¿Qué es una IP "bogon"?

Un **bogon** es una dirección IP que **nunca debería aparecer** como origen en internet público. Incluye: rangos **RFC1918 privados** (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), **CGNAT** (100.64.0.0/10), **link-local** (169.254.0.0/16 para v4, fe80::/10 para v6), **loopback** (127.0.0.0/8, ::1), **multicast** (224.0.0.0/4, ff00::/8), rangos de **documentación** (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 2001:db8::/32) y **reservados para uso futuro** (240.0.0.0/4). Si una petición a tu sitio público tiene **IP origen bogon**, tu red está mal configurada o alguien está suplantando. Los bogons son útiles para detectar: te dicen inmediatamente que la IP no es enrutable en internet, así que puedes saltarte lookups de Tor / geo / WHOIS para ella.

¿Qué significa CGNAT y por qué se marca aparte?

**CGNAT** significa **Carrier-Grade NAT** (RFC6598, rango **100.64.0.0/10**). Cuando un ISP no tiene IPv4 públicos suficientes para dar a cada cliente el suyo, pone **cientos de clientes detrás de una sola IP pública compartida** usando una segunda capa de NAT. Dentro de la red del operador, esos clientes ven direcciones como 100.64.x.x. CGNAT es muy común en **operadores móviles** y **ISPs de fibra en países con suministro IPv4 ajustado** (India, Brasil, partes de Europa del Este). Por qué marcarlo: una IP CGNAT **identifica el pool compartido de un ISP, no a un único usuario**. Bloquearla puede dejar fuera a mucha gente inocente, y cualquier dato geo es esencialmente "donde el ISP puso su caja NAT".

¿Cómo detectáis un nodo de salida Tor?

El proyecto Tor publica una **lista bulk de todos los exit nodes actuales** en `https://check.torproject.org/torbulkexitlist`. Descargamos esta lista **como máximo una vez cada 24 horas**, la cacheamos en memoria del servidor y comprobamos si la IP que envías está en el conjunto. La comprobación es de **coincidencia exacta por IP** (no por ASN), así que cubre exits Tor que corren en conexiones residenciales también. Un veredicto "tor: yes" significa que la IP **actuó como exit Tor en las últimas horas** (la lista upstream se refresca aproximadamente cada hora). Si la respuesta es no pero la IP viene de un ASN de hosting, la dirección podría seguir siendo un relé Tor o una VPN privada.

¿Cómo detectáis una IP de datacenter / hosting?

Mantenemos una **lista curada de unos 30 de los mayores ASNs de hosting / cloud** (Cloudflare, AWS, GCP, Azure, Hetzner, OVH, DigitalOcean, Linode, Vultr, Alibaba Cloud, Tencent Cloud, etc.). Cuando el lookup ASN de Team Cymru devuelve uno de estos ASNs, marcamos la IP como **datacenter**. Es deliberadamente una **lista pequeña y de alta señal**: en lugar de perseguir 10.000 VPS de nicho, nos centramos en las redes que generan la **gran mayoría del tráfico automatizado**. Si una IP rara resulta estar en un gran ASN cloud, normalmente puedes tratarla como "bot" o "no humano" con alta confianza.

¿Cuándo debería buscar una IP?

Los disparadores comunes: **(1)** un login o llamada de API desde una IP desconocida aparece en tus logs y quieres contexto antes de alertar, **(2)** un sistema automatizado rechazó a un cliente real y quieres saber qué disparó el filtro, **(3)** estás escribiendo un **reporte de abuso** y necesitas el nombre del operador + país para enviarlo al registro correcto, **(4)** estás **investigando spam, scraping o abuso de formularios** y quieres saber si bloquear una sola IP o una subred entera, **(5)** migraste infraestructura y quieres verificar que el nuevo ASN anuncia tu IP, **(6)** un cliente dice "no puedo llegar a tu sitio" y quieres ver si está detrás de CGNAT o Tor.

¿Cuán precisos son los datos de geolocalización?

