IMEI (International Mobile Equipment Identity)

En 2023, el Ministerio del Interior registró más de 300.000 denuncias por sustracción de teléfonos móviles en España (Portal Estadístico de Criminalidad, 2024). Detrás de cada denuncia existe un dato técnico que permite rastrear el dispositivo, identificar al sospechoso y reconstruir sus movimientos: el IMEI. Este código de 15 dígitos es el único identificador universal reconocido por las 800+ operadoras asociadas a la GSMA, cuya base de datos de dispositivos bloqueados supera los 150 millones de terminales a nivel global (GSMA Device Registry, 2024). Para un perito informático forense, el IMEI es una pieza de evidencia crítica que conecta hardware, operadora y ubicación en una línea temporal verificable judicialmente.

Definición técnica

El IMEI (International Mobile Equipment Identity) es un identificador numérico único asignado a cada dispositivo de telecomunicaciones móviles que utiliza redes GSM, UMTS o LTE. Definido por el estándar ETSI TS 123.003, el IMEI garantiza que cada terminal puede ser identificado de forma inequívoca en cualquier red del mundo, independientemente de la tarjeta SIM insertada.

Estructura del IMEI (15 dígitos)

IMEI: 35 391110 765088 2
      ── ────── ────── ─
      │    │      │    └─ Check Digit (dígito de control Luhn)
      │    │      └────── SNR (Serial Number) - 6 dígitos
      │    └───────────── TAC (Type Allocation Code) - 6 dígitos
      └────────────────── RBI (Reporting Body Identifier) - 2 dígitos

Componentes detallados:

• TAC (Type Allocation Code): Los primeros 8 dígitos identifican el fabricante y modelo exacto del dispositivo. Asignados por la GSMA, permiten determinar si un terminal es un Samsung Galaxy S24, un iPhone 15 Pro o cualquier otro modelo registrado
• SNR (Serial Number): 6 dígitos que identifican de forma única cada unidad fabricada dentro de un mismo modelo
• Check Digit: Dígito de verificación calculado mediante el algoritmo de Luhn, que permite detectar errores de transcripción

IMEISV (16 dígitos)

El IMEISV (IMEI Software Version) es una variante de 16 dígitos que sustituye el check digit por un campo SVN (Software Version Number) de 2 dígitos. Este campo identifica la versión del firmware instalado en el dispositivo, lo que resulta relevante en análisis forense para determinar si el software ha sido modificado.

Dispositivos dual SIM

Los smartphones con capacidad dual SIM poseen dos IMEI independientes, uno por cada slot de tarjeta SIM o eSIM. En contexto forense, ambos IMEI deben documentarse, ya que cada uno genera registros separados en las redes de las operadoras.

Dónde se almacena el IMEI

• Partición EFS (Encrypted File System): En dispositivos Android, el IMEI se almacena en una partición protegida del almacenamiento interno que no se borra con un factory reset convencional
• Baseband processor: El procesador de banda base (modem) mantiene una copia del IMEI en su firmware, independiente del sistema operativo principal
• Etiqueta física: Impreso en la bandeja SIM o en una pegatina bajo la batería (en modelos antiguos)

Cómo obtener el IMEI

IMEI en investigaciones forenses

El IMEI es una pieza angular en múltiples líneas de investigación forense digital. Su valor probatorio radica en que vincula un dispositivo físico con registros de red generados por las operadoras de telecomunicaciones.

Triangulación y registros de celdas

Cada vez que un dispositivo móvil se conecta a una estación base (BTS), la operadora registra el IMEI junto con el identificador de celda (Cell ID), la fecha y la hora. Este registro permite:

• Ubicar un dispositivo en una zona geográfica concreta en un momento determinado
• Reconstruir rutas de desplazamiento mediante la secuencia de celdas a las que se conectó el terminal
• Establecer co-localización entre dos dispositivos (por ejemplo, víctima y sospechoso) que se conectaron a la misma celda en el mismo intervalo temporal

Identificación del dispositivo en casos penales

En investigaciones criminales, el IMEI permite:

• Vincular un terminal a múltiples tarjetas SIM: Si un sospechoso cambia de SIM, el IMEI permanece constante en los registros de la operadora, revelando todas las líneas telefónicas utilizadas con ese dispositivo
• Identificar dispositivos robados: Cruzando el IMEI denunciado con los registros de red, las fuerzas de seguridad pueden determinar qué SIM se insertó tras el robo y en qué celdas se utilizó
• Asociar dispositivos a personas: A través de la vinculación IMEI-IMSI (identidad del abonado en la SIM), se establece la cadena dispositivo-línea-titular

Detección de clonación y spoofing de IMEI

En ciertos escenarios delictivos, los criminales intentan alterar el IMEI para evitar el rastreo. La detección forense de estas manipulaciones incluye:

• Duplicados en red: Dos dispositivos transmitiendo el mismo IMEI generan conflictos de registro que las operadoras pueden detectar
• Discrepancias TAC-modelo: Un IMEI cuyo TAC corresponde a un iPhone pero se asocia a tráfico de datos Android indica manipulación
• Inconsistencia baseband-software: El IMEI almacenado en el baseband processor puede diferir del reportado por el sistema operativo si ha sido alterado por software

Análisis forense del IMEI

El perito informático forense utiliza múltiples técnicas para extraer, verificar y analizar el IMEI como elemento probatorio.

Extracción del IMEI desde el dispositivo

Extracción lógica (dispositivo operativo):

# Android vía ADB
adb shell service call iphonesubinfo 1
# Alternativa directa
adb shell getprop persist.radio.device.imei

# Lectura partición EFS (requiere root)
adb shell cat /efs/FactoryApp/serial_no

Extracción física (imagen forense):

En una imagen forense obtenida mediante herramientas como Cellebrite UFED o JTAG, el IMEI puede localizarse en:

• Partición EFS: /efs/imei/mps_code.dat (Samsung)
• Base de datos del modem: Dentro del firmware del baseband processor
• Registros NV (Non-Volatile): Almacenados en la memoria NVRAM del chipset Qualcomm/MediaTek

Consulta en base de datos TAC

El TAC (primeros 8 dígitos) permite identificar fabricante y modelo consultando bases de datos públicas y de acceso restringido:

• GSMA TAC Database: Base oficial mantenida por la GSMA, accesible para operadoras y fuerzas de seguridad
• Bases públicas: Servicios como imei.info o numberingplans.com ofrecen consultas TAC limitadas

Cruce con registros CDR de operadoras

El análisis forense más valioso del IMEI surge al cruzarlo con los CDR (Call Detail Records) de las operadoras. Este cruce permite:

• Identificar todas las tarjetas SIM que se han utilizado con un dispositivo concreto
• Reconstruir una línea temporal de uso del dispositivo (llamadas, SMS, datos)
• Determinar celdas de cobertura donde se encontraba el dispositivo en fechas concretas
• Detectar cambios de SIM sospechosos (por ejemplo, tras un robo)

IMEI y registros de operadoras (CDR)

Los registros CDR son la fuente de datos más relevante para la investigación forense basada en IMEI. En España, las tres grandes operadoras (Movistar, Vodafone y Orange) registran el IMEI en cada evento de red.

Datos registrados por las operadoras

Cada CDR contiene, entre otros campos:

Obtención mediante orden judicial

En España, el acceso a los registros CDR requiere autorización judicial conforme al artículo 588 ter j de la Ley de Enjuiciamiento Criminal (LECrim), que regula el acceso a datos de tráfico de comunicaciones electrónicas:

• Quién puede solicitarlo: Juez de instrucción, a instancia del Ministerio Fiscal o de las partes
• Requisitos: Indicios racionales de delito, necesidad y proporcionalidad de la medida
• Alcance: La orden puede solicitar datos de un IMEI concreto, una línea telefónica o un rango temporal
• Plazo de respuesta: Las operadoras disponen de un plazo razonable (habitualmente 10-15 días hábiles)

Plazos de conservación

La Ley 25/2007, de 18 de octubre (que transpone la Directiva 2006/24/CE) establece:

• Datos de tráfico y localización: Conservación mínima de 12 meses
• Datos de abonado: Mientras dure la relación contractual + 12 meses adicionales
• Acceso exclusivo: Solo mediante autorización judicial motivada

Es importante destacar que, aunque el Tribunal de Justicia de la Unión Europea declaró inválida la Directiva 2006/24/CE en 2014 (asunto Digital Rights Ireland), la Ley 25/2007 sigue vigente en España y las operadoras continúan conservando los datos conforme a sus disposiciones.

