Geolocalización de IP: localiza y analiza cualquier dirección IP
Análisis de IP online con contexto técnico, reputación y evaluación de riesgo
Análisis de IP en segundos con más de 20 fuentes correlacionadas: reputación cruzada (AbuseIPDB, VirusTotal, GreyNoise, AlienVault OTX), validación BGP/RPKI, CVEs detectados por Shodan, cohabitación de dominios, atribución cloud (AWS, GCP, Azure, Cloudflare), threat-intel agregado (IPsum, CINS, Feodo, Spamhaus DROP), DNS pasivo y blacklists. La forma rigurosa de verificar IP, consultar IP sospechosa y comprobar reputación de una IP antes de actuar — con scoring de riesgo 4D, resumen ejecutivo accionable (decisión sugerida, nivel de riesgo y acción inmediata) más informe IA en dos partes (una en lenguaje claro y otra técnica), hipótesis forense determinística y PDF firmado con cadena de custodia.
8.8.8.8 o 2001:4860:4860::8888 · Ideal para threat intel, análisis de logs, fraude y verificación de origenVer ejemplo de informe completo Pulsa para desplegar una captura real del análisis de una IP — la imagen es solo una vista del informe; debajo tienes el listado exhaustivo de todo lo que recibes
El informe completo de IP incluye más de 60 piezas de datos correlacionadas agrupadas en 4 grandes capas. La imagen de abajo es una vista parcial: para ver todo el oro real, consulta el listado siguiente.
🎯 Decisión rápida (parte alta)
- Scoring 4D ponderado: Riesgo final + Técnico (20%) + Reputacional (40%) + Geográfico (15%) + Exposición (25%) con niveles homogéneos BAJO / MEDIO / ELEVADO / ALTO
- Factores que justifican el scoring: pills con cada driver concreto (hosting_provider, abuseipdb_high_confidence, vt_high_detection, geolocation_inconsistency, scanner, etc.)
- Resumen ejecutivo accionable de 3 líneas: Decisión sugerida · Nivel de riesgo · Acción inmediata
🧠 Informe IA en dos partes (OpenAI gpt-5.4)
- PARTE 1 — para no técnicos: párrafo intro + 4 bullets pre-construidos (OPERADOR · TIPO DE CONEXIÓN · REPUTACIÓN PÚBLICA · PRESENCIA EN INTERNET) + Veredicto humano + Qué hacer con esta dirección
- PARTE 2 — técnica: Atribución del operador, Postura de infraestructura, Exposición pública y software, Reputación e historial (tabla), Cohabitación e historial DNS, Cross-references entre fuentes, Anomalías y limitaciones, Riesgo final
- Más de 20 reglas de control + bullets PARTE 1 que la IA copia literalmente del backend (cero invención)
📊 Cards de datos detallados
- Contribución por Fuente: vendor weights ponderados al riesgo reputacional (AbuseIPDB · VT · GreyNoise · OTX en %)
- Inteligencia Local: 6 mini-cards escaneables con iconos ✓/!/— (Reverse DNS, Blacklists, Tor, GreyNoise, AlienVault, Puertos)
- AbuseIPDB: confianza %, reportes, usuarios distintos, último reporte, uso, ISP, dominio, hostnames, whitelist oficial
- VirusTotal: maliciosos/sospechosos/inofensivos/sin detección + detección %, reputación, votos comunidad, AS owner, red
- IPinfo / Geoloc: país, región, ciudad, CP, coordenadas, zona horaria, ASN, ISP, hostname, anycast
- Tipo de IP: categoría, ISP type, ASN fingerprint con confidence, operador, naturaleza (corporativa/hosting/residencial/Tor)
⚔ Arsenal v2 (11 cards técnicas profundas)
- Atribución Cloud: provider, region, service, CIDR (AWS / GCP / Azure / Cloudflare)
- Validación BGP/RPKI + RIR: estado valid/invalid/unknown, ROAs publicadas con prefix→AS+max_length, alerta BGP hijack si invalid_asn, RDAP entities, WHOIS legacy del bloque
