IPv6 no es inseguro por no tener NAT

 (johnmaguire.me)
4 puntos por GN⁺ 2026-01-22 | 1 comentarios | Compartir por WhatsApp
  • La afirmación de que IPv4 es más seguro porque usa NAT por defecto surge de confundir la seguridad con la traducción de direcciones
  • NAT (Network Address Translation) no es una función de seguridad, sino un mecanismo de ahorro de direcciones para resolver la escasez de direcciones IPv4
  • El funcionamiento de NAT se basa simplemente en el mapeo de puertos para que varios dispositivos compartan una sola IP pública
  • En realidad, quien bloquea el tráfico externo no es NAT, sino un firewall con estado (stateful firewall)
  • Incluso en entornos IPv6, por defecto el firewall bloquea el tráfico no autorizado, por lo que la ausencia de NAT no implica una menor seguridad

La confusión entre NAT y seguridad

  • La afirmación de que IPv4 es más seguro porque usa NAT es una idea equivocada
    • NAT no es una función de seguridad, sino una tecnología para la conservación de direcciones (address conservation)
    • En IPv6 también se puede usar NAT, pero eso no refuerza la seguridad
  • NAT permite que varios dispositivos de la red interna compartan una sola dirección IP pública
    • Realiza el enrutamiento reescribiendo (rewrite) la IP de destino según el puerto de destino del paquete
    • Funciona según reglas de mapeo de puertos (port mapping) o reenvío de puertos (port forwarding) configuradas por el administrador de red

Cómo funciona realmente NAT

  • En un entorno con NAT, el tráfico entrante desde el exterior no se entrega a los dispositivos internos si tiene un puerto de destino inesperado
    • Ese tráfico se queda en el dispositivo con IP pública y no se enruta hacia la red interna
  • Por eso puede parecer que NAT bloquea el acceso externo, pero eso es solo un resultado secundario y no un objetivo de diseño de seguridad

El papel del firewall

  • El efecto de seguridad que muchas veces se atribuye a NAT en realidad proviene de un firewall con estado (stateful firewall)
    • La mayoría de los routers modernos incluyen por defecto políticas de firewall que bloquean el tráfico entrante, independientemente de si usan NAT o no
    • El firewall descarta (drop) el tráfico con destino inesperado antes de reescribir paquetes o enrutarlos
  • Como ejemplo, las reglas predeterminadas del firewall IPv6 de un router UniFi son las siguientes
    • Permitir tráfico Established/Related (tráfico de respuesta saliente)
    • Bloquear tráfico Invalid
    • Bloquear todo el resto del tráfico

Seguridad en entornos IPv6

  • Incluso en redes IPv6, las reglas predeterminadas del firewall bloquean el tráfico entrante no autorizado
    • Se aplica el mismo nivel de protección aunque no se use NAT
  • Para permitir desde el exterior tráfico no solicitado hacia un dispositivo IPv6, es necesario agregar explícitamente reglas de firewall
    • Esto se aplica igual, independientemente de si se usa NAT o no

Conclusión

  • No tiene fundamento afirmar que IPv6 es menos seguro por no usar NAT
  • La seguridad real la determinan no NAT, sino las políticas de firewall y las reglas de control de tráfico
  • Incluso en entornos IPv6, con una configuración adecuada del firewall se puede mantener una estrategia de seguridad de denegación por defecto (default-deny)

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-22
Comentarios de Hacker News

  • Recomiendan revisar la sección 5 del RFC 4787 antes de participar en la discusión
    Aunque NAT no es un firewall, sí filtra tráfico y por eso ofrece cierto nivel de función de seguridad
    En la práctica, NAT ha evolucionado más allá de la simple traducción de direcciones, y aunque IPv6 no use NAT, puede implementar el mismo filtrado con un firewall

