Osint, como analizar una IP

OSINT básico: cómo investigar una IP desde cero

Pordraven

// Ciberseguridad · OSINT · Investigación de IP · Sin instalación

OSINT básico: cómo investigar
una IP desde cero

OSINT básico: cómo investigar
una IP desde cero

Ciberseguridad · OSINT · Herramientas online · Sin instalación · 13/04/2026

Escrito por admin · Máster en Ciberseguridad · ASIR · La Página de Draven

Saber cómo investigar una IP con OSINT básico es una de las habilidades más útiles en ciberseguridad, y también una de las más accesibles: no necesitas instalar nada, no necesitas permisos especiales y cualquier persona con un navegador puede hacerlo ahora mismo. OSINT son las siglas de Open Source Intelligence — inteligencia de fuentes abiertas. Información pública que, si sabes dónde buscar y en qué orden, revela mucho más de lo que parece.

Los escenarios donde necesitas investigar una IP son más habituales de lo que parece: un email sospechoso cuyo servidor de origen no reconoces, una IP extraña en los logs de tu servidor, un intento de acceso no autorizado del que solo tienes la dirección de origen. En todos esos casos, el proceso de investigar una IP mediante OSINT básico es el mismo, y este artículo lo explica paso a paso con un caso práctico real.

Si estás estudiando ASIR o el máster en ciberseguridad, el OSINT de IPs es el punto de entrada más práctico antes de meterte en herramientas de escaneo activo como Nmap o Metasploit.

⚠ Uso legal y ético del OSINT

Todo lo descrito en este artículo es reconocimiento pasivo — se consultan únicamente fuentes de información pública sin enviar ningún paquete al sistema objetivo. Esta práctica es completamente legal en España y en la mayoría de países.

El límite legal se cruza cuando usas la información obtenida para acceder sin autorización a sistemas ajenos, escanearlos activamente o explotar sus vulnerabilidades. Eso está tipificado en el Código Penal español (artículos 197 bis y 264) con independencia de la intención que declares.

Si quieres practicar técnicas activas más allá del OSINT, hazlo en entornos diseñados para ello: HackTheBox ↗, TryHackMe ↗ o en tu propio laboratorio de VirtualBox. Nunca contra sistemas que no son tuyos.

Concepto base

Una dirección IP es el identificador numérico único de cada dispositivo conectado a internet. Puede ser estática (fija, habitual en servidores) o dinámica (variable, habitual en usuarios domésticos). Las IPv4 tienen el formato 192.168.1.1.

Cuando investigas una IP con técnicas OSINT básico no obtienes el nombre de la persona — obtienes quién tiene asignado ese bloque de direcciones, en qué país, qué servicios expone y si tiene historial de actividad maliciosa. Con eso ya puedes construir un contexto de amenaza.

Qué revela una IP: los seis datos clave

Antes de abrir ninguna herramienta, hay que saber qué información es posible extraer cuando investigas una IP. El OSINT no es magia — es saber qué preguntas hacer y a quién preguntárselas:

① Titular (ASN/Whois)

Empresa u organización a la que está asignado ese rango de IPs: ISP, empresa, datacenter o hosting.

② Geolocalización

País, región y ciudad aproximada. No exacta para usuarios domésticos, pero fiable para servidores.

③ Puertos abiertos

Qué servicios tiene expuestos: HTTP, SSH, RDP, FTP. Cada puerto abierto es una ventana visible desde fuera.

④ Reputación

Si aparece en listas negras por spam, ataques de fuerza bruta, botnets o distribución de malware.

⑤ DNS inverso

Si tiene un nombre de dominio asociado. Muchos servidores tienen un PTR record que revela su propósito: mail.empresa.com, cdn.cloudflare.com.

⑥ Historial de actividad

Qué dominios han apuntado a esa IP en el pasado, cuántas veces ha sido reportada y por qué motivos.

Las 7 herramientas OSINT para investigar una IP

Todas online, todas gratuitas, ninguna requiere instalar nada. Están ordenadas por el flujo lógico de una investigación de IP con OSINT básico:

01
IPinfo.io
ipinfo.io ↗

El primer paso cuando investigas una IP. En un solo vistazo te da titular, ASN, país, ciudad y si es un proxy, VPN o nodo Tor. La versión gratuita cubre perfectamente el uso ocasional sin registro.

→ Mejor para: primera impresión, geolocalización, identificar el tipo de IP

02
Who.is — Whois
who.is ↗

El registro de propiedad de internet. Cuando investigas una IP en Whois obtienes el titular oficial del bloque de direcciones, los datos de contacto del responsable técnico y la organización registrante. Es el equivalente al registro de la propiedad, pero para IPs.