- Exposición técnica Shodan InternetDB: vulnerabilidades, puertos expuestos, organización, país, último scan
- Pulsos AlienVault OTX: count total + top 3-5 pulses con nombre, fecha, descripción y tags
- Inteligencia de amenazas correlada: IPsum (30+ blacklists), CINS Army, Feodo Tracker (C2 botnets), Spamhaus DROP/EDROP, DShield SANS
- Histórico DShield SANS: threatfeeds con primera y última observación (cryptominer, openresolver, brute-force SSH/RDP, scanner, atacante web, botnet C2)
- Cohabitación de dominios: count, calificación (única / baja / media / alta alojamiento masivo), sample de vecinos
- Historial DNS pasivo (Mnemonic): registros vistos, primera/última observación, queries asociadas históricas
- Reputación del ASN (CIRCL BGP Ranking): rank histórico de malicia del ASN
- Metadatos del relay Tor (Onionoo): nickname, país, bandwidth observado, versión, primera vez visto (sólo si la IP es nodo Tor)
- Contacto autoritativo de abuso: emails triangulados en 3 fuentes (RIPEstat + DShield + WHOIS), RIR autoritativo
🔬 Anomalías y recomendaciones determinísticas (forense sin IA)
- Anomalías cruzadas detectadas: contradicciones entre fuentes (geolocalización IPinfo vs VirusTotal, ROAs RPKI mixtas válida+inválida, Tor reverse DNS vs flag negativo, blacklist DNSBL degradadas, AbuseIPDB whitelist con reportes históricos, etc.)
- Recomendaciones accionables específicas: a quién reportar el abuso (emails concretos), qué blacklists verificar, qué dominios cruzar en /analisis-de-dominios, qué pivotes hacer según el flavor de la IP
- Evidencia citable pericialmente — generada en código a partir del correlado de fuentes, sin alucinación posible
📋 Trazabilidad y entregables
- Fuentes públicas verificables: lista de las 14+ fuentes consultadas con estado ✓ y enlace para reproducir manualmente la consulta
- Consultas contextuales: hasta 3 preguntas en español al analista IA sobre el resultado del informe (gpt-5.4-mini)
- PDF firmado RFC 3161: portada con scoring premium + riskBar con factores · informe IA completo en página dedicada · datos técnicos · anomalías · sello temporal FreeTSA · hash SHA-256 · URL pública de verificación · logofirma corporativa + sello INCIBE Emprende
- Apto como evidencia: prueba electrónica en juicio, anexo documental de due diligence, soporte de informe pericial, evidencia regulatoria de compliance KYC/AML, anexo periodístico
¿Qué es esta herramienta de análisis de IP online?
El análisis de IP online de IntelMind es la forma rápida y rigurosa de verificar IP sospechosa desde una perspectiva de ciberinteligencia OSINT y seguridad. En esencia, no es un simple WHOIS IP: es un motor de correlación que cruza más de 20 fuentes en menos de 5 segundos para devolver un veredicto ejecutivo accionable.
Asimismo, esta herramienta no se limita a decir si una IP «es pública»: correlaciona señales de riesgo técnico (RPKI, ports/CVEs Shodan, software CPE), reputación cruzada (AbuseIPDB, VirusTotal, GreyNoise, IPsum, CINS, Feodo, Spamhaus DROP), atribución cloud (AWS, GCP, Azure, Cloudflare), cohabitación de dominios, DNS pasivo histórico y geolocalización para generar un dictamen claro, útil y exportable. En resumen, una sola consulta sustituye a consultar IP en cinco vendors distintos.
Reputación de una IP, geolocalización, ASN y scoring del análisis de IP
- Reputación de una IP: AbuseIPDB, VirusTotal, GreyNoise, AlienVault OTX, IPsum (30+ blacklists agregadas), CINS Army, Feodo Tracker y Spamhaus DROP/EDROP en tiempo real.
- Infraestructura BGP/RPKI: ASN/ISP, prefix BGP exacto, validación RPKI (valid/invalid/unknown), tipo de red por ASN fingerprinting (hosting/datacenter, ISP, CDN, cloud), reverse DNS y puertos. Ir a la herramienta de dominios
- Atribución cloud: detección automática si la IP es de AWS, GCP, Azure o Cloudflare con región y servicio.
- Anonimización y tipo de red: detección Tor exit (lista oficial) + clasificación por ASN fingerprinting (hosting/datacenter, ISP residencial, CDN, cloud) + blacklists DNS con transparencia de «consulta degradada».
- Scoring 4D del análisis de IP: técnico (20%), reputación (40%), contexto (15%), exposición (25%).
- Cohabitación e historial: dominios alojados en la IP (HackerTarget reverse-IP) y DNS pasivo histórico (Mnemonic).
- Resumen profesional explicativo: interpretación de resultados sin perder precisión técnica.
- Consultas contextuales: profundiza en hallazgos concretos del informe (hasta 3 preguntas por consulta).
- Exportación PDF firmado: informe listo para compartir, documentar o archivar hallazgos forenses.
- Trabajo centralizado: menos tiempo saltando entre herramientas y más foco en el análisis OSINT. Conocer la plataforma
FAQ rápida
¿Detecta si una IP es un Tor exit node?
Sí. La herramienta verifica contra la lista pública de Tor exit nodes y señala anonimato completo si está presente.
¿Cuántos créditos consume y qué incluye?
8 créditos por consulta. El análisis de IP correlaciona más de 20 fuentes en paralelo: AbuseIPDB, VirusTotal, GreyNoise, AlienVault OTX, Shodan InternetDB (CVEs y CPEs), IPinfo, blacklists DNS, Tor, RIPEstat (BGP/RPKI/abuse-contact), HackerTarget (cohabitación), Mnemonic Passive DNS, DShield SANS, CIRCL BGP Ranking, IPsum (agrega 30+ listas), CINS Army, Feodo Tracker, Spamhaus DROP/EDROP, AWS/GCP/Azure/Cloudflare ranges, port scan, rdap.org, GeoIP y ASN fingerprinting. Incluye scoring 4D (técnico, reputación, contexto, exposición), veredicto ejecutivo, anomalías y recomendaciones determinísticas (sin IA, cero alucinaciones) y resumen profesional en dos partes con resumen ejecutivo accionable de 3 líneas (decisión / nivel / acción) más análisis para no técnicos en lenguaje claro y análisis técnico detallado. En el Plan Profesional (79€/mes con 250 créditos) son ~31 análisis mensuales con coste sustancialmente menor que combinar Spur+IPQS+AbuseIPDB.
¿Qué incluye el PDF del análisis de IP?
Resumen ejecutivo accionable destacado (decisión sugerida, nivel de riesgo, acción inmediata), informe IA en dos partes con análisis para no técnicos en lenguaje claro y análisis técnico detallado, scoring de riesgo 4D (técnico, reputación, contexto, exposición), inteligencia local (blacklists, Tor exit nodes, GreyNoise), Shodan InternetDB (puertos, CPE y CVEs detectados), validación BGP/RPKI con prefix exacto, atribución cloud (AWS/GCP/Azure/Cloudflare), cohabitación de dominios, DNS pasivo histórico, anomalías y recomendaciones determinísticas (sin IA) y datos correlacionados de vendors y threat-intel agregado (AbuseIPDB, VirusTotal, AlienVault OTX, IPsum, CINS, Feodo, Spamhaus DROP). PDF firmado con cadena de custodia: hash SHA-256, sello temporal RFC 3161 y URL pública de verificación.
Reputación, blacklists y triage de la IP
¿Cómo saber si una dirección IP es maliciosa o está en listas negras?
IntelMind consulta simultáneamente AbuseIPDB, VirusTotal (90+ motores antivirus), GreyNoise, AlienVault OTX y threat-intel agregado (IPsum 30+ blacklists, CINS Army, Feodo Tracker, Spamhaus DROP/EDROP). Si la IP aparece en una o más fuentes con reportes recientes, el scoring de riesgo sube y el veredicto ejecutivo lo señala como IP maliciosa con acción recomendada. Una sola detección sin confirmación cruzada se trata como señal de baja confianza para evitar falsos positivos. La consulta a blacklists DNS (Spamhaus, SORBS, Barracuda, SpamCop) es complementaria y se marca como «consulta degradada» cuando la lista no autoriza uso público.
¿Qué diferencia hay entre geolocalizar una IP y hacer un análisis OSINT de IP?
La geolocalización solo ubica la IP en un país, ciudad o coordenada aproximada. El análisis OSINT de IP va mucho más allá: incluye reputación cruzada en AbuseIPDB, VirusTotal, GreyNoise y AlienVault OTX, detección Tor exit + clasificación de tipo de red por ASN, historial de actividad maliciosa, puertos abiertos y CVEs detectados por Shodan InternetDB, validación BGP/RPKI, cohabitación de dominios y un scoring de riesgo multidimensional con veredicto ejecutivo. IntelMind combina todas las capas en una sola consulta.
Identificación: ASN, WHOIS y detección de anonimato
¿Para qué sirve el análisis ASN y WHOIS de una IP?
El ASN (Autonomous System Number) identifica la red y el operador que controla el bloque de IPs al que pertenece la dirección analizada. Junto con el WHOIS y el RDAP (con prefix BGP exacto, fecha de asignación y registrante autoritativo), permite saber si la IP pertenece a un proveedor de cloud o datacenter (señal de hosting compartido o servidor), a un ISP residencial, a una red corporativa o a una CDN. Esta información es clave para contextualizar el riesgo real de la IP y obtener el contacto autoritativo de abuso para reportarla.
¿Puede detectar si una IP es Tor o de tipo hosting/datacenter?
Sí. IntelMind verifica la dirección contra la lista oficial de exit nodes de Tor y clasifica el tipo de red mediante ASN fingerprinting (categorías: hosting/datacenter, ISP residencial, CDN, infraestructura cloud o desconocido). Cuando la IP es Tor o hosting compartido, el scoring lo refleja en la dimensión de contexto y exposición. La detección de VPN comerciales por ASN es un terreno gris (los proveedores cambian rangos constantemente) y por eso IntelMind no afirma «es VPN» salvo que la IP esté en infraestructura conocida de hosting.
Scoring 4D y decisión de bloqueo
¿Qué significa el scoring de riesgo 4D en el análisis de IP?
El scoring 4D evalúa la IP en cuatro dimensiones ponderadas: Técnico (RPKI, prefix BGP, ports/CVEs Shodan, CPE — 20%), Reputación correlada (AbuseIPDB, GreyNoise, VirusTotal, IPsum, CINS, Feodo, Spamhaus DROP — 40%), Contexto (geolocalización, Tor exit, tipo de red por ASN — 15%) y Exposición (CVEs explotables, cohabitación de dominios, scanners conocidos — 25%). El score final va de 0 a 100: BAJO (0-30) indica IP limpia; MEDIO (30-60) requiere verificación; ELEVADO (60-100) justifica bloqueo o investigación adicional.
¿Cómo saber si una IP es maliciosa antes de bloquearla?
IntelMind cruza la dirección contra AbuseIPDB, VirusTotal, Spamhaus y varias blacklists DNS para comprobar reputación de una IP en tiempo real. El informe también permite buscar información de una IP desde otro ángulo: ASN, tipo de red, puertos abiertos detectados por Shodan y geolocalización aproximada, para que el veredicto no dependa de una sola fuente.
Arsenal v2: CVEs y validación BGP/RPKI
¿Qué es un CVE y cómo IntelMind detecta vulnerabilidades en una IP?
Un CVE (Common Vulnerabilities and Exposures) es un identificador estándar de una vulnerabilidad de software documentada públicamente. Durante el análisis de IP, IntelMind consulta Shodan InternetDB para obtener los puertos abiertos, los productos detectados (CPE) y la lista de CVEs conocidos asociados a esos servicios. Si la IP expone software desactualizado con CVE crítico, la dimensión de exposición del scoring 4D sube y el veredicto recomienda revisar o aislar. Es una mini auditoría de superficie de ataque sin tocar el objetivo.
