Dirección IP y redes

NAT (Network Address Translation)

Se lee en aproximadamente 4 minutos

Última actualización: 2026-02-10

Qué es NAT

NAT (Network Address Translation) es una tecnología que convierte mutuamente entre direcciones IP privadas y direcciones IP globales. Los múltiples dispositivos conectados al router doméstico (smartphones, PCs, consolas de juegos, etc.) tienen cada uno una dirección IP privada (192.168.1.x, etc.), pero al salir a internet, la función NAT del router las convierte en una única dirección IP global.

NAT es una tecnología importante que mitiga el problema del agotamiento de direcciones IPv4. Al poder compartir una única dirección IP global entre decenas de dispositivos, se utilizan eficientemente las limitadas direcciones IPv4.

Tipos de NAT y NAPT

NAT estático
Asocia de forma fija una IP privada con una IP global en relación 1 a 1. Se usa para publicar servidores. No tiene efecto de ahorro de direcciones.
NAT dinámico
Asigna dinámicamente desde un pool de múltiples direcciones IP globales durante la comunicación. El número de direcciones en el pool es el límite.
NAPT (PAT)
Al traducir también los números de puerto además de las direcciones IP, permite compartir una única IP global con decenas de miles de conexiones simultáneas. Es el método estándar de los routers domésticos.

La mayoría de lo que comúnmente se llama "NAT" es en realidad NAPT (Network Address Port Translation). Al utilizar los números de puerto, teóricamente se pueden manejar 65.535 conexiones simultáneas con una única dirección IP global.

Problemas de CGNAT

CGNAT (Carrier-Grade NAT) es un NAT a gran escala implementado a nivel de ISP. A medida que el agotamiento de direcciones IPv4 se agrava, aumentan los ISP que asignan direcciones IP privadas (100.64.0.0/10) a los suscriptores y realizan NAT en el lado del ISP.

En entornos CGNAT se producen los siguientes problemas.

  • Imposibilidad de abrir puertos: No se pueden publicar servidores domésticos ni alojar juegos en línea.
  • Compartición de dirección IP: Cientos o miles de usuarios comparten la misma dirección IP, lo que reduce la precisión de GeoIP y existe el riesgo de verse afectado por restricciones de acceso basadas en IP.
  • Restricciones en comunicación P2P: Las videollamadas y el intercambio de archivos, entre otras comunicaciones P2P, pueden verse dificultadas.

Para evitar CGNