Busca «cuál es mi IP» en tu móvil y anota el número. Ahora haz lo mismo en tu portátil ── por alguna razón, obtienes exactamente el mismo valor. Dispositivos distintos, misma dirección. Lo que trabaja detrás de ese pequeño misterio es el protagonista de hoy: NAT. Si algo de esto te suena, sigue leyendo.
- No sabes por qué todos los dispositivos de tu casa devuelven la misma «mi dirección IP»
- Un juego online te pidió «comprobar tu tipo de NAT» y te quedaste en blanco
- Intentaste montar un servidor casero o de juego y te dijeron que «hay que abrir un puerto»
- Has oído que «desde fuera nada puede llegar a tus dispositivos», pero no sabrías explicar por qué
NAT (Network Address Translation: traducción de direcciones de red) es, en una frase, la ventanilla de traducción que permite a todos los dispositivos de tu casa ── o de tu oficina ── compartir una única dirección IP global. Pero esa frase, por sí sola, no explica por qué el tráfico de fuera no puede alcanzarte, qué abre exactamente «abrir un puerto», ni qué diagnostica en realidad el «tipo de NAT» de un juego online.
Este artículo no entra en absoluto en instrucciones de configuración del router y recorre:
- Por qué existe NAT ── 4300 millones de direcciones no bastaron (§1)
- El registro de la ventanilla ── qué reescribe NAT en realidad (§2)
- Por qué nada te alcanza desde fuera ── defensa e inconveniente son dos caras de una misma estructura (§3)
- La apertura de puertos ── escribir a mano una línea permanente en el registro (§4)
- Donde NAT duele ── los «tipos de NAT» de los juegos, el NAT de operadora y los límites del registro (§5)
── tomando el camino más corto por la lógica de su funcionamiento, y nada más.
| Tu pregunta | Sección |
|---|---|
| ¿Por qué todos mis dispositivos devuelven la misma IP? | §1 |
| ¿Qué hace NAT concretamente? | §2 |
| ¿Por qué nada puede llegar a mis dispositivos desde fuera? | §3 |
| ¿Qué es realmente abrir un puerto? | §4 |
| ¿Qué comprueba el «tipo de NAT» de un juego? | §5 |
Este artículo es la segunda entrega de profundización de nuestra serie «cómo funciona tu PC en realidad» (direcciones IP, DNS, cortafuegos, por qué la red de la oficina va lenta y VPN). NAT ya ha hecho cameos en cuatro de esos artículos ── esta es la entrega en la que el secundario recurrente consigue por fin el papel protagonista.
1. Por qué existe NAT ── 4300 millones de direcciones no bastaron
1-1. Si las direcciones escasean, se comparten
Como vimos en el artículo sobre direcciones IP, IPv4 solo tiene unos 4300 millones de direcciones en total ── ni siquiera una por ser humano. En una época en la que una persona tiene móvil, portátil, televisor y consola, no alcanzan ni de lejos.
Así que se extendió por el mundo una solución provisional: cada hogar toma prestada una sola dirección válida en todo internet (una IP global) y, dentro de casa, los dispositivos usan direcciones que solo valen dentro de casa (IPs privadas). Cada dispositivo del hogar recibe una IP privada como 192.168.1.10 (repartida automáticamente por un mecanismo llamado DHCP).
1-2. El número de centralita y las extensiones
Lo que conecta estos dos pisos de direcciones es el router situado en la puerta de internet de tu casa ── o, con más precisión, el NAT que el router ejecuta entre bastidores. Piensa en la centralita telefónica de una empresa. El mundo exterior solo conoce un número; dentro, cada mesa tiene su extensión. Toda llamada saliente parece venir del número de centralita ── la IP global es la centralita, y una IP privada más un puerto es la extensión.