Manipulación de IMEI: clonación y cambio

La alteración del IMEI es una práctica delictiva que busca impedir el rastreo de dispositivos robados o utilizados en actividades ilícitas.

Tipificación penal en España

El artículo 286 del Código Penal castiga con pena de prisión de 6 meses a 2 años y multa de 6 a 24 meses a quien, sin autorización del prestador del servicio:

“Facilite el acceso inteligible a un servicio de radiodifusión sonora o televisiva, a servicios interactivos prestados a distancia por vía electrónica, o suministre el acceso condicional a los mismos, considerado como actividad independiente […]”

En la práctica judicial, la manipulación de IMEI se ha perseguido también bajo los artículos relativos a receptación (art. 298 CP) cuando se vincula a dispositivos robados, y bajo falsedad documental cuando el IMEI alterado se utiliza para suplantar la identidad de un terminal.

Métodos técnicos de cambio de IMEI

Nota: Esta información se incluye exclusivamente con fines educativos y forenses. La alteración de IMEI es un delito en España.

• Software (box tools): Herramientas como Sigma Box o Octopus Box permiten reescribir la partición EFS en dispositivos con chipsets vulnerables
• AT Commands: En algunos modelos, comandos AT enviados al baseband processor mediante conexión serial pueden modificar el IMEI
• Flasheo de firmware: Modificar el firmware del modem para alterar el IMEI almacenado en NVRAM

Detección forense de IMEI alterado

El perito informático puede detectar un IMEI manipulado mediante:

1. Comparación baseband vs. software: El IMEI reportado por el sistema operativo (*#06#) puede diferir del almacenado en la partición EFS o en el baseband processor. Esta discrepancia es prueba directa de manipulación
2. Verificación TAC: Si el TAC no corresponde al fabricante y modelo físico del dispositivo, el IMEI ha sido alterado
3. Algoritmo de Luhn: Un check digit que no valida según el algoritmo de Luhn indica un IMEI fabricado incorrectamente
4. Registros de operadora: Un IMEI que aparece simultáneamente en dos celdas distintas evidencia clonación
5. Análisis JTAG/chip-off: En extracciones físicas de bajo nivel, se puede leer el IMEI original grabado en fábrica directamente del chip de memoria

Caso práctico: robo de terminal e identificación del sospechoso

Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de investigación forense. No representa un caso específico real. Los datos técnicos han sido modificados para proteger la confidencialidad.

Contexto: La víctima denunció el robo de un smartphone durante un tirón en la vía pública. La policía solicitó al perito informático forense el análisis de los registros CDR asociados al IMEI del dispositivo sustraído.

Proceso de investigación:

Resultado: El análisis CDR basado en IMEI permitió la recuperación del dispositivo en 5 días y la identificación del sospechoso. La evidencia del cruce IMEI-SIM-Cell ID fue admitida como prueba en el procedimiento penal.

Marco legal en España

Normativa aplicable

El IMEI como dato personal

La Agencia Española de Protección de Datos (AEPD) ha dictaminado en diversas resoluciones que el IMEI constituye un dato personal cuando es posible vincularlo a una persona física identificada o identificable (Informe jurídico 0090/2010). Esta consideración implica que su tratamiento está sujeto al RGPD y a la LOPDGDD.

Requisitos para la admisibilidad judicial del IMEI como prueba

• La obtención de registros CDR con IMEI debe estar amparada por autorización judicial
• El perito debe documentar la cadena de custodia del IMEI: cómo se obtuvo, de qué fuente y qué verificaciones se realizaron
• La integridad de los datos debe garantizarse mediante hashes criptográficos
• El informe pericial debe explicar la metodología de forma comprensible para el tribunal

Preguntas frecuentes

¿Se puede detectar un IMEI que ha sido modificado?

Sí. Un perito informático forense puede detectar la manipulación del IMEI comparando el valor reportado por el sistema operativo con el almacenado en la partición EFS y en el baseband processor. Si existen discrepancias, el IMEI ha sido alterado. Además, la verificación del TAC contra el modelo físico del dispositivo y la validación del dígito de control mediante el algoritmo de Luhn revelan IMEI fabricados o modificados incorrectamente.