    • El RFC 4787 no es lo mismo que las implementaciones reales. La mayoría de los routers SOHO están basados en Linux, así que es más realista discutir el comportamiento de NAT basado en netfilter
      Linux netfilter implementa tanto NAT como firewall; las reglas DNAT/SNAT de la tabla nat hacen NAT, y las reglas REJECT/DROP de la tabla filter actúan como firewall
      Si solo se aplican reglas de NAT, el tráfico que no pertenece a conexiones existentes también pasa sin problema
    • Esa sección del RFC 4787 habla de conexiones salientes
      Trata sobre cómo NAT crea una tabla de estado al establecer conexiones hacia afuera y permite los paquetes entrantes correspondientes
      Es decir, el “filtering” de este documento no se refiere a conexiones entrantes no solicitadas
    • IPv6 no es menos seguro por no tener NAT, pero los valores predeterminados (defaults) importan
      IPv6 puede ser tan seguro como IPv4, pero depende de la configuración
    • En 30 años de experiencia en TI, los entornos con NAT fomentan un diseño perezoso
      Que los ingenieros de sistemas y aplicaciones dependan de NAT y del firewall perimetral sin entender el problema de forma integral es un mal hábito de seguridad
    • Un RFC no siempre es una referencia absoluta
      Sobre todo mientras más se aleja de las implementaciones reales, la confiabilidad del RFC disminuye

  • En las redes móviles de EE. UU. se usan direcciones IPv6 sin NAT
    Por ejemplo, T-Mobile usa 464XLAT para tunelar IPv4 sobre IPv6
    Eso demuestra que pueden operarse firewalls con estado a gran escala sin NAT

    • En la red de Elisa en Finlandia, las conexiones TCP entrantes por IPv6 funcionan bien
      Lo probaron con Termux y netcat; IPv4 estaba detrás de CGNAT, pero IPv6 permitía conexión directa
    • Hay curiosidad por saber “por qué no se permite que los smartphones funcionen como servidores”
    • Consideran que poder ofrecer datos directamente desde un dispositivo personal es un derecho natural
      Si la capacidad de red no alcanza, entonces eso debería resolverse
      Si IPv6 se generaliza, la comunicación directa entre personas se volverá algo normal
    • Se preguntan si al usar hotspot la PC cliente recibe la misma dirección IPv6
    • Los dispositivos móviles están limitados por un entorno de sandbox

  • Como ingeniero de redes, una de las primeras cosas que aprendieron fue la relación entre NAT y seguridad
    Las direcciones privadas (192.168.0.1) de IPv4 son difíciles de alcanzar desde afuera, pero las direcciones globales de IPv6 pueden exponer información del dispositivo
    IPv6 tiene alternativas como Prefix Translation, que permiten conservar parte de las ventajas de NAT y al mismo tiempo mantener acceso transparente

    • Comparar las direcciones privadas de IPv4 con las globales de IPv6 no es justo
      Para una comparación justa, ambas deben alinearse como direcciones internas o externas
      En un entorno con CGNAT las conexiones entrantes no son posibles, así que en IPv6 puede limitarse del mismo modo
    • Aunque se filtre una dirección interna, el verdadero punto de ataque es el firewall perimetral de Internet
      Se puede ocultar el prefijo con NAT66, pero el beneficio real de seguridad no es muy grande
    • 192.168.0.1 era demasiado fácil de alcanzar (en tono de broma)
    • NAT66 es un “mal necesario”, pero en algunas situaciones puede ser la mejor opción

  • Muchos hackers confunden NAT con firewall
    NAT no existe para seguridad; la seguridad la aporta el firewall