→ Mejor para: titular oficial, datos de contacto, confirmar la organización

03
Shodan
shodan.io ↗

El buscador de dispositivos conectados a internet que Google no te da. Shodan indexa qué tiene expuesto cada IP: puertos abiertos, servicios en ejecución, versiones de software y banners de respuesta. Es la herramienta que más impacta a quien la ve por primera vez — y una de las más potentes para investigar una IP en profundidad. Requiere registro gratuito.

→ Mejor para: puertos abiertos, servicios expuestos, versiones de software

04
AbuseIPDB
abuseipdb.com ↗

La lista negra colaborativa más completa de internet. Cualquier administrador puede reportar una IP por comportamiento malicioso. Al investigar una IP en AbuseIPDB obtienes un score del 0 al 100 (cuanto más alto, peor reputación), el número de reportes, la fecha del último incidente y el tipo de abuso: SSH brute force, DDoS, spam, port scanning…

→ Mejor para: reputación, historial de abuso, nivel de confianza

05
VirusTotal
virustotal.com ↗

Más conocido para analizar archivos, pero también muy útil para investigar una IP. La consulta contra más de 90 motores de análisis y listas negras simultáneamente. En la sección «Relations» muestra los dominios que han resuelto históricamente a esa IP — un dato que a veces revela el propósito de la dirección mejor que cualquier otra fuente.

→ Mejor para: detección cruzada, dominios asociados, historial DNS

06
MXToolbox
mxtoolbox.com ↗

Especializado en DNS y listas negras de correo. Comprueba una IP contra más de 100 blacklists de spam simultáneamente y realiza el DNS inverso (PTR lookup). Muy útil cuando la IP que quieres investigar pertenece a un servidor de correo sospechoso.

→ Mejor para: DNS inverso, blacklists de email, PTR record

El Shodan académico: más limpio y con más detalle técnico en certificados SSL y configuraciones TLS. Especialmente útil cuando investigas una IP corporativa, porque el árbol de certificados SSL revela nombres de empresa y dominios relacionados. Requiere registro gratuito.

→ Mejor para: certificados SSL, configuración TLS, infraestructura corporativa

El flujo correcto para investigar una IP con OSINT

El error más común al hacer OSINT básico es abrir las herramientas en orden aleatorio. El flujo correcto funciona como un embudo: de lo general a lo específico, de lo pasivo a lo técnico.

PASO 1
IPinfo.io — contexto general

¿De quién es esta IP? ¿De qué país viene? ¿Es un datacenter o una IP residencial? En 30 segundos tienes el contexto que orienta todo lo demás.

PASO 2
Whois — titular oficial

Confirma el titular del bloque de IPs. A veces IPinfo dice «Amazon AWS» pero el Whois revela que el bloque está subarrendado a otra empresa.

PASO 3
AbuseIPDB — primer filtro de reputación

Si el score supera 50, ya tienes una señal clara. Una IP reportada una vez hace tres años es diferente a una con 200 reportes en los últimos 7 días.

PASO 4
VirusTotal — detección cruzada y dominios

Los dominios asociados a la IP revelan su propósito con más claridad que cualquier otro dato. La sección «Relations» es lo primero que hay que mirar.

PASO 5
Shodan — superficie de ataque

Qué tiene abierto. Puerto 22 (SSH), 3389 (RDP), 80/443 (web). Si tiene el 3389 abierto y viene de un país con alta incidencia de cibercrimen, ya tienes un patrón reconocible.

PASO 6
MXToolbox / Censys — detalles finales

Solo si los pasos anteriores no dan un resultado concluyente. El DNS inverso y los certificados SSL son el nivel de detalle que diferencia un análisis básico de uno completo.

Caso práctico: investigar una IP paso a paso con 185.220.101.47

Para ver cómo se aplica el proceso de investigar una IP con OSINT básico en la práctica, usamos 185.220.101.47 — una IP de dominio público que aparece en múltiples bases de datos de amenazas. El objetivo es construir su perfil completo usando solo las herramientas descritas.

Paso 1 — IPinfo.io: el primer vistazo

Al investigar esta IP en IPinfo.io, el hostname ya lo dice todo antes de leer nada más:

IP185.220.101.47
Hostnametor-exit-47.for-privacy.net
OrganizaciónAS205100 F3 Netze e.V.
PaísAlemania (DE) · Frankfurt am Main
TipoTor Exit Node ⚠

tor-exit-47.for-privacy.net. Es un nodo de salida de la red Tor — el punto por donde el tráfico anónimo sale hacia internet. F3 Netze e.V. es una asociación alemana que opera nodos Tor públicamente y de forma legal. El tráfico que venga de esta IP no es del dueño del servidor: es de alguien que usa Tor para ocultar su identidad.

Paso 2 — AbuseIPDB: la reputación

100

Confidence of Abuse — Score máximo

Reportada por cientos de administradores de sistemas de todo el mundo.