**A nivel de país**: normalmente bien, alrededor del **95-99%** de precisión en IPs residenciales. **A nivel de ciudad**: a menudo mal, **quizá 60-80%**. **Coordenadas**: típicamente un centroide aproximado de la ciudad, **no la ubicación real del usuario**. Las bases de datos geo se construyen a partir de una mezcla de datos WHOIS, mapeos publicados por ISPs, triangulación de latencia y feedback de clientes, y **van con meses de retraso respecto a la realidad**: una IP asignada a Berlín en 2019 puede seguir mostrando "Berlín" tres años después de que el ISP la moviera. **VPNs, Tor y operadores móviles** destrozan la precisión geo por completo. Trata el geo como una pista que sugiere una hipótesis, nunca como evidencia por sí sola.

¿Por qué la columna de DNS inverso a veces se ve como gibberish?

El DNS inverso (**registro PTR**) lo configura el propietario del bloque de IPs. **Algunos propietarios ponen nombres con sentido** (`dns.google`, `one.one.one.one`, `smtp.ejemplo.com`). **Muchos ponen plantillas genéricas**: `ec2-3-x-y-z.compute-1.amazonaws.com`, `server.proveedorhosting.com`. Algunos no ponen **nada** (el lookup no devuelve resultado). Algunos ponen **valores engañosos u obsoletos** que ya no reflejan la realidad. Un hit de DNS inverso está bien cuando existe y se ve con sentido, pero la ausencia no significa que algo esté mal: es solo una convención opcional.

¿Está soportado IPv6?

**Sí, totalmente.** El lookup ASN usa el servicio **origin6.asn.cymru.com** de Team Cymru para IPv6, el detector de bogon reconoce **::1 (loopback), fc00::/7 (ULA), fe80::/10 (link-local), ff00::/8 (multicast) y 2001:db8::/32 (documentación)**, y el DNS inverso funciona igual que para v4. Los conjuntos de datos geo y Tor cubren IPv6 también, con un matiz: la **lista de ASNs de datacenter** es la misma para v4 y v6, así que una IPv6 alojada en AWS también se marca como datacenter.

¿Almacenáis las IPs que consulto?

**No.** Cada lookup corre de punta a punta **dentro del ciclo de vida de la petición**, consulta el DNS de Team Cymru / ip-api / la lista Tor, devuelve el resultado a tu navegador y luego olvida la entrada. **No hay base de datos, no hay log de IPs consultadas, no hay tag de analítica** en la petición. El único estado que mantenemos es el **contador de rate limit a nivel de módulo** para la IP del solicitante (se reinicia cada hora) y el **cache de la lista de exits Tor** (una lista global compartida, no por usuario).

Info de IP / Lookup ASN - gratis

IP Info / ASN lookup: quién posee esta dirección, dónde vive y qué tipo de host es

Pega cualquier dirección IPv4 o IPv6 y en un segundo obtienes el background check completo: qué operador de red (ASN) la anuncia a internet, qué país y qué registro la asignaron, qué nombre DNS inverso lleva, en qué ciudad la sitúan las bases de datos geo y si es un bogon, privada, CGNAT, nodo de salida Tor o un datacenter conocido.

Es lo que hacen los equipos de abuso, los equipos de seguridad y los developers curiosos cuando aparece una IP desconocida en sus logs. No necesitas instalar whois, escribir consultas a ARIN a mano ni confiar en un único proveedor geo comercial: la herramienta combina el servicio ASN de Team Cymru, el resolver DNS inverso del SO, la lista pública de exits Tor y una lista curada de ASNs cloud / hosting para darte un veredicto claro y multi-señal.

Úsala en el momento en que aparezca una IP rara en los logs de tu servidor, una IP de spam en comentarios necesite contexto, un cliente se queje de "me están bloqueando", o simplemente quieras saber si una IP dada es una conexión doméstica normal o una instancia EC2 de AWS.

