálculo.

7.2. Técnica clave: “consistencia inter-metadata”

La autenticidad rara vez se prueba por un único metadato; se prueba por consistencia cruzada:

  • fecha del adjunto vs fecha del correo,
  • metadatos internos vs logs de creación en endpoint,
  • hash vs repositorio DMS (SharePoint, Drive, etc.).

8. Deepfakes y falsificación avanzada: advertencias concretas para arbitraje

8.1. Riesgo actual: ya no es solo “documento”, también es “audio/video” y “identidad”

En arbitraje, los deepfakes aparecen en tres formas:

  1. Suplantación audiovisual: audios o videos de supuestas llamadas/reuniones.
  2. Documentos generados: cartas, minutas, “emails” sintéticos, con estilo convincente.
  3. Identidad operacional: correos enviados tras compromiso de cuentas (BEC), con hilos auténticos “secuestrados”.

8.2. Medidas mínimas de mitigación procesal (recomendación al tribunal)

  • Ordenar producción nativa y logs correlativos para cualquier evidencia crítica.
  • Exigir declaración jurada técnica del método de obtención.
  • Permitir peritaje sobre fuente primaria (no solo sobre copias).
  • Establecer protocolo de preservación temprana para comunicaciones y reuniones grabadas.
  • En audio/video: exigir archivo original, metadatos del dispositivo, y si es posible firma/cadena de captura.

8.3. Principio rector: “extraordinary claims require extraordinary proof”

Cuando una parte pretende que un documento digital sea decisivo (o cuando se alega deepfake), el tribunal debería elevar el estándar práctico: más corroboración, más trazabilidad, menos confianza en “capturas”.

9. Estrategia procesal: cómo plantear (y cómo decidir) objeciones por autenticidad

9.1. Para abogados: objeción eficaz (estructura sugerida)

Una objeción sólida no se basa en “esto parece falso”, sino en:

  1. Defecto de forma probatoria: no nativo, sin headers, sin cadena de custodia.
  2. Defecto de integridad: inconsistencias técnicas específicas.
  3. Defecto de atribución: ausencia de logs de acceso, ausencia de trazas de transporte.
  4. Solicitud de remedio: producción nativa + logs, pericia independiente, exclusión o reducción de peso.

9.2. Para árbitros: matriz de decisión (admisibilidad vs peso)

En arbitraje, suele ser más prudente:

  • Admitir provisionalmente y reservar peso,
  • ordenar producción adicional,
  • y motivar por qué se otorga (o no) credibilidad.

No obstante, cuando hay:

  • negativa injustificada a producir nativos/logs,
  • evidencia fragmentaria,
  • o cadena de custodia deficiente,
    el tribunal puede (y debe) aplicar inferencias adversas razonables o reducir el peso probatorio.

10. Confidencialidad, protección de datos y ciberseguridad: la tensión inevitable

La autenticación forense exige acceso a:

  • buzones,
  • logs,
  • metadatos personales,
  • infraestructura corporativa.

Por ello, se recomiendan:

  • confidentiality ring,
  • redacciones selectivas,
  • “review platform” segura,
  • perito neutral o tribunal-appointed expert en casos sensibles,
  • medidas de minimización y proporcionalidad.

En disputas con exposición mediática (como las que rodean a grandes conflictos LNG), la confidencialidad puede convertirse en arma arrojadiza; existen reportes de alegaciones vinculadas a violación de confidencialidad en el contexto Shell–Venture Global.

11. Anexos prácticos

Anexo A: Lista de requerimientos técnicos (para una “Request to Produce” robusta)

  1. Producción de correos relevantes en EML y/o contenedores PST/MBOX.
  2. Encabezados completos (raw headers).
  3. Logs de message trace (si M365) o logs de gateway.
  4. Mailbox audit logs: accesos, reenvíos automáticos, reglas, delegaciones.
  5. Políticas de retención y evidencia de legal hold.
  6. Identificación de custodios, periodos, repositorios, y exclusiones justificadas.
  7. Hashes (SHA-256) y cadena de custodia de lo producido.
  8. Para adjuntos: archivos nativos (no “print to PDF”), historial de versiones si están en DMS.

Anexo B: Estructura mínima de informe pericial (orientada a arbitraje)

  • Objeto y alcance.
  • Fuentes examinadas (artefactos y sistemas).
  • Metodología (herramientas, versiones, parámetros).
  • Cadena de custodia.
  • Hallazgos (hechos técnicos).
  • Análisis (interpretación, límites, escenarios alternativos).
  • Conclusiones (graduadas por nivel de certeza).
  • Anexos: hashes, extractos de headers relevantes, tablas de correlación.

TIPS

  1. En arbitraje comercial, el correo electrónico auténtico es dato + contexto, no “texto impreso”.
  2. La defensa de autenticidad descansa en nativos, headers completos, logs y cadena de custodia.
  3. La atribución exige corroboración convergente (no un solo indicio).
  4. Deepfakes y falsificación avanzada obligan a protocolos más estrictos y a elevar el estándar práctico para pruebas decisivas.
  5. Los litigios satélite (impugnaciones, fraude, confidencialidad) son previsibles cuando la gestión probatoria digital es deficiente; el ejemplo Shell–Venture Global ilustra ese vector de riesgo y su impacto reputacional y procesal.

Comparte esta entrada:

Compartir en WhatsApp Compartir en Telegram Compartir en LinkedIn Compartir en Pinterest

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This