¿Cómo se valida una ruta BGP con RPKI y por qué importa al verificar IP?
RPKI (Resource Public Key Infrastructure) es el sistema que firma criptográficamente la asignación de prefijos BGP a sus operadores legítimos. IntelMind consulta RIPEstat y muestra si el origen de ruta de la IP es valid (legítimo y firmado), invalid (posible secuestro de ruta) o unknown (sin ROA publicado). En consecuencia, una IP marcada como invalid es una señal grave: alguien está anunciando ese prefijo sin autorización, una técnica usada en BGP hijacking. Es información que un WHOIS IP tradicional no aporta.
Arsenal v2: cohabitación, atribución cloud y threat-intel agregado
¿En qué consiste la cohabitación de dominios (shared hosting) en el análisis de IP?
La cohabitación de dominios indica cuántos nombres DNS se resuelven a la misma dirección IP. IntelMind consulta HackerTarget reverse-IP y muestra el listado. Una IP con un único dominio sugiere infraestructura dedicada; cientos o miles de dominios indican alojamiento compartido masivo (típico de hosters baratos o farms de phishing). Por consiguiente, esta señal es clave en investigaciones antifraude y takeover de subdominios: si una IP aloja a la vez tu marca y dominios maliciosos, el riesgo se traslada a tu propio entorno.
¿Cómo IntelMind detecta si una IP es de AWS, GCP, Azure o Cloudflare?
IntelMind mantiene una base local con los rangos oficiales publicados por AWS, Google Cloud, Microsoft Azure y Cloudflare, refrescada diariamente con un timer dedicado. Cuando se consulta una IP, el motor hace matching CIDR con ipaddr.js y devuelve provider, servicio (por ejemplo AMAZON, EC2, S3) y región (us-east-1, eu-west-1…). Esta atribución cloud cambia drásticamente la lectura: una IP residencial limpia y una IP de datacenter cloud tienen perfiles antifraude completamente distintos.
¿De qué manera IntelMind correlaciona 30+ blacklists en un solo veredicto de threat-intel?
El threat-intel correlado es la práctica de agregar múltiples fuentes independientes para subir la confianza de una señal de riesgo. IntelMind combina IPsum (que ya combina más de 30 blacklists públicas con score 1-10), CINS Army (IPs maliciosas verificadas por Sentinel IPS), Feodo Tracker (C2 de botnets bancarios) y Spamhaus DROP/EDROP (rangos secuestrados o de spam masivo). Si una IP aparece en varias listas independientes, el veredicto eleva la dimensión de reputación del scoring 4D; si aparece en una sola, se trata como ruido de baja confianza para evitar falsos positivos.
¿Qué formato tiene el informe IA del análisis de IP?
El informe IA combina tres capas pensadas para decisiones B2B: (1) un resumen ejecutivo accionable de 3 líneas destacado al inicio con decisión sugerida, nivel de riesgo y acción inmediata, listo para escanear en 5 segundos; (2) una parte para no técnicos que traduce a lenguaje claro qué es la IP, quién la opera y qué uso tiene; y (3) una parte técnica con atribución del operador, postura de infraestructura (RPKI, ROAs, contactos de abuso), exposición pública con CVEs, reputación correlada en tabla, cohabitación y DNS pasivo histórico, cross-references entre fuentes y anomalías detectadas. El modelo IA (OpenAI gpt-5.4) trabaja sobre hallazgos forenses pre-calculados en código (cero alucinaciones) y aplica más de 20 reglas de control específicas para IP.
¿Qué son las anomalías y recomendaciones determinísticas del informe?
