## Por qué es importante

Cuando una IP sospechosa aparece en un informe o en una línea de log, las preguntas son siempre las mismas: ¿de quién es?, ¿es infraestructura real o un usuario final?, ¿a quién hay que dirigir la queja? y ¿está expuesto el propio host? Responderlas suele implicar saltar entre CLI de whois, webs de los registros y paneles de escáneres. La investigación de IP lo reúne todo en una sola página: con una única consulta tienes la imagen completa.

## Qué hace

Escribe una dirección IP — o pega hasta 10 de golpe, directamente desde una línea de log. Cada dirección recibe su propia tarjeta con:

- una **clasificación**: pública, privada, loopback, link-local, CGNAT o reservada. Las direcciones no públicas se responden al instante, sin ninguna consulta de red.
- un **resumen de una línea** que puedes citar tal cual en un informe o comentario.
- **chips de señales** que destacan los hallazgos relevantes de un vistazo.
- **inteligencia por sección**, con distintivo de estado y procedencia (fuente y antigüedad) en cada sección.

Los tokens no válidos no rompen la consulta: cada uno recibe su propia tarjeta con el veredicto «no válido».

### Qué muestra cada sección

| Sección | Fuente | Qué te dice |
|---------|--------|-------------|
| Propietario y contacto de abuso | RDAP (directo del registro) | Nombre de la red, titular, rangos CIDR y el contacto de abuso al que dirigirte |
| Enrutamiento / ASN | RIPEstat | Número de AS que anuncia la ruta y su titular, prefijo anunciado |
| DNS inverso | DNS (con confirmación directa) | El nombre de host del PTR — solo se considera fiable si resuelve de vuelta a la misma IP |
| Exposición del host | Shodan | Puertos abiertos, banners de servicios, CVE conocidas y etiquetas del host |

> [!NOTE]
> El DNS inverso se confirma con una resolución directa porque los registros PTR los controla el dueño de la IP: un atacante puede apuntarlos a cualquier parte. Un nombre de host que no resuelve de vuelta a la misma dirección se marca en lugar de darse por bueno.

## Investigar una IP

Abre la página de [Investigación de IP](/tools/ip_investigation). Cualquier miembro de la cuenta con sesión iniciada puede usarla.

1. Escribe una dirección IP, o pega hasta 10 separadas por espacios, comas o puntos y comas.
2. Envía: los resultados aparecen en la misma página, una tarjeta por dirección.

La consulta se ejecuta como un simple GET, así que la URL resultante se puede compartir y enlazar directamente: pégala en el hilo de un informe y tu compañero aterriza en la misma investigación.

Omnisearch también la conoce: escribe o pega una IP en la paleta de comandos (Cmd+K) y aparece la acción **Investigate IP &lt;dirección&gt;** (investigar la IP), con la dirección ya rellenada.

## De dónde vienen los datos

Todo se deriva de fuentes públicas: datos de registro RDAP, datos de enrutamiento de RIPEstat, DNS y Shodan. La herramienta lee inteligencia externa sobre la dirección que escribes; no toca ni expone los datos de tu cuenta, y nada de lo que consultas se guarda.

## Límites

| Límite | Valor |
|--------|-------|
| Tamaño del lote | Hasta 10 direcciones IP por consulta |
| Secciones pendientes | La atribución de nube, Tor, la geolocalización y la reputación aún no están disponibles y se muestran como marcadores de posición |
| Caché | Los resultados pueden servirse desde una caché compartida de corta duración a nivel de toda la aplicación, así que la información puede tener unas horas de antigüedad |

## En resumen

- [ ] Abre la página de [Investigación de IP](/tools/ip_investigation), o pulsa Cmd+K y escribe la IP
- [ ] Pega una IP, o hasta 10 desde una línea de log
- [ ] Cita el resumen de una línea en tu informe
- [ ] Dirígete al contacto de abuso de la sección de propietario