Qué son las direcciones IP privadas y NAT
Cuando miras la configuración de red en un smartphone o PC, puede aparecer una dirección IP.
Sin embargo, esa dirección IP no necesariamente es la misma que pueden ver los sitios web.
En redes domésticas y de trabajo, a los dispositivos se les suelen asignar direcciones IP para la red interna. Luego, cuando se comunican con internet, el router usa un mecanismo llamado NAT para asociar la comunicación interna con la comunicación externa.
Este artículo ordena el punto de que "la dirección IP mostrada en el dispositivo" y "la dirección IP visible para un sitio web" pueden ser distintas.
Las direcciones IP tienen un alcance visible
Una dirección IP no necesariamente se ve del mismo modo desde todas partes.
La dirección IP mostrada en un smartphone o PC dentro de una casa se usa en la red doméstica. En cambio, la dirección IP visible para un sitio web es la dirección IP de origen vista desde el lado de internet.
Estas dos pueden coincidir, pero en Wi-Fi doméstico y redes de trabajo a menudo no coinciden.
Por ejemplo, aunque tu PC de casa muestre 192.168.1.10, eso no significa necesariamente que un sitio web vea 192.168.1.10. Normalmente, un sitio web externo ve la dirección IP externa usada por el router o por la línea de acceso.
Qué es una dirección IP privada
Una dirección IP privada es una dirección IP reservada para usarse en redes internas como casas, lugares de trabajo y redes de organizaciones.
Los rangos típicos de direcciones IPv4 privadas son los siguientes.
| Rango | Notación | Ejemplo común |
|---|---|---|
| 10.0.0.0 a 10.255.255.255 | 10.0.0.0/8 | 10.0.0.5 |
| 172.16.0.0 a 172.31.255.255 | 172.16.0.0/12 | 172.16.1.20 |
| 192.168.0.0 a 192.168.255.255 | 192.168.0.0/16 | 192.168.1.10 |
Los routers domésticos suelen usar direcciones IP como 192.168.0.x o 192.168.1.x.
Estas direcciones IP privadas se usan para identificar dispositivos dentro de una casa o un lugar de trabajo. Sin embargo, normalmente no se usan tal cual como destinos en internet.
En otras palabras, aunque haya un dispositivo con la dirección IP 192.168.1.10 en tu casa, alguien desde otro lugar de internet no puede simplemente especificar 192.168.1.10 y acceder directamente a ese dispositivo. Direcciones IP privadas similares se reutilizan en casas y lugares de trabajo de todo el mundo.
Qué es una dirección IP global
Una dirección IP global es una dirección IP usada en internet.
Los dispositivos y líneas que se comunican en internet, como sitios web, servidores de correo y servidores DNS, usan direcciones IP que pueden identificarse desde fuera.
En una red doméstica, aunque smartphones, PC, tabletas, consolas de videojuegos y dispositivos similares tengan cada uno direcciones IP privadas, los sitios web externos pueden verlos como accesos desde la misma dirección IP global.
Esto se debe a que los dispositivos no salen directamente a internet, sino que se comunican a través de un router.
Diferencia entre la IP mostrada en un dispositivo y la IP visible para un sitio web
Supón que a un PC dentro de casa se le asigna la siguiente dirección IP.
192.168.1.10
Esta es la dirección IP del PC en la red doméstica.
Cuando este PC accede a un sitio web, lo que el sitio web ve normalmente no es 192.168.1.10. En muchos casos, lo que el sitio web ve es la dirección IP externa del lado del router o de la línea de acceso.
| Dónde miras | Dirección IP visible | Significado |
|---|---|---|
| Configuración de red en un PC o smartphone | 192.168.1.10, etc. | La IP del dispositivo en la red doméstica |
| Interior del router | 192.168.1.x, etc. | IP usada para gestionar dispositivos dentro de casa |
| Exterior del router o de la línea de acceso | IP global, etc. | IP usada para comunicarse con el lado de internet |
| Lado del sitio web | IP externa | IP que probablemente se registre como origen del acceso |
El punto importante aquí es que las direcciones IP incluyen una "IP vista desde dentro" y una "IP vista desde fuera".
Mirar solo la dirección IP mostrada en el dispositivo no basta para juzgar cómo apareces ante un sitio web.
Qué es NAT
NAT significa Network Address Translation. Es un mecanismo para traducir direcciones de red.
En una red doméstica, los dispositivos internos reciben direcciones IP privadas. Pero cuando salen a internet, el router se comunica usando una dirección IP externa.
En ese momento, el router traduce la comunicación que salió del dispositivo interno a comunicación externa, y devuelve la respuesta que vuelve al dispositivo correcto.
Por ejemplo, supón que dentro de una casa existen los siguientes dispositivos.
| Dispositivo | IP privada dentro de casa | IP que probablemente ve un sitio web |
|---|---|---|
| PC | 192.168.1.10 | IP externa |
| Smartphone | 192.168.1.11 | IP externa |
| Tableta | 192.168.1.12 | IP externa |
Dentro de casa, el PC, el smartphone y la tableta tienen direcciones IP privadas distintas.
Pero desde la perspectiva de un sitio web externo, esos dispositivos pueden parecer accesos desde la misma IP externa.
NAT gestiona una tabla de correspondencias de comunicación
Con NAT, el router asocia dispositivos internos con comunicación externa.
