¿Una dirección MAC permite localizar geográficamente un dispositivo?

No. Una MAC identifica un interfaz de red dentro del enlace local (mismo segmento Ethernet o Wi-Fi). No viaja más allá del primer router: cuando tu paquete cruza a internet, la MAC de origen se reemplaza por la del siguiente salto. Ningún servicio puede deducir tu ciudad ni tu ISP solo a partir de una MAC.

¿Por qué a veces el vendor lookup devuelve desconocido?

Dos motivos típicos: la dirección es locally administered (LAA) y por tanto no tiene OUI registrado en IEEE — caso de 52:54:00, que QEMU/KVM usa por defecto. O corresponde a un fabricante con un OUI muy reciente que el snapshot local no contiene. Otras MACs usadas en entornos virtuales (VMware, Xen, VirtualBox) sí están globalmente asignadas, así que el lookup devuelve el vendor sin problema.

¿La MAC cambia cuando uso una VPN o un proxy?

No la MAC en sí, pero deja de ser observable más allá de tu enlace local incluso sin VPN: ya no la ven los servidores remotos. Las VPN y los proxies operan en capa 3 o superior; la MAC se mantiene tal cual entre tu dispositivo y tu primer salto (router/AP) y el cambio que aporta una VPN es ocultar la IP pública, no la MAC.

¿Es seguro confiar en el OUI para identificar el modelo exacto del aparato?

No. El OUI identifica al asignatario del bloque MAC ante IEEE; muchas marcas compran direcciones MAC a fabricantes contract manufacturers (ODM), así que el OUI puede coincidir con el ODM y no con la marca comercial visible para el usuario. Y la asignación es por bloques: un mismo OUI puede aparecer en productos muy distintos del mismo asignatario.

¿Las direcciones MAC randomizadas de iOS/Android rompen el lookup?

En la práctica sí. Los sistemas operativos modernos rotan direcciones MAC al conectarse a redes Wi-Fi nuevas como medida anti-tracking; esas MAC tienen el bit de locally administered activado y no apuntan a fabricante físico. Es un comportamiento deseado por privacidad: la herramienta lo refleja marcando la MAC como LAA en lugar de inventar un vendor.

Qué es una dirección MAC, OUI y fabricante

Anatomía de las direcciones MAC: estructura OUI, MAC vs IP, locally administered, multicast/broadcast, por qué una MAC no geolocaliza y por qué el vendor lookup puede salir vacío.

Qué es una dirección MAC

Una dirección MAC (Media Access Control) es un identificador de 48 bits que cada interfaz Ethernet o Wi-Fi presenta a la red local. Se escribe normalmente en notación hexadecimal con seis octetos separados por dos puntos o por guiones — por ejemplo 3C:5A:B4:12:34:56. Vive en la capa de enlace del modelo OSI (capa 2): a ese nivel, switches y puntos de acceso deciden a qué puerto o qué cliente Wi-Fi reenviar cada trama mirando la MAC de destino. Es el direccionamiento que hace funcionar el cable o la radiofrecuencia que conecta tu equipo con el router.

La MAC se asigna de fábrica al hardware (el llamado BIA, Burned-In Address), pero casi cualquier sistema operativo permite sustituirla por software. Cuando se sustituye sin coordinación, suele activarse el bit de locally administered para señalar que ya no es la MAC original — algo que la propia anatomía del campo permite ver de un vistazo.

Estructura: OUI y extensión

Los 48 bits se dividen en dos mitades. Los primeros 24 bits — los tres primeros octetos — forman el OUI (Organisationally Unique Identifier), un bloque que IEEE asigna a una entidad concreta (fabricante, ODM o reseller). Los 24 bits restantes son la extensión: el asignatario los administra como quiera para numerar los productos que fabrica con ese bloque.

Esa partición explica por qué un OUI puede mapear a un fabricante cuando la dirección es global (asignada por IEEE) y por qué pierde sentido cuando la dirección es locally administered: en ese caso la mitad alta no proviene de IEEE y no identifica fabricante físico. Los dos primeros bits del primer octeto son los que controlan ese comportamiento, y se examinan más abajo.

MAC frente a IP

La MAC y la IP responden a preguntas distintas. La MAC dice “qué interfaz dentro de mi enlace local” — el segmento Ethernet o la celda Wi-Fi que comparten todos los dispositivos conectados al mismo switch o al mismo AP. La IP dice “qué nodo dentro de la red global” — y se enruta entre redes. Cuando un paquete entra y sale de internet, su IP de origen y destino se mantienen estables; la MAC de origen, en cambio, se reescribe en cada salto router-a-router.

Eso explica por qué un servidor remoto nunca ve tu MAC: solo la ve tu router de casa o tu AP corporativo. Las MAC viajan solo entre vecinos directos. Para calcular y dividir las redes IP en las que estos paquetes terminan moviéndose, la calculadora CIDR de ToolsOps ayuda a razonar sobre subredes, máscaras y rangos.

Locally administered (LAA)

El segundo bit menos significativo del primer octeto (bit 41 del campo MAC completo) decide si la dirección es globally unique (asignada por IEEE a través de un OUI) o locally administered: cuando ese bit vale 1, la MAC se considera asignada localmente por el administrador o el sistema operativo. En notación hex, los primeros octetos que terminan en 2, 6, A o E (la familia x2:, x6:, xA:, xE:) son LAA.

Las direcciones LAA aparecen sobre todo en máquinas virtuales, contenedores con red virtualizada, y dispositivos modernos que rotan su MAC para evitar tracking. No tienen OUI registrado, así que el vendor lookup no puede devolver fabricante físico: lo correcto es marcarla como locally administered y explicar al usuario por qué no hay coincidencia. El matiz importa: LAA no equivale automáticamente a tráfico sospechoso, solo a una asignación fuera del registro IEEE.