Cómo usarla

Pega una dirección IP en cualquier forma: IPv4 como `8.8.8.8`, IPv6 como `2606:4700:4700::1111`. El campo valida al enviar, sin `http://`, sin puerto, solo la dirección.
Pulsa Consultar. La herramienta ejecuta todas las comprobaciones en paralelo: lookup ASN vía DNS de Team Cymru, DNS inverso vía el resolver del SO, geo vía una API pública, comprobaciones bogon / CGNAT / multicast vía matching local de bitmask y comprobación de exit Tor contra una lista diaria cacheada.
Usa los chips de IP de ejemplo para probar casos típicos al instante: `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privada), `100.64.0.1` (CGNAT).
Lee los badges de flag arriba: familia (v4 / v6), pública vs bogon, datacenter, Tor. Los badges rojos significan "no la trates como una IP de cliente normal".
Tarjeta de identidad: muestra la IP, la familia y el DNS inverso (PTR). Un inverso como `dns.google` es una pista fuerte de que la IP pertenece a esa organización.
Tarjeta ASN: número de ASN, nombre del registro (ARIN, RIPE, APNIC...), prefijo asignado y propietario de la red (CLOUDFLARENET, AMAZON-02, GOOGLE).
Tarjeta geo: país, región, ciudad, coordenadas, zona horaria, ISP y organización. Trata los datos a nivel de ciudad como una pista, no como un hecho, sobre todo para redes móviles y exits de VPN.
Tarjeta de flags: veredictos explícitos para bogon / Tor / datacenter, además de la edad del cache de la lista Tor para que sepas cuán fresca es la respuesta.

Cuándo es útil

Seis situaciones concretas en las que esta herramienta sustituye a "voy a googlear la IP":

Triaje de tráfico sospechoso en logs de servidor. Un login desde `45.61.x.x` se ve raro. La pegas: el ASN es un proveedor de hosting conocido, el DNS inverso es un hostname VPS genérico y la herramienta lo marca como datacenter. Ese único hit basta para apretar tus rate limits o disparar MFA.
Detección de exit Tor para políticas de fraude / abuso. Alguien abusó de tu plan gratuito desde `185.220.x.x`. Pegas la IP, la herramienta devuelve tor: yes con una lista Tor refrescada en las últimas 24h. Añades una política "bloquear altas desde exits Tor, permitir login a través de ellos" y listo.
Cliente se queja de que no puede llegar a ti. Te envía su IP. Ves CGNAT, ASN es un operador móvil, el país coincide con lo que dice. Su problema probablemente está en su NAT (rango de puertos), no en tu servicio.
Investigando comentarios spam / abuso de formularios. La IP aparece como datacenter (DigitalOcean) en São Paulo, el DNS inverso es un nombre genérico de droplet. Eso te dice que bloquees toda la subred en el borde frontal en lugar de jugar al whack-a-mole.
Verificar una "IP privada" antes de reportarla. Ves `100.64.5.10` en un reporte de bug. La herramienta la marca como CGNAT (no una IP pública real) y le pides al usuario que comparta su IP pública desde otro sitio.
Comprobación de cordura tras un cambio de red. Has cambiado el proveedor upstream en un servidor. Tras el cutover pegas la IP de tu servidor en la herramienta. El ASN debería ser ahora el nuevo proveedor. Si sigue mostrando el ASN antiguo sabes que el anuncio de ruta no ha terminado de propagarse.

Preguntas y respuestas

ASN significa Autonomous System Number. Internet no es una sola red grande: son aproximadamente 100.000 redes separadas (ISPs, proveedores de hosting, grandes empresas, universidades) que cada una opera de forma independiente. Cada una tiene un número, p. ej. AS15169 es Google, AS16509 es Amazon AWS, AS13335 es Cloudflare. Cada IP en internet público la anuncia uno de estos ASNs. El ASN te dice "esta IP pertenece a la red X", que es mucho más fiable que el geo a nivel de país cuando quieres saber "quién controla esta dirección". Por ejemplo, si el ASN es un ISP doméstico conocido, la IP casi seguro es un usuario en casa; si el ASN es AWS, casi seguro es un servidor.

IP Info / ASN lookup: quién posee esta dirección, dónde vive y qué tipo de host es

Cómo usarla

Pega una dirección IP en cualquier forma: IPv4 como `8.8.8.8`, IPv6 como `2606:4700:4700::1111`. El campo valida al enviar, sin `http://`, sin puerto, solo la dirección.

Pulsa Consultar. La herramienta ejecuta todas las comprobaciones en paralelo: lookup ASN vía DNS de Team Cymru, DNS inverso vía el resolver del SO, geo vía una API pública, comprobaciones bogon / CGNAT / multicast vía matching local de bitmask y comprobación de exit Tor contra una lista diaria cacheada.

Usa los chips de IP de ejemplo para probar casos típicos al instante: `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privada), `100.64.0.1` (CGNAT).

Lee los badges de flag arriba: familia (v4 / v6), pública vs bogon, datacenter, Tor. Los badges rojos significan "no la trates como una IP de cliente normal".

Tarjeta de identidad: muestra la IP, la familia y el DNS inverso (PTR). Un inverso como `dns.google` es una pista fuerte de que la IP pertenece a esa organización.

Tarjeta ASN: número de ASN, nombre del registro (ARIN, RIPE, APNIC...), prefijo asignado y propietario de la red (CLOUDFLARENET, AMAZON-02, GOOGLE).

Tarjeta geo: país, región, ciudad, coordenadas, zona horaria, ISP y organización. Trata los datos a nivel de ciudad como una pista, no como un hecho, sobre todo para redes móviles y exits de VPN.

Tarjeta de flags: veredictos explícitos para bogon / Tor / datacenter, además de la edad del cache de la lista Tor para que sepas cuán fresca es la respuesta.

Cuándo es útil

Seis situaciones concretas en las que esta herramienta sustituye a "voy a googlear la IP":

Triaje de tráfico sospechoso en logs de servidor. Un login desde `45.61.x.x` se ve raro. La pegas: el ASN es un proveedor de hosting conocido, el DNS inverso es un hostname VPS genérico y la herramienta lo marca como datacenter. Ese único hit basta para apretar tus rate limits o disparar MFA.
Detección de exit Tor para políticas de fraude / abuso. Alguien abusó de tu plan gratuito desde `185.220.x.x`. Pegas la IP, la herramienta devuelve tor: yes con una lista Tor refrescada en las últimas 24h. Añades una política "bloquear altas desde exits Tor, permitir login a través de ellos" y listo.
Cliente se queja de que no puede llegar a ti. Te envía su IP. Ves CGNAT, ASN es un operador móvil, el país coincide con lo que dice. Su problema probablemente está en su NAT (rango de puertos), no en tu servicio.
Investigando comentarios spam / abuso de formularios. La IP aparece como datacenter (DigitalOcean) en São Paulo, el DNS inverso es un nombre genérico de droplet. Eso te dice que bloquees toda la subred en el borde frontal en lugar de jugar al whack-a-mole.
Verificar una "IP privada" antes de reportarla. Ves `100.64.5.10` en un reporte de bug. La herramienta la marca como CGNAT (no una IP pública real) y le pides al usuario que comparta su IP pública desde otro sitio.
Comprobación de cordura tras un cambio de red. Has cambiado el proveedor upstream en un servidor. Tras el cutover pegas la IP de tu servidor en la herramienta. El ASN debería ser ahora el nuevo proveedor. Si sigue mostrando el ASN antiguo sabes que el anuncio de ruta no ha terminado de propagarse.

Preguntas y respuestas

Info de IP / Lookup ASN

IP Info / ASN lookup: quién posee esta dirección, dónde vive y qué tipo de host es

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Cuál es mi IP

Consulta DNS

Consulta WHOIS

Lookup DNS inverso (PTR)

Calculadora CIDR / subredes

Info de IP / Lookup ASN

IP Info / ASN lookup: quién posee esta dirección, dónde vive y qué tipo de host es

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Cuál es mi IP

Consulta DNS

Consulta WHOIS

Lookup DNS inverso (PTR)

Calculadora CIDR / subredes