    • Entienden la diferencia entre NAT y firewall, pero en la práctica ambos funcionan juntos
      NAT es namespacing y el firewall es seguridad basada en políticas
      El namespacing en sí también tiene una fuerte propiedad de seguridad, al hacer que un atacante ni siquiera “conozca el nombre” de los recursos
      Un firewall IPv6 puede exponer algo al mundo entero por una sola regla mal puesta
    • NAT bloquea el acceso externo, así que tiene un efecto de seguridad práctico
      Incluso sin firewall, NAT por sí solo puede proteger recursos internos
      NAT reduce la superficie de ataque de una red doméstica a un solo router
    • NAT ofrece como predeterminado el comportamiento que la mayoría de usuarios quiere
      En cambio, el firewall puede tener configuraciones por defecto distintas, por lo que IPv6 puede sentirse como un retroceso de seguridad para usuarios comunes
    • El NAT de consumo funciona en la práctica igual que un firewall de denegación por defecto
      Decir que UPnP rompe la seguridad de NAT es como decir que PCP rompe la del firewall
    • El NAT simétrico o el CGNAT no son firewalls, pero en la práctica producen un efecto parecido

  • Sobre la afirmación de que la característica de bloqueo por defecto de NAT es una ventaja de seguridad de IPv4
    Las reglas de bloqueo por defecto de IPv6 ofrecen el mismo nivel de seguridad, así que no hay una diferencia estructural de seguridad

    • El concepto de “seguridad inherente” no tiene sentido
      El NAT de IPv4 y las reglas de bloqueo por defecto de IPv6 mantienen las mismas condiciones invariantes
      Ambos pueden volverse igual de vulnerables si se configuran mal

  • Al confiarse por tener NAT, alguien sufrió el hackeo de un SBC por no configurar el firewall de IPv6
    La causa no fue NAT, sino un error de configuración en IPv6

    • Como el espacio de direcciones IPv6 es tan grande que no se puede escanear completo, se preguntan cómo el atacante descubrió la dirección
    • Fue un error bastante vergonzoso

  • NAT también causa problemas de seguridad
    Puede generar ataques de reflexión o dificultar el rastreo por la separación entre dirección y endpoint
    En el pasado hubo un caso de AOL compartiendo pocas direcciones de salida, lo que complicaba bloquear a ciertos usuarios

    • Según RFC 1631, NAT “reduce las opciones para ofrecer seguridad”
      Pero con el tiempo NAT terminó tratándose como una especie de culto cargo de seguridad

  • El efecto de NAT cambia según la configuración del ISP y del router
    NAT no fue diseñado como función de seguridad, pero sí aporta un efecto de seguridad incidental
    En IPv6, si cada dispositivo recibe su propia dirección directa, se necesita un firewall de bloqueo por defecto

    • La mayoría de routers aplica bloqueo por defecto también en IPv6, pero funciones de reenvío automático de puertos como UPnP pueden anularlo
      Enlace a la especificación de UPnP
    • En IPv6, el bloqueo de tráfico entrante funciona igual que en IPv4
    • Si al desactivar NAT sigue siendo imposible acceder, la causa puede ser la configuración de enrutamiento, no NAT en sí
    • Es raro usar NAT en IPv6; hacer NAT con direcciones fc00::/7 es un caso poco común
    • Que un ISP entregue solo una dirección IPv6 es una configuración anormal. Debería ofrecer al menos un /56

  • Sobre decir que quien afirma que NAT es la base de la seguridad no entiende bien las redes

    • Responden que “eso es una generalización excesiva”; NAT no puede ser seguridad por sí mismo, pero tampoco hay que ignorarlo por completo
    • Dice ser especialista en IPv6 y tener experiencia operándolo desde 2008
      Comparte un caso de entonces en el que un servidor SIP falló por acumulación de direcciones de privacidad
      La discusión relacionada sigue vigente en este hilo de Reddit sobre VOIP

  • Sobre la afirmación de que NAT no descarta tráfico entrante
    NAT solo realiza traducción de direcciones y no descarta paquetes

    • Pero según la configuración del router, a menudo se bloquea explícitamente el tráfico que entra por la interfaz de egreso
    • Aunque NAT no descarte paquetes, si la IP de destino es la del propio router, al final no se enruta
      Dice que modificó el texto para reflejar este comentario