En muchos de los análisis forenses realizados por un perito informático y, sobre todo, en muchos de los informes periciales que un perito informático debe rebatir con un contra-informe pericial informático, la dirección IP juega un papel fundamental. Una dirección IP es una etiqueta numérica que identifica a una interfaz o elemento de conexión, conocido como tarjeta de red (normalmente, perteneciente a un ordenador, aunque también podría pertenecer a una televisión, a una videoconsola o a cualquier otro electrodoméstico), dentro de una red que utilice el protocolo IP, correspondiente al nivel de red del modelo OSI (Internet es una red en la que se usa el protocolo IP).
La dirección IP se forma con cuatro conjuntos de números que pueden ir desde el 0 hasta el 255. 255 es el resultado de multiplicar dos por sí mismo un total de ocho veces (28), lo que significa que para representar cada uno de estos conjuntos son necesarios un total de ocho elementos binarios o bits (que pueden ser ceros o unos), por lo que para representar una dirección IP, son necesarios treinta y dos bits. Si se realiza un cálculo simple, con treinta y dos bits se pueden representar un total de 232 elementos, es decir, 4294967296 direcciones IP. Cuando se ideó el protocolo IP y se adoptó para crear la arquitectura de Internet, se pensó que algo más de cuatro mil millones de direcciones serían suficientes para identificar unívocamente a cualquier elemento conectado a la red, sin embargo, al poco tiempo y debido al crecimiento que experimentó rápidamente Internet, se comprobó que pronto se quedarían cortas. Fue entonces cuando se implementó una solución provisional hasta que se pusiese en marcha un nuevo protocolo IP. Dicha solución se denominó NAT (Network Address Translation, Traducción de Direcciones de Red). El mecanismo NAT, grosso modo, permite que una única dirección IP de un elemento de red (un router o enrutador, en este caso), sea compartida por varios elementos de red conectados en jerarquías inferiores al mismo, de tal forma que dichos elementos de red no están directamente conectados a Internet, sino que conforman una red privada que se conecta a Internet a través del router.
Así pues, esta compartición de la misma dirección IP por parte de varios elementos conectados a un router, sumado al hecho de que las direcciones IP son, normalmente, concedidas por el operador o proveedor de servicios de forma dinámica (es decir, que una misma dirección IP puede ser asignada por el operador a varios routers en distintos momentos), ofrece la posibilidad de que varios elementos de red y, por tanto, de ordenadores, puedan estar usando la misma dirección IP en el mismo momento, e incluso en momentos distintos. Por tanto, a la hora de evaluar la autoría fehaciente de un delito informático, esta eventualidad constituye un gravísimo problema.
En la nueva versión del protocolo IP, conocida como IPv6 y que aún no ha sido implantada definitivamente, el problema de la escasez de direcciones IP queda solventado. Esto se debe a que las nuevas direcciones estarán formadas por ocho conjuntos de dieciséis bits, lo que proporcionará un total de 2128 direcciones IP o, lo que es lo mismo, unos 340 sextillones de direcciones.
En muchas causas judiciales, sobre todo penales, iniciadas a partir de investigaciones de los diferentes Grupos de Delitos Informáticos de cada una de las distintas Fuerzas y Cuerpos de Seguridad del Estado, es necesaria la identificación de la dirección IP desde la que se comete el delito, siendo ésta cotejada con los distintos operadores, al objeto de identificar al abonado que tenía asignada esa dirección IP durante el momento de la comisión del delito. Esta identificación únicamente puede realizarse si el operador, aún concediendo las direcciones IP de forma dinámica entre los distintos abonados, no comparte dirección IP entre varios, es decir, no utiliza el mecanismo NAT (lo cual pueden permitírselo únicamente las grandes compañías de Telecomunicaciones).
Antes de proceder al cotejo de la dirección IP desde la que se ha cometido el delito, al objeto de conocer quién es el abonado que se encuentra detrás de esa dirección IP, es necesario que el perito informático (bien sea un perito informático judicial, bien sea un perito informático perteneciente a las Fuerzas y Cuerpos de Seguridad del Estado), obtenga, mediante un análisis forense de los discos duros pertenecientes a los sistemas sobre o mediante los que se han cometido los delitos, la mencionada dirección IP. Para ello, primeramente, será necesario realizar una copia de cada uno de estos discos duros y, si bien en el caso de que el perito informático sea un funcionario de los Cuerpos y Fuerzas de Seguridad del Estado, no es necesario que un fedatario público esté presente durante todo el proceso del clonado de los discos duros, tal y como reza la Sentencia 1599/1999 del Tribunal Supremo, sí se deberá indicar en el informe anexo o atestado cómo se ha realizado dicho proceso, al objeto de que quede claro que la cadena de custodia ha sido conservada en todo momento.
Una vez los discos duros han sido clonados, es necesario analizar las copias obtenidas. El análisis de los discos duros debe focalizarse sobre los ficheros de log de los sistemas atacados o mediante los que se ha cometido el delito. Un fichero de log es un archivo informático que registra todas las actividades de un sistema informático. Así pues, es necesario que los ficheros de log sean analizados concienzudamente al objeto de poder determinar el momento exacto en el cual se cometió el delito y la dirección IP desde la cual se realizó dicha actividad delictiva. Una vez se ha obtenido la dirección IP desde la cual se ha cometido el delito, así como la fecha y hora en la que se cometió el mismo, tanto la dirección IP, como la fecha y la hora, deben ser cotejadas con el operador, al objeto de conocer quién es el abonado que estaba detrás de la dirección IP en el momento en el que se cometió el delito. Es necesario también tener en cuenta ciertas variables importantes, como que por ejemplo, la fecha y la hora del sistema informático que está siendo analizado, puede no coincidir con la fecha y la hora de los sistemas informáticos del operador, o pudo no coincidir en el momento en el que se estaba cometiendo el delito.
Si el proceso técnico de obtención de la dirección IP no está claro o, si se sospecha que la cadena de custodia no ha sido conservada, debe impugnarse el proceso y presentarse un informe contra-pericial informático en los primeros estadios de la causa judicial, tal y como deja claro la Sentencia 2222/2013 del Tribunal Supremo, ya que una vez que la documentación ha sido aportada a la causa y no impugnada, ésta se dará por admitida de forma definitiva. Así pues, por ejemplo, en un recurso de casación no cabrá la posibilidad de que el Tribunal Supremo acepte la nulidad de alguna de las pruebas.
Para finalizar, la identificación de la dirección IP desde la que se cometió el delito informático y su asociación con el abonado en ese momento preciso del tiempo, no es en absoluto una condición necesaria y suficiente para inculpar al mismo en la comisión del delito, tal y como reza la Sentencia 8316/2012 del Tribunal Supremo. Esto es debido a que, aunque la dirección IP haya sido escrupulosamente obtenida, conservando en todo momento la cadena de custodia, es extremadamente difícil asegurar que era el abonado quien estaba sentado delante del ordenador en ese momento cometiendo actividades delictivas, debido a que existen varias casuísticas que podrían argüirse en contra, como por ejemplo que la red inalámbrica fue pirateada, que otra persona estaba usando el ordenador, etc. Por tanto, para certificar con total seguridad que alguien cometió un delito desde una dirección IP, no vale únicamente con identificar al abonado, sino que es necesaria la realización de un peritaje informático forense sobre el contenido del disco o discos duros de su ordenador u ordenadores, en los que se encuentre material relacionado con la comisión del delito.