¿Cuánto tiempo conservan las operadoras los registros con el IMEI?

Según la Ley 25/2007, las operadoras españolas están obligadas a conservar los datos de tráfico de comunicaciones electrónicas, incluido el IMEI, durante un periodo mínimo de 12 meses desde la fecha de cada comunicación. Transcurrido este plazo, los datos pueden ser eliminados. Por ello, en investigaciones penales es fundamental solicitar la conservación cautelar de los datos lo antes posible.

¿Puede el IMEI demostrar que alguien estaba en un lugar concreto?

El IMEI, cruzado con los registros CDR de las operadoras, permite demostrar que un dispositivo concreto se encontraba en el radio de cobertura de una celda de telecomunicaciones en un momento determinado. Sin embargo, esto prueba la ubicación del terminal, no necesariamente de su propietario. La prueba es indiciaria y debe complementarse con otros elementos (declaraciones, videovigilancia, datos biométricos del dispositivo) para establecer que el titular estaba efectivamente en posesión del terminal.

¿El IMEI cambia si hago un factory reset al teléfono?

No. El IMEI está grabado en la partición EFS y en el firmware del baseband processor, que no se ven afectados por un restablecimiento de fábrica convencional. El factory reset borra los datos del usuario (aplicaciones, fotos, configuraciones), pero el IMEI permanece intacto. Solo herramientas especializadas de nivel bajo pueden alterar el IMEI, y hacerlo constituye un delito.

¿Los dispositivos con eSIM también tienen IMEI?

Sí. Cada slot de conectividad (ya sea SIM física o eSIM) tiene su propio IMEI asignado de fábrica. Un smartphone con una SIM física y una eSIM tendrá dos IMEI independientes, ambos registrados en los CDR de la operadora cuando se utiliza cada línea.

Referencias y fuentes

1. GSMA - “IMEI Allocation and Approval Guidelines”, GSMA TS.06, 2024. gsma.com/aboutus/workinggroups/terminal-steering-group/imei-allocation-guidelines

2. ETSI - “TS 123.003: Numbering, addressing and identification (3GPP TS 23.003)”, European Telecommunications Standards Institute, 2023. etsi.org/deliver/etsi_ts/123000_123099/123003

3. Ministerio del Interior - “Portal Estadístico de Criminalidad: Balance de Criminalidad 2023”, Gobierno de España, 2024. estadisticasdecriminalidad.ses.mir.es

4. GSMA - “Device Check / IMEI Database”, GSMA Device Registry. imeidb.gsma.com

5. BOE - “Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”, Boletín Oficial del Estado. boe.es/buscar/act.php?id=BOE-A-2007-18243

6. BOE - “Ley de Enjuiciamiento Criminal, artículos 588 ter a - 588 ter m”, Boletín Oficial del Estado. boe.es/buscar/act.php?id=BOE-A-1882-6036

7. Europol - “Mobile Forensics: Advanced Investigative Strategies”, Europol EC3 Cyber Intelligence Team, 2023. europol.europa.eu/publications-events

8. NIST - “SP 800-101 Rev. 1: Guidelines on Mobile Device Forensics”, National Institute of Standards and Technology, 2014. nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf

9. AEPD - “Informe Jurídico 0090/2010: El IMEI como dato de carácter personal”, Agencia Española de Protección de Datos. aepd.es/informes-y-resoluciones

10. INCIBE - “Guía sobre seguridad y privacidad en dispositivos móviles”, Instituto Nacional de Ciberseguridad de España, 2024. incibe.es/ciudadania/herramientas/guias

11. Código Penal - “Artículos 286 y 298, Ley Orgánica 10/1995”, Boletín Oficial del Estado. boe.es/buscar/act.php?id=BOE-A-1995-25444

12. TJUE - “Asunto C-293/12 y C-594/12 (Digital Rights Ireland): Invalidez Directiva 2006/24/CE”, Tribunal de Justicia de la Unión Europea, 2014. curia.europa.eu/juris/liste.jsf?num=C-293/12

Última actualización: 10 de febrero de 2026 Categoría: Técnico Relevancia forense: ALTA (identificación dispositivos, rastreo, prueba judicial CDR)