Total reportes+2.400 reportes
Último reportehace menos de 24 horas
Tipos de abusoHacking · Brute Force · SSH · Port Scan

Score 100 y más de 2.400 reportes. Esto no significa que F3 Netze sea maliciosa — el operador del nodo Tor no controla qué tráfico pasa por él. Es la naturaleza de los exit nodes: legítimos en teoría, habitualmente usados por actores maliciosos en la práctica.

Paso 3 — Shodan: puertos expuestos

Puertos detectados al investigar la IP en Shodan

9001/tcp — Tor OR Port
9030/tcp — Tor Dir Port
80/tcp — HTTP
443/tcp — HTTPS

Los puertos 9001 y 9030 son los estándar de un nodo Tor activo. El 80 y 443 sirven la web informativa del operador.

Veredicto del caso: perfil completo en menos de 10 minutos

Resultado de investigar la IP 185.220.101.47

RIESGO ALTONodo Tor activo, score AbuseIPDB 100/100, +2.400 reportes.

OPERADOR LEGÍTIMOF3 Netze e.V., asociación alemana registrada que opera el nodo públicamente.

ACCIÓNBloquear en firewall si el tráfico no tiene justificación. No es tráfico del operador.

TIEMPOAproximadamente 8 minutos usando los tres primeros pasos del flujo.

Cuándo y por qué investigar una IP en la práctica

Emails sospechosos. Los headers del correo incluyen la IP del servidor de origen. Investigar esa IP en AbuseIPDB te dice en 2 minutos si viene de infraestructura de spam conocida.

Logs de servidor. Si administras un servidor web o tienes acceso a logs de acceso, hay IPs que intentan autenticarse por SSH o escanear puertos. Investigarlas antes de bloquear en el firewall evita bloquear servicios legítimos.

Due diligence antes de conectarte. Si vas a conectarte por SSH a un servidor que no administras, revisar su IP en Shodan puede revelar configuraciones inesperadas.

Prácticas de ASIR y máster. En el laboratorio de VirtualBox trabajamos con IPs internas, pero el proceso mental de investigar una IP mediante OSINT básico es exactamente el mismo que se aplica cuando analizas tráfico real en prácticas supervisadas.

«El reconocimiento pasivo no deja huella en el objetivo. Puedes investigar todo lo que una IP expone públicamente sin que el servidor destino sepa que lo estás mirando. Es la diferencia entre mirar el escaparate y entrar en la tienda.»

— La Página de Draven · Ciberseguridad · 2026

El límite legal al investigar una IP

Todo lo descrito en este artículo es reconocimiento pasivo — consultamos bases de datos públicas sin enviar un solo paquete al servidor objetivo. Nadie puede saber que hemos buscado una IP en IPinfo o AbuseIPDB. Esto es completamente legal.

⚠ Límite claro

Consultar información pública para investigar una IP → legal, reconocimiento pasivo

Escanear activamente puertos de una IP que no es tuya → ilegal sin autorización expresa

Explotar vulnerabilidades encontradas en Shodan contra sistemas ajenos → ilegal, art. 264 Código Penal

Para el escaneo activo existe el entorno controlado. El laboratorio de pentesting con VirtualBox permite practicar escaneo activo, explotación y análisis de tráfico sin salir de tu propia máquina.

Referencia rápida: las 7 herramientas para investigar una IP

HerramientaEnlaceUso principalRegistro
IPinfoipinfo.io ↗Primer vistazo, ASN, geoNo
Who.iswho.is ↗Whois, titular oficialNo
AbuseIPDBabuseipdb.com ↗Reputación, historial abusoNo
VirusTotalvirustotal.com ↗Detección cruzada, dominiosNo
Shodanshodan.io ↗Puertos abiertos, serviciosSí (gratis)
MXToolboxmxtoolbox.com ↗DNS inverso, blacklists correoNo
Censyssearch.censys.io ↗Certificados SSL, TLS, infraSí (gratis)

Conclusión

Investigar una IP con OSINT básico es el reconocimiento pasivo en su forma más accesible. No necesitas terminal, no necesitas permisos, no necesitas laboratorio. Las siete herramientas de este artículo cubren el 90% de los casos con los que te vas a encontrar, tanto en el mundo real como en el máster o en ASIR.

Lo que sí requiere este proceso es disciplina de método: seguir el flujo de lo general a lo específico, no sacar conclusiones antes de completar el análisis, y distinguir entre lo que la IP revela y lo que tú interpretas de esos datos. Una IP con score 100 en AbuseIPDB puede pertenecer a un operador de Tor perfectamente legítimo. Investigar una IP bien significa leer el contexto completo, no solo el número.

El siguiente paso natural desde el OSINT básico es el escaneo activo con Nmap dentro de un entorno controlado — exactamente lo que se practica en el laboratorio de VirtualBox.

La Página de Draven · Ciberseguridad · OSINT · 2026

#OSINT #InvestigarIP #Ciberseguridad #Shodan #AbuseIPDB #VirusTotal #HackingÉtico #ASIR #MásterCiberseguridad #SeguridadInformática


Publicaciones Similares