En los procesos judiciales orientados a la nulidad de operaciones cada vez es más común encontrar tecnicismos relacionados con las direcciones IP. Se han dado resoluciones alineadas a la geolocalización , que han sido discutidas fuertemente debido a las tecnologías como las VPNs y los proxies que permiten ubicar un equipo de computo en otra localización y encubriendo también la dirección IP que se rastrea en las bitácoras de operaciones. Sin embargo, hay un tema relacionado con las direcciones IP que no es muy común, las direcciones IP privadas o también conocidas como no homologadas.
No todas las direcciones IP son susceptibles de ser utilizadas en Internet libremente, un caso particular son las direcciones IP que se encuentran descritas en el documento técnico denominado RFC 1918, en el cual se establece que las direcciones IP 10.0.0/8, 172.16.0.0/12 y 192.168.0.0/16 son de carácter exclusivamente privado, lo que significa que solo pueden ser utilizadas en redes internas como la red de una casa, la red de una oficina, la red de un banco o la red de una institución gubernamental.
Por ejemplo, todos los que tengan una conexión contratada con algún proveedor de servicio pueden hacer la prueba y en una pantalla de línea de comando (cmd o powershell en Windows) podrán utilizar un comando en la ventana negra o azul que les aparece que se llama ipconfig y verán que en su interfaz de red tendrán una dirección IP 192.168.1.X, donde X puede ser un número entre 1 y 254, pero cuando en el mismo equipo se utiliza un servicio para conocer tu dirección IP se podrá observar una dirección IP diferente, esto pasa por un protocolo que se llama NAT o Network Address Translation, aunque si algún lector es más técnico podría decir que es el PAT (Port Address Translation) el que hace la operación.
Si estas direcciones IP descritas en el documento RFC 1918 se ven reflejadas en una bitácora de operaciones de una institución financiera esto se puede deber a tres escenarios, el primero de ellos es que las direcciones IP se encuentran en la red de la institución, lo cual significa que un equipo de cómputo o un dispositivo del banco está realizando la operación, por lo cual el usuario no tiene la posibilidad de hacerla.
El segundo escenario, es que hay un dispositivo conectado a través de una VPN, ya sea en configuración remote host o site to site que permite la identificación del dispositivo como si fuera parte de la red privada de la institución financiera, lo cual sólo puede ser llevado a cabo a través de configuraciones en los equipos de seguridad y no esta en posibilidad un usuario final de los servicios de conectarse a través de estos mecanismos a menos que tenga un contrato de servicios financieros muy particular.
El tercer escenario esta orientado a una mala práctica de programación en donde en lugar de detectar la dirección IP pública del elemento que se está conectando a los sistemas de la institución financiera, se obtiene la información directamente de la interfaz de red que tiene una dirección IP privada de forma común. En este escenario, prácticamente se afecta la trazabilidad y por lo tanto los elementos definidos en el 316 bis 15 de las Disposiciones de Carácter General Aplicables a Instituciones de Crédito.
Es importante destacar que en ninguno de los escenarios puede haber una responsabilidad para el usuario y por lo tanto los factores de autenticación que se usen en cualquiera de los escenarios es susceptible de ser un elemento de riesgo y con base en lo establecido en el 316 bis 13 la institución de forma recomendada debería realizar el bloqueo de las transacciones por una situación inusual.
Cabe aclarar que las direcciones IP que mencioné no son únicamente las que operan de forma restringida, hay algunas otras que se encuentran en otras normas técnicas como por ejemplo las 127.0.0.0/8 o la 169.254.0.0/16.
Para concluir, es recomendable evaluar cada uno de los escenarios en los que se presentan las operaciones que se reclaman de tal forma que se pueda llevar a cabo procesos de atención a los usuarios de servicios financiero más eficientes y para las autoridades en materia esclarecer los escenarios sobre los cuales tiene responsabilidad cada una de las partes.
Iván Díaz González como parte de su formación académica cuenta con:
• Ingeniería en Sistemas Computacionales
• Licenciatura en Derecho
• Maestría en Gestión de Tecnologías de la Información
• Doctor en Derecho
Ha obtenido diferentes certificaciones en el ámbito de tecnologías y seguridad de la información entre las que destacan CISSP, CISM, CDPSE (Protección de datos personales), CCSK, ISO 27001, ISO22301, Ciberinteligencia, Hackeo, ITIL y COBIT.
Cuenta con 16 años de trayectoria en el ámbito de las tecnologías y seguridad de la información y comunicaciones. Es socio de LEX INFORMÁTICA ABOGADOS.
Ha fungido como perito informático en procedimientos penales, civiles y mercantiles, en el periodo 2020-2022 ha sido miembro de la lista de personas que pueden fungir como peritos para el Poder Judicial de la Federación.