Es una sección dedicada que el motor genera sin IA a partir del correlado de fuentes del backend, por lo que no puede inventar ni alucinar. Destaca dos bloques de valor pericial único: (1) las contradicciones cruzadas detectadas entre fuentes — por ejemplo geolocalización IPinfo vs VirusTotal divergente, ROAs RPKI mixtas válida+inválida (potencial BGP hijack), blacklist DNSBL degradadas (resultado parcial), Tor reverse DNS vs flag negativo — y (2) las recomendaciones accionables específicas generadas a partir del nivel de riesgo y los drivers concretos (a quién reportar el abuso, qué blacklist verificar, qué dominios cruzar). El detalle técnico del operador, exposición, huella digital y postura ya se muestra arriba en las cards de Arsenal v2 con badges y colores — aquí se evita la duplicación y se prioriza el valor pericial citable.
Guía completa del análisis de IP online con OSINT
En la práctica, el análisis de IP online con OSINT es una pieza fundamental en ciberseguridad, investigación forense y threat intelligence. IntelMind consulta más de 20 fuentes correlacionadas en paralelo para ofrecer una radiografía técnica completa de cualquier dirección IPv4 o IPv6: desde la geolocalización y el ASN hasta la validación BGP/RPKI, los CVEs detectados por Shodan, la cohabitación de dominios y el threat-intel agregado de IPsum, CINS, Feodo y Spamhaus DROP. Por eso, este flujo OSINT IP es imprescindible para SOC, antifraude y due diligence.
El análisis de IP de IntelMind no se queda en una capa: enlaza señales técnicas con reputación cruzada y contexto humano. Asimismo, permite a un analista saber a quién pertenece una IP, validar si la ruta BGP es legítima, detectar si la dirección está alojando dominios sospechosos y exportar un PDF firmado con cadena de custodia digital.
Asimismo, esta capacidad responde en una sola consulta a las dudas operativas más típicas: ¿es esta IP un proxy datacenter? ¿pertenece a un rango cloud conocido? ¿hay CVEs explotables expuestos? ¿qué dominios cohabitan en este host? En consecuencia, sirve tanto para verificar IP en tiempo real como para reconstruir su historial pasivo.
Geolocalización y contexto de red en el análisis de IP
En primer lugar, cada dirección IP está asignada a un bloque gestionado por un ISP o proveedor de hosting dentro de un Sistema Autónomo (ASN). Además, IntelMind extrae la geolocalización aproximada (ciudad, región, país), el ISP, el tipo de uso (residencial, datacenter, educación) y el ASN con su nombre y organización. De este modo, esta información permite contextualizar rápidamente si una IP pertenece a un usuario doméstico, un servidor cloud, una universidad o una infraestructura empresarial. Por su parte, la atribución cloud automática (AWS, GCP, Azure, Cloudflare) ahorra tiempo cuando hay que comprobar IP sospechosa de fraude desde infraestructura compartida.
Reputación de una IP y abuse scoring en el análisis de IP
La reputación de una IP se evalúa cruzando múltiples bases de datos de amenazas. Por ejemplo, AbuseIPDB proporciona un confidence score basado en reportes de abuso de la comunidad. Asimismo, GreyNoise distingue entre tráfico benigno (escáneres de investigación) y actividad maliciosa real. De hecho, el cruce de ambas fuentes reduce los falsos positivos y permite evaluar si una IP representa una amenaza genuina o es ruido de internet. Por consiguiente, comprobar reputación de una IP requiere agregar fuentes; por eso IntelMind suma además IPsum (más de 30 listas combinadas), CINS Army, Feodo Tracker (C2 de botnets) y Spamhaus DROP/EDROP.
Threat Intelligence: VirusTotal y AlienVault OTX
VirusTotal agrega resultados de más de 90 motores antivirus y sandboxes. En concreto, IntelMind consulta las detecciones asociadas a la IP, los dominios resueltos y las URLs escaneadas. Por otra parte, AlienVault OTX (Open Threat Exchange) aporta indicadores de compromiso (IoCs), pulsos de amenazas y contexto de campañas maliciosas donde la IP ha sido observada.
Infraestructura expuesta y CVEs en el análisis de IP: Shodan
Shodan InternetDB escanea internet continuamente y registra los puertos abiertos, servicios expuestos, banners y versiones de software de cada IP. A partir de ahí, IntelMind extrae los puertos, protocolos, productos detectados (CPEs) y los CVEs explotables conocidos sobre esa infraestructura. Por tanto, un servidor con puertos innecesarios abiertos o software desactualizado es un indicador de riesgo operacional significativo y eleva la dimensión de exposición del scoring 4D. En concreto, esta capa convierte el análisis de IP en una mini auditoría de superficie de ataque sin tocar el objetivo.
