Vamos a intentar explicar de la forma más clara posible, que la identificación de una dirección IP Pública no supone obligatoriamente que sea un abonado concreto el que ha cometido la infracción, la dirección IP Pública no es prueba suficiente para imputar un delito a su titular, solo prueba que esa conexión de Internet es desde donde se hizo una acción en un momento concreto. Para ello simulamos que nos ha contratado un cliente “Ejemplo” porque le han denunciado ya que su IP Pública, supuestamente, ha cometido un delito.

A la pregunta del titular: ¿vale la dirección IP en un peritaje informático forense?, la respuesta es que si, pero como vamos a explicar en el post, se necesita que la evidencia digital sea comprobada por un perito telemático forense, y que cumpla la cadena de custodia pertinente. Solo en ese caso, una dirección IP de una red interna o de un router conectado a Internet será válida para el posterior trabajo de abogados y/o jueces.

La inferencia que vincula ser usuario de un ordenador, router y línea telefónica con IP Pública no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática. Para poder acercarnos a la verdad y que podamos tener una conclusión valida, con evidencias, estudiamos varios puntos.

En nuestro caso ejemplo, nuestro cliente/abonado con IP Pública 80.103.165.250 es denunciado por algún tipo de delito. Para poder indicar y afirmar que ha sido dicha un equipo interno de dicha red el responsable de los actos que se le indican, necesitaríamos estudiar los siguientes apartados, y después explicamos claramente el porqué:

  • La tabla NAT del router del operador de nuestro cliente ejemplo con las conexiones de IPs privadas en la IP pública del operador en el momento del delito. Datos facilitados por la operadora de Internet o por un estudio minucioso forense del Router que estaba instalado en el momento del acto.
  • Tabla de direcciones MAC asignadas a las direcciones IP Privadas en el momento del delito. Datos facilitados por un estudio minucioso forense del Router.

Explicamos ahora detalladamente cada apartado y por qué se debería estudiar en una pericial forense informática:


La tabla NAT del router de nuestro cliente con las conexiones de IPs privadas en la IP pública del operador en el momento del delito

Internet en sus inicios no fue pensado para ser una red tan extensa, por ese motivo se reservaron “sólo” 4.294.967.296 direcciones IP únicas, pero el hecho es que el número de máquinas conectadas a Internet aumentó exponencialmente y las direcciones IP se agotaban.

Por ello surgió la NAT o Network Address Translation (en castellano, Traducción de Direcciones de Red).

La idea es sencilla, hacer que redes de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se conecten a Internet usando una única dirección IP (IP pública). Vamos, muchos ordenadores cada uno con una IP Privada que salen todos a Internet por la IP Pública que te asigna el operador. Muchos ordenadores, un solo router, como en la casi totalidad de redes en este país.

Esta es la IP Pública que nuestro cliente “Ejemplo” aparece como 80.103.165.250. Esta IP Pública identifica a su conexión de Internet, no a un ordenador dentro de esta red.

Las IPs privadas las asigna el router del operador, bien por DHCP o bien de forma manual, por lo que haría falta saber lo que hay detrás de este router del cliente “Ejemplo”.

¿Como funciona NAT?. Una dirección IP privada se traduce siempre en una misma dirección IP pública. Este modo de funcionamiento permitiría a un host dentro de la red ser visible desde Internet.

Lo que no se puede saber con la información de la dirección IP pública del operador, son los ordenadores que hay conectados a esa red. Además, con la implantación de las conexiones vía Wi-Fi, una misma dirección IP puede haber sido empleada por varios miembros de una familia o por un usuario externo que haya logrado conectarse.

Este ejemplo de arriba, que es didáctico, simula una posible red de un cliente, y lo explicare de la forma didáctica más sencilla para que se entienda.

  • La IP Pública es la que nos da el operador, y es única en todo el mundo. Esta IP identifica a una conexión. 80.103.165.250 es la de nuestro cliente (recordar que es un ejemplo, no son las IPs de este caso).
  • Todas las IPs privadas, que las asigna el router, y que cada una identifica a un ordenador concreto de nuestra red, son las que nos hacen falta para saber quién está detrás del delito. Para poder saber dichas IPs, tenemos que pedir al operador la información, así como estudiar el router y el ordenador del imputado, para buscar en los registros del ordenador y router, ese día a esa hora quien estaba conectado desde ese router. Si ya ha pasado mucho tiempo se puede pedir esta información al operador.
  • Esto de tener una IP Publica y muchas privadas, es lo que se llama NAT, y está presente en todas las conexiones que posean un router. Por tanto, la IP Pública no puede identificar a un equipo interno de la red, si a una conexión.

Tabla de direcciones MAC asignadas a las direcciones IP Privadas en el momento del delito

Aparte de entender NAT, debemos entender las direcciones MAC, que son las únicas que pueden aportarnos una idea clara y fehaciente de que ordenador o sistema ha sido desde donde se ha realizado el delito. Lo explicamos.

La dirección MAC (siglas en inglés “control de acceso al medio”) se conoce también como dirección física, son únicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el equipo en su momento de fabricación.

A pesar de que cada dispositivo de red (ordenador, móvil, tablet, portátil…) tiene una dirección MAC única globalmente que lo identifica, es la capa de sistema operativo la que gestiona y distribuye en la red, con lo que es MUY DIFICIL y por gente experta la modificación de dicha MAC.

Como símil, una matrícula de un coche es la dirección IP, que alguien la puede modificar, pero una dirección MAC es como el número de bastidor, que es muy difícil esa suplantación. Además, aunque sepamos cual es la matrícula y el bastidor, como sabemos quién conduce si alguien no lo ve, aquí pasa lo mismo, aunque sepamos IPs y MACs, ¿cómo sabemos quién utilizaba ese ordenador en un momento concreto?

Para saber si el ordenador de nuestro cliente ha cometido el delito, habría que estudiar, después de NAT, las tablas de las direcciones MAC, que identifican cada IP privada a una dirección MAC, para así poder saber si hay algún tipo de suplantación de identidad de nuestro cliente. Esto se puede saber estudiando el router y/o sistema del cliente si no se ha borrado la información desde el día del delito.


En resumen y como conclusión:

No se puede probar que una IP Publica identifique a un ordenador o a otro sistema de la red interna, sin estudiar más evidencias.

Para intentar dilucidar alguna cosa, se necesita realizar un informe pericial forense telemático para esclarecer más datos y poder sacar conclusiones, como, por ejemplo, si es un equipo de la red interna el que realizo el delito, y no la genérica IP Pública donde todos los equipos internos se conectan para salir hacia el exterior.

Una vez realizado un análisis forense telemático, a la pregunta: ¿vale la dirección IP en un peritaje informático y/o telemático forense?, la respuesta es que si, pero con la evidencia digital comprobada y validada por un perito telemático forense, y que cumpla la cadena de custodia pertinente. Solo con la IP Pública, la respuesta sería NO.