Por ejemplo, cuando un PC accede a un sitio web, el router gestiona esa comunicación como "esta comunicación empezó desde el PC en 192.168.1.10". Luego devuelve la respuesta del sitio web al PC correcto.
Si un smartphone accede a otro sitio web, el router lo gestiona como una comunicación separada.
En el NAT usado habitualmente por routers domésticos, la correspondencia suele incluir no solo direcciones IP, sino también números de puerto TCP o UDP.
Esto permite que el router distinga "qué respuesta debe devolverse a qué dispositivo" incluso cuando varios dispositivos usan la misma IP externa.
En sentido estricto, este mecanismo que asocia varias direcciones IP internas a una dirección IP externa y varios números de puerto puede llamarse NAPT o PAT. Sin embargo, en explicaciones cotidianas, esto también suele agruparse bajo NAT.
Varios dispositivos pueden compartir una IP externa
Con NAT, varios dispositivos dentro de una casa pueden compartir una IP externa para acceder a internet.
Por ejemplo, aunque un PC y un smartphone conectados al mismo Wi-Fi accedan cada uno a sitios web distintos, desde el lado del sitio web pueden parecer comunicaciones desde la misma IP externa.
Con este mecanismo, todos los dispositivos dentro de una casa pueden usar internet sin que cada uno tenga su propia dirección IP global.
Como IPv4 tiene un número limitado de direcciones disponibles, las direcciones IP privadas y NAT se usan ampliamente en redes domésticas y redes de organizaciones.
Desde fuera no necesariamente se puede entrar directamente a dispositivos domésticos
En un entorno que usa NAT, los dispositivos internos de casa pueden iniciar comunicación hacia el exterior.
En cambio, iniciar comunicación directa desde el exterior hacia un dispositivo dentro de casa normalmente no puede hacerse tal cual.
La razón es que el router no tiene una correspondencia que diga "a qué dispositivo interno debe entregarse esta comunicación que llegó desde fuera".
Sin embargo, esto no significa "completamente seguro". El riesgo cambia según la configuración del router, la configuración del dispositivo, las aplicaciones usadas, vulnerabilidades, estado de inicio de sesión y factores similares.
NAT puede hacer que, como resultado, sea más difícil que pase comunicación desde fuera, pero su propósito original no es la anonimización ni la defensa en sí. Su propósito es asociar comunicación interna y externa.
NAT no es tecnología de anonimización
Con NAT, la dirección IP privada de un dispositivo doméstico puede no ser visible directamente para un sitio web externo.
Sin embargo, NAT no es tecnología de anonimización.
El rol principal de NAT es asociar direcciones IP privadas internas con comunicación externa. No es un mecanismo para ocultar la identidad.
Los sitios web y servicios pueden conservar la dirección IP externa, hora de acceso, información del navegador, información del sistema operativo, cookies, información de inicio de sesión, información de cuenta y datos similares.
Además, aunque se comparta la misma IP externa, el lado del servicio puede distinguir dispositivos o personas usuarias mediante cookies, estado de inicio de sesión e información similar.
Por eso, "la IP privada no es directamente visible para el sitio web" y "puedes comunicarte de forma anónima" son asuntos separados.
La conversión también puede ocurrir del lado del proveedor de acceso
El lado externo de un router doméstico no siempre recibe una IP global dedicada a esa persona usuaria.
También puede realizarse NAT más arriba, del lado del proveedor de acceso. En este caso, la IP externa mostrada en la pantalla de administración del router doméstico puede no coincidir con la IP visible para un sitio web.
Este mecanismo se llama CGNAT.
Sin embargo, el punto importante que hay que conservar aquí es simple.
La IP mostrada en el dispositivo, la IP externa del router y la IP visible para un sitio web no siempre son iguales.
Resumen
A los dispositivos en casas y lugares de trabajo se les pueden asignar direcciones IP privadas.
Las direcciones IP privadas se usan para identificar dispositivos dentro de redes domésticas y de trabajo. Los rangos típicos incluyen 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16.
En cambio, lo que ven servicios externos como sitios web suele no ser la IP privada del dispositivo, sino la IP externa del lado del router o de la línea de acceso.
NAT es un mecanismo que asocia dispositivos internos con comunicación externa. En routers domésticos, a menudo asocia no solo direcciones IP sino también números de puerto para que varios dispositivos puedan compartir una IP externa.
Sin embargo, NAT no es tecnología de anonimización.
Las distinciones importantes son las siguientes.
| Elemento | Significado | Precaución |
|---|---|---|
| IP privada | IP usada dentro de casas y lugares de trabajo | Normalmente no es visible directamente para sitios web |
| IP global | IP usada en internet | A menudo es visible para sitios web como origen del acceso |
| NAT | Mecanismo para asociar comunicación interna y externa | No es un mecanismo de anonimización |
| NAPT/PAT | Mecanismo para distinguir comunicación de varios dispositivos usando direcciones IP y números de puerto | Se usa habitualmente en routers domésticos |
La dirección IP mostrada en un dispositivo y la dirección IP visible para un sitio web pueden ser distintas.
Entender esta diferencia facilita ordenar con precisión cómo ven la comunicación las redes domésticas y el lado de internet.
Especificaciones de referencia
RFC 1918 - Address Allocation for Private Internets URL : https://datatracker.ietf.org/doc/html/rfc1918
RFC 3022 - Traditional IP Network Address Translator URL : https://www.rfc-editor.org/info/rfc3022/
Herramientas relacionadas
WhatIsMyIP
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.