Multicast y broadcast a nivel MAC

El bit menos significativo del primer octeto (bit 40) distingue tráfico unicast de tráfico de grupo: cuando vale 0 la trama va dirigida a un único destinatario; cuando vale 1, está pensada para un conjunto. La dirección FF:FF:FF:FF:FF:FF es el broadcast global del enlace y la reciben todos los dispositivos conectados al mismo segmento. El bloque 01:00:5E:00:00:00/24en adelante codifica multicast IPv4; 33:33:... codifica multicast IPv6.

Reconocer estos prefijos en el lookup es relevante para no confundir tráfico de señalización con tráfico de un dispositivo concreto. Una MAC multicast no tiene fabricante asociado: representa un grupo lógico, no un interfaz físico, y debe presentarse como tal sin forzar un OUI inventado.

Por qué una MAC no geolocaliza

Geolocalizar requiere que la dirección viaje por la red pública y que existan servicios capaces de mapear esa dirección a una ubicación física. Las IP públicas se geolocalizan con bases de datos que correlacionan rangos con países y ciudades. Las MAC nunca llegan a esos servicios: el router de tu casa, el AP de tu cafetería o el switch de tu oficina son la frontera. Por encima de ellos ya no se ve tu MAC; debajo, sí, pero solo desde tu enlace local.

Esa propiedad técnica es la razón por la que ningún servicio remoto puede deducir tu ubicación a partir de una MAC. Cuando alguien lo afirma, está confundiendo MAC con otra señal (Wi-Fi BSSID asociada a coordenadas en bases de datos de mapas, por ejemplo) que sí se geolocaliza pero por mecanismos distintos.

Por qué el vendor lookup puede devolver desconocido

Hay varios escenarios habituales. El primero, ya descrito, es la MAC locally administered: si el bit indica LAA, no hay fabricante registrado al que asociar. El segundo es OUI fuera del snapshot local: la herramienta usa un conjunto de OUIs publicados conocido, no el registro IEEE en vivo, así que OUIs muy recientes pueden no estar todavía indexados. El tercero son las MACs usadas en entornos virtuales, con un matiz: algunas son globally assigned y pueden tener vendor conocido — por ejemplo 00:50:56 (VMware), 00:16:3E (Xen) o 08:00:27 (VirtualBox). Otras, como 52:54:00 que QEMU/KVM usa por defecto, son locally administered. En ese segundo caso la herramienta debe mostrar LAA/unknown, no inventar fabricante.

La política de la herramienta es preferir un “desconocido” honesto antes que inventar fabricante: una asignación falsa rompe diagnósticos de red e investigaciones forenses. Cuando ves “unknown” o “locally administered” en el resultado, esa información es accionable: te dice exactamente por qué no hay atribución.

Cómo usar la herramienta de ToolsOps

La herramienta MAC vendor lookup acepta cualquier formato común — dos puntos, guiones, puntos, sin separadores — y normaliza la entrada antes de consultar el snapshot OUI local. Si la dirección es global, devuelve el asignatario registrado; si es LAA, multicast o broadcast, lo señala explícitamente. Todo el procesamiento ocurre en tu navegador: la MAC que pegas no sale de tu equipo.

Para situar la calculadora en su contexto de redes, el hub de herramientas de redes agrupa el lookup MAC con la calculadora CIDR y resume cuándo usar cada una.

Preguntas frecuentes

¿Una dirección MAC permite localizar geográficamente un dispositivo?: No. Una MAC identifica un interfaz de red dentro del enlace local (mismo segmento Ethernet o Wi-Fi). No viaja más allá del primer router: cuando tu paquete cruza a internet, la MAC de origen se reemplaza por la del siguiente salto. Ningún servicio puede deducir tu ciudad ni tu ISP solo a partir de una MAC.
¿Por qué a veces el vendor lookup devuelve desconocido?: Dos motivos típicos: la dirección es locally administered (LAA) y por tanto no tiene OUI registrado en IEEE — caso de 52:54:00, que QEMU/KVM usa por defecto. O corresponde a un fabricante con un OUI muy reciente que el snapshot local no contiene. Otras MACs usadas en entornos virtuales (VMware, Xen, VirtualBox) sí están globalmente asignadas, así que el lookup devuelve el vendor sin problema.
¿La MAC cambia cuando uso una VPN o un proxy?: No la MAC en sí, pero deja de ser observable más allá de tu enlace local incluso sin VPN: ya no la ven los servidores remotos. Las VPN y los proxies operan en capa 3 o superior; la MAC se mantiene tal cual entre tu dispositivo y tu primer salto (router/AP) y el cambio que aporta una VPN es ocultar la IP pública, no la MAC.
¿Es seguro confiar en el OUI para identificar el modelo exacto del aparato?: No. El OUI identifica al asignatario del bloque MAC ante IEEE; muchas marcas compran direcciones MAC a fabricantes contract manufacturers (ODM), así que el OUI puede coincidir con el ODM y no con la marca comercial visible para el usuario. Y la asignación es por bloques: un mismo OUI puede aparecer en productos muy distintos del mismo asignatario.
¿Las direcciones MAC randomizadas de iOS/Android rompen el lookup?: En la práctica sí. Los sistemas operativos modernos rotan direcciones MAC al conectarse a redes Wi-Fi nuevas como medida anti-tracking; esas MAC tienen el bit de locally administered activado y no apuntan a fabricante físico. Es un comportamiento deseado por privacidad: la herramienta lo refleja marcando la MAC como LAA en lugar de inventar un vendor.