Una IP global, compartida por todos
Dentro de casa (IPs privadas) La dirección que ve el mundo
Móvil 192.168.1.10 ──┐
PC 192.168.1.11 ──┼─→ router ──→ 203.0.113.5 (solo una)
Consola 192.168.1.30 ──┘ (NAT = ventanilla de traducción)
= la extensión de cada mesa = el número de centralita
1-3. Por eso «mi IP» es la misma en todos los dispositivos
Eso resuelve el misterio de la introducción. Lo que la web exterior ve es la única IP global que comparte todo tu hogar. Lo consultes desde el móvil o desde el portátil, lo que vuelve es el número de centralita de la casa ── por eso el valor es el mismo.
NAT se extendió como parche para el «se nos acaban las direcciones». El parche acabó siendo el paisaje estándar de internet, y de propina generó un muro defensivo (§3) como efecto secundario ── este ascenso imprevisto es lo que hace de NAT una tecnología tan interesante.
2. El registro de la ventanilla ── qué reescribe NAT en realidad
2-1. Ida ── reescribir y anotar
Supón que tu móvil (192.168.1.10) va a visitar una web. No puede ir tal cual. Una IP privada solo vale dentro de casa, así que si el remitente sigue siendo 192.168.1.10, el mundo exterior no tiene forma de dirigir una respuesta.
Por eso NAT (la ventanilla) reescribe el remitente a la salida. No maneja solo la dirección IP, sino también el número de puerto (las «ventanillas» del 0 al 65535 que subdividen una misma dirección IP ── las extensiones, en nuestra metáfora), y anota en un registro ── la tabla NAT ── qué tráfico de qué extensión quedó asignado a qué ventanilla exterior.
2-2. Vuelta ── consultar el registro y reescribir de vuelta
La respuesta de la web llega dirigida a «la ventanilla 40001 de 203.0.113.5». La ventanilla consulta el registro a la inversa ── «la 40001 estaba asignada al puerto 51000 del móvil» ──, reescribe el destino a la IP privada y la entrega.
La tabla NAT ── anotar a la ida, consultar a la vuelta
Ida:
Móvil 192.168.1.10:51000 ──→ ventanilla ──→ 203.0.113.5:40001 ──→ web
│
└─ anotado en el registro
192.168.1.10:51000 ⇔ 203.0.113.5:40001
Vuelta:
Web ──→ 203.0.113.5:40001 ──→ ventanilla «según el registro…» ──→ 192.168.1.10:51000
Los puntos clave: una línea del registro solo se escribe cuando una conexión empieza desde dentro, y al terminar la conversación, la línea acaba borrándose. Si todos los dispositivos de la casa pueden estar online a la vez, es porque la ventanilla va asignando números distintos y repitiendo este ciclo de anotar y consultar, sin descanso.
pensar que NAT es «una función de la caja del router doméstico». NAT es en realidad la operación de este registro, y no le importa dónde ejecutarse. El punto de acceso de tu móvil al compartir datos, el equipo de salida de tu oficina y el equipamiento de la operadora que veremos después (§5) son la misma ventanilla de traducción, funcionando con el mismo principio.
3. Por qué nada te alcanza desde fuera ── defensa e inconveniente, dos caras de una estructura
3-1. Si no está en el registro, solo queda descartarlo
Hasta aquí hemos visto conexiones que empiezan desde dentro. ¿Y una conexión que empieza desde fuera ── alguien que, de pronto, se dirige a 203.0.113.5?
La ventanilla consulta el registro. Pero nadie de dentro inició esta conversación, así que no hay ninguna línea que coincida. En casa hay un móvil, un PC, una consola ── y ninguna forma de decidir qué extensión debe atender la llamada. Como una llamada a la centralita que no menciona a ningún empleado, el tráfico sin destinatario conocido solo puede descartarse.
Una conexión desde fuera no tiene línea en el registro
Alguien fuera ──→ a 203.0.113.5 ──→ ventanilla: «no está en el registro ── ni idea de para quién es» ──→ ✕ descartado
Esta única estructura tiene dos caras:
├─ la cara defensiva: nada irrumpe desde fuera (el «primer muro» del artículo del cortafuegos)
└─ la cara incómoda: tu servidor casero y los servidores de la oficina tampoco son alcanzables
(por eso existen la apertura de puertos y las VPN)
3-2. La cara defensiva ── «la fortaleza accidental»
Vista como defensa, esta propiedad de «inalcanzable» es notablemente fuerte. Es exactamente lo que el artículo del cortafuegos llamó «muro n.º 1: el router NAT» ── los ataques y escaneos indiscriminados que empiezan fuera se descartan como imposibles de entregar, estructuralmente, antes de llegar a ningún dispositivo de tu casa. Nunca se diseñó como defensa y, aun así, acaba siendo un escudo ── por eso a NAT se le llama la fortaleza accidental.
3-3. La cara incómoda ── el tráfico legítimo tampoco entra
Pero la misma estructura se convierte directamente en inconveniente. Montas un servidor de juego en casa y quieres invitar a tus amigos. Quieres llegar al servidor de archivos de la oficina desde casa. Ambas son «conexiones que empiezan desde fuera», así que se descartan exactamente igual, con o sin malicia. El registro no juzga el bien y el mal. Sin línea no hay entrega ── eso es todo.
Hay dos maneras legítimas de superar este muro. Una es una VPN ── mantener un túnel abierto desde dentro, para conservar una dirección interior estando fuera. La otra es el tema de la siguiente sección: la apertura de puertos ── escribir una excepción directamente en el registro.
Ni la defensa ni el inconveniente son algo que NAT pretendiera. Una sola estructura ── el tráfico sin línea en el registro no puede reenviarse ── actúa como escudo desde un ángulo y como muro desde el otro. Esa doble cara es lo más importante que hay que entender de NAT.
4. La apertura de puertos ── escribir a mano una línea permanente en el registro
4-1. No es «taladrar un agujero», es añadir una regla de reenvío
La apertura de puertos (también llamada reenvío de puertos o port forwarding) suena a taladrar un agujero en un muro, pero lo que ocurre en realidad es mucho más administrativo: escribes a mano, en el registro, una línea permanente que dice «todo el tráfico dirigido a esta ventanilla de la IP global se reenvía, siempre, a esta ventanilla de este dispositivo de dentro» ── y ya está.
Apertura de puertos ── una línea permanente escrita a mano
Una línea normal (se escribe sola, se borra al acabar la conversación)
192.168.1.10:51000 ⇔ 203.0.113.5:40001 ← registro de una conexión iniciada dentro
Una línea de apertura de puertos (escrita a mano, no se borra)
a 203.0.113.5:25565 ──→ reenviar siempre a 192.168.1.30:25565 (la consola)
│
└─ incluso las conexiones iniciadas fuera pasan, mientras coincidan con esta línea
Si las líneas del registro de §2 eran «registros temporales de conexiones iniciadas dentro», una línea de apertura de puertos es «un asiento reservado permanente para las conexiones que empiezan fuera». Ahora un amigo, desde internet, puede llamar al puerto 25565 de tu IP global y llegar al servidor de juego de dentro de tu casa.
4-2. Lo que hay detrás de ese puerto está, en la práctica, fuera del muro
Pero hay que entender con precisión qué significa esa línea. El tráfico hacia un puerto abierto se reenvía al dispositivo designado sin distinguir el bien del mal. Como mostró el artículo del cortafuegos, cualquier dirección IP alcanzable públicamente recibe una lluvia continua de escaneos indiscriminados. Desde el momento en que abres el puerto, ese dispositivo ya no está en la zona segura tras el muro ── está dentro del punto de mira de los escáneres.
la apertura de puertos olvidada. La línea de un servidor de juego abandonado hace tiempo sigue en el registro y, meses después, aparece una vulnerabilidad en ese dispositivo ── un accidente clásico. La regla de la apertura de puertos es «reenviar a lo mínimo posible y borrarla al terminar». Esto es también uno de los «cinco momentos en que los muros desaparecen» del artículo del cortafuegos.