Blacklists DNS y listas de bloqueo
Las blacklists DNS (DNSBL) son bases de datos en tiempo real que registran IPs asociadas a spam, malware, botnets o actividad abusiva. Además, IntelMind consulta Spamhaus (SBL, XBL, PBL), SURBL, Barracuda, SpamCop y otras listas. Sin embargo, una IP presente en múltiples blacklists simultáneamente es un indicador fuerte de compromiso o uso malicioso.
Arsenal v2 del análisis de IP: validación BGP/RPKI, cohabitación, atribución cloud, DNS pasivo y threat-intel agregado
El arsenal v2 amplía el análisis de IP con cinco capas que muy pocas herramientas combinan en una misma consulta. En primer lugar, la validación BGP/RPKI contra RIPEstat indica si el origen de ruta es legítimo (valid), está secuestrado (invalid) o no tiene ROA publicado (unknown). Por su parte, la cohabitación de dominios (HackerTarget reverse-IP) revela qué nombres comparten esa dirección — clave para detectar shared hosting masivo, takeover de subdominios y patrones de phishing. Asimismo, el DNS pasivo de Mnemonic (TLP-WHITE) reconstruye el historial de resoluciones de la IP y permite saber a quién pertenece una IP sospechosa más allá del WHOIS actual.
En cuanto a la atribución cloud, IntelMind detecta automáticamente si la IP pertenece a AWS, GCP, Azure o Cloudflare con CIDR, región
y servicio concretos (por ejemplo, us-east-1 en AMAZON o un edge node en Cloudflare). En consecuencia, una IP en datacenter
cloud cambia el perfil del riesgo: probable proxy o backend, no usuario residencial.
Por consiguiente, este nivel de atribución es lo que convierte un simple WHOIS IP en un dictamen accionable.
Finalmente, el threat-intel agregado combina IPsum (30+ blacklists con score 1-10), CINS Army, Feodo Tracker (C2 de botnets), Spamhaus DROP/EDROP, DShield SANS (honeypots) y CIRCL BGP Ranking (rank histórico del ASN). En definitiva, el resultado es un veredicto que ya no depende de un único vendor: si la IP aparece en cinco fuentes independientes, la confianza en la señal es máxima; si solo aparece en una, IntelMind lo trata como ruido de baja confianza para evitar falsos positivos al verificar IP en producción.
Detección de Tor y tipo de red: cómo identificar tráfico anónimo
En concreto, IntelMind identifica si una IP es nodo de salida Tor (verificación directa contra la lista oficial del proyecto) y clasifica el tipo de red mediante ASN fingerprinting: hosting/datacenter, ISP residencial, CDN o cloud. Esta clasificación es crítica en investigaciones antifraude: una IP residencial tiene un perfil de riesgo muy diferente a una IP de datacenter que puede operar como proxy. La detección de VPN comerciales por ASN es deliberadamente cauta — los proveedores rotan rangos constantemente y un falso positivo daña más que un tipo de red honesto.
Scoring 4D del análisis de IP: técnico, reputación, contexto y exposición
Este sistema de scoring de IntelMind evalúa cada IP en cuatro dimensiones ponderadas:
- Técnico (20%) — validación RPKI, prefix BGP, ports/CVEs Shodan, software CPE detectado.
- Reputación correlada (40%) — AbuseIPDB, GreyNoise, VirusTotal, AlienVault OTX, IPsum, CINS, Feodo, Spamhaus DROP.
- Contexto (15%) — Tor exit, tipo de red (hosting/datacenter/ISP/CDN), geolocalización.
- Exposición (25%) — CVEs explotables, cohabitación de dominios, scanners conocidos, DNS pasivo.
El score final (0-100) se traduce en una clasificación: BAJO (IP limpia), MEDIO (señales mixtas) o ALTO (amenaza confirmada o compromiso activo). En definitiva, este scoring 4D es lo que convierte el análisis de IP en una decisión documentable, no en una intuición.
Casos de uso profesionales del análisis de IP
Asimismo, el análisis de IP online tiene aplicaciones directas en múltiples ámbitos profesionales que necesitan verificar IP, consultar IP y comprobar reputación de una IP en cuestión de segundos:
- SOC y Blue Team: triage de alertas, verificación de IoCs, análisis de logs de firewall y correlación con feeds de threat intel (MITRE ATT&CK).
- Antifraude: verificar si la IP de una transacción es residencial o proxy, datacenter o Tor, y su historial de abuso.
- Investigación OSINT: contextualizar IPs encontradas en logs, emails, dominios o incidentes de seguridad.
- Gestión de infraestructura: auditar la exposición de IPs propias en Shodan y blacklists.
- Due diligence: verificar la reputación de IPs de proveedores, partners o infraestructura de terceros.
Geolocalizar IP: precisión real y limitaciones del GeoIP
Geolocalizar IP con OSINT es una de las consultas más demandadas porque casi todo el mundo necesita responder a la misma pregunta: ¿desde dónde se está conectando este usuario? Hay que entender el alcance real del GeoIP antes de usarlo en una decisión. Las bases públicas (MaxMind GeoLite, IP2Location, ipinfo) aciertan país en el 95-99% de los casos, pero la ciudad concreta solo es fiable en torno al 60-75% y la precisión a nivel de barrio es marketing — la IP no se puede mapear a una calle concreta.
IntelMind muestra país, región y ciudad estimada con la honestidad de declarar que es una aproximación, junto al ASN, el ISP y el tipo de red. En definitiva, para un análisis antifraude o un triage SOC esa granularidad es suficiente; para una investigación que necesite ubicación geográfica exacta hace falta orden judicial al operador. Por su parte, la atribución cloud y la cohabitación añaden el contexto que el GeoIP por sí solo no entrega.
Consultar IP, verificar IP y comprobar reputación de una IP: el flujo típico
Cuando alguien busca consultar IP, verificar IP o comprobar reputación de una IP, el flujo OSINT que IntelMind aplica es siempre el mismo: primero confirma que la IP es enrutable (no es loopback, ni privada, ni reservada), después extrae geolocalización + ASN + prefix BGP + validación RPKI, en paralelo lanza consultas a AbuseIPDB (denuncias públicas), VirusTotal (vinculación a malware o C2), AlienVault OTX (presencia en feeds de threat intel), DShield SANS, IPsum/CINS/Feodo/Spamhaus DROP (threat-intel agregado) y blacklists DNS (Spamhaus, Barracuda, SORBS). A continuación cruza con Shodan InternetDB para detectar puertos abiertos, software (CPE) y CVEs explotables, ejecuta atribución cloud (AWS/GCP/Azure/Cloudflare), reverse-IP para cohabitación y DNS pasivo de Mnemonic. Todo en paralelo, en menos de 5 segundos. Finalmente, el resumen profesional traduce el resultado a una decisión accionable: fiable, precaución, bloquear. En síntesis, cualquiera que necesite rastrear IP de forma legítima tiene aquí el flujo OSINT condensado.
¿Es Tor esta IP? Detección de Tor exit y tipo de red por ASN
Una de las consultas más comunes en antifraude es «¿de dónde viene esta IP?». IntelMind aporta dos señales objetivas y verificables: (1) Tor exit node — verificación directa contra la lista pública del proyecto Tor; (2) tipo de red — clasificación por ASN fingerprinting en cinco categorías (hosting/datacenter, ISP residencial, CDN, infraestructura cloud o desconocido). La detección de VPN comerciales por ASN es deliberadamente cauta: los proveedores rotan rangos cada pocos meses, las listas pagadas se desactualizan y un falso «es VPN» daña más al cliente que un «tipo de red: hosting» honesto. La salida es una etiqueta clara con confianza de la detección, sin afirmar lo que el backend no puede demostrar.