Muchos routers domésticos traen UPnP (un mecanismo que permite a una aplicación pedirle al router que escriba por ella, automáticamente, una línea de apertura de puertos). Es la razón por la que las consolas y las videollamadas a menudo «funcionan sin configurar nada» ── pero dale la vuelta y significa que se están escribiendo líneas en tu registro sin que lo sepas. Conviene conocer ese intercambio.
5. Donde NAT duele ── los «tipos de NAT», el NAT de operadora y los límites del registro
5-1. El «tipo de NAT» de los juegos online ── un diagnóstico de alcanzabilidad
El «tipo de NAT» que ves en los juegos online es un diagnóstico de si dos partes que están ambas detrás de NAT pueden hablar directamente entre sí (de igual a igual, P2P), sin un servidor en medio. Tu rival está detrás de la ventanilla de su casa, y tú detrás de la tuya. Eso significa que «las conexiones desde fuera se descartan» (§3) se aplica a los dos a la vez ── y a veces ninguno consigue alcanzar al otro.
El veredicto expresa, a grandes rasgos, una escala de alcanzabilidad ── desde «las restricciones son laxas y el P2P conecta fácil» hasta «el P2P casi nunca lo logra». Los nombres (tipo A/B/C, tipo 1/2/3, abierto/moderado/estricto, etc.) son etiquetas informales de cada fabricante, no términos técnicos estándar. La forma correcta de leerlos no es el nombre sino la estructura: «¿cuánto margen deja mi ventanilla para dejar pasar, como excepción, tráfico iniciado fuera?»
5-2. El NAT de operadora (CGNAT) ── dos ventanillas de traducción
Este patrón es cada vez más común. La escasez de IPs globales es tan seria que algunas operadoras ni siquiera reparten «una por hogar» ── colocan otra capa de NAT dentro de la red de la operadora y hacen que varios abonados compartan una misma IP global. Se llama CGNAT (NAT de grado de operadora).
CGNAT ── dos ventanillas de traducción
Dispositivos ──→ router de casa ──→ NAT de la operadora ──→ internet
192.168.1.10 (ventanilla n.º 1) (ventanilla n.º 2) 203.0.113.5
(compartida con otros abonados)
Aunque configures la apertura de puertos en tu router…
fuera ──→ 203.0.113.5:25565 ──→ n.º 2: «no está en el registro» ──→ ✕ descartado aquí mismo
(no puedes escribir líneas en el registro de la n.º 2)
En esta configuración, abrir puertos en tu router de casa no te hace alcanzable desde fuera. El tráfico entrante se descarta primero en la ventanilla n.º 2 ── la de la operadora ── y ese registro vive en el equipamiento de la operadora, donde tú no puedes escribir nada. Es el culpable clásico del «mi configuración es perfecta y aun así no funciona».
5-3. Los límites del registro, y unas palabras sobre IPv6
El registro no es infinito. Tiene un número máximo de líneas y, a medida que dispositivos y conexiones a la nube se multiplican, un registro lleno significa que las conexiones nuevas no pueden abrirse y las existentes se cortan ── problemas con cero averías de hardware. Cómo ese agotamiento se manifiesta como «la red de la oficina va lenta» está ilustrado en el §5 de ¿Por qué la red de la oficina va lenta?.
Y en el mundo de IPv6, donde las direcciones abundan hasta el punto de poder dar varias a cada persona, el NAT-para-compartir se vuelve innecesario en principio. Pero el papel defensivo que «inalcanzable desde fuera» (§3) desempeñaba en silencio no desaparece con él ── un cortafuegos asume ese trabajo, explícitamente. Para la situación de direcciones IPv4/IPv6, consulta el §7 del artículo sobre direcciones IP.
Resumen ── la esencia en cuatro líneas
- NAT es la ventanilla de traducción que permite a todos compartir una IP global ── por eso cada dispositivo de la casa devuelve la misma «mi IP»: es el número de centralita
- El mecanismo central es el registro (la tabla NAT) ── las conexiones iniciadas dentro se anotan como «IP + puerto», las respuestas se reescriben con la consulta inversa, y el tráfico sin línea en el registro solo puede descartarse
- Ese «inalcanzable» es defensa (el primer muro) e inconveniente (los servidores de casa y de la oficina no se alcanzan) ── dos caras de una estructura. Las vías legítimas para superarlo son las VPN y la apertura de puertos
- Apertura de puertos = una línea permanente en el registro. Lo que queda detrás entra en el punto de mira de los escáneres, así que mínimo imprescindible. Y si sigues inalcanzable, sospecha del CGNAT (una segunda ventanilla) y del agotamiento del registro
La estructura de direcciones de dos pisos se trata en ¿Qué es una dirección IP?, la cara defensiva del muro continúa en ¿Qué pasa sin un firewall?, cruzar el muro desde dentro es ¿Qué es una VPN?, y la lentitud nacida del agotamiento del registro está en ¿Por qué la red de la oficina va lenta?. El secundario recurrente de la serie debería conectar ahora el cuadro completo.
FAQ
Q1. ¿Por qué todos los dispositivos de mi casa devuelven la misma «mi dirección IP»?
R. Porque lo que el mundo exterior ve es solo la única IP global que comparte todo tu hogar ── el número de centralita (§1). Tu móvil y tu PC tienen cada uno su IP privada dentro de casa, pero a la salida, la ventanilla (NAT) los reescribe todos al mismo número de centralita. Un sitio de «cuál es mi IP» responde con el número de centralita de tu casa, no con la dirección de tu dispositivo.
Q2. ¿Es peligroso abrir puertos?
R. En el sentido de que «el dispositivo detrás del puerto abierto queda directamente expuesto al escaneo indiscriminado», el riesgo aumenta de verdad (§4-2). Que sea peligroso depende de cómo lo hagas: mantén actualizados el dispositivo de destino y su software, abre los mínimos puertos posibles y borra la línea al terminar. Para un uso en el que puedas mantener esas reglas (un servidor de juego activo solo mientras juegas, por ejemplo), es un riesgo gestionable. Si no puedes mantenerlas, no abras el puerto.
Q3. ¿Qué mejora de verdad el «tipo de NAT» de un juego?
R. Estructuralmente, ayuda todo lo que «dé a tu ventanilla más margen para dejar pasar, como excepción, tráfico iniciado fuera» ── abrir los puertos pertinentes o activar UPnP son los ejemplos clásicos (§4). Pero en un entorno CGNAT (§5-2), ningún ajuste del lado de casa te hará alcanzable; puede que necesites cambiar a un plan u operadora que te asigne una IP global individual. Los pasos concretos varían según router y contrato, así que este artículo se queda en la explicación estructural.
Q4. ¿Desaparecerá NAT con IPv6?
R. Su trabajo original ── compartir direcciones ── se vuelve innecesario, porque IPv6 tiene direcciones de sobra para que cada dispositivo tenga la suya global (§5-3). Pero la defensa que NAT proporcionaba como efecto secundario ── bloquear estructuralmente el tráfico iniciado fuera ── no puede permitirse desaparecer con él, así que un cortafuegos asume ese papel de forma explícita. La manera exacta de recordarlo: «NAT puede irse, pero el muro se queda (y debe quedarse)».
Q5. ¿Es NAT también la razón de que no pueda llegar al servidor interno de mi empresa desde fuera?
R. Es una de las razones principales. Los servidores internos solo tienen IPs privadas y están detrás de NAT, así que no pueden señalarse como destino desde fuera (§3). Además, las empresas tienen cortafuegos que rechazan explícitamente el tráfico iniciado fuera. La vía estándar y legítima para superar ambos es una VPN ── un túnel abierto desde dentro que te permite conservar una dirección interna estando fuera. El mecanismo está ilustrado en ¿Qué es una VPN?.
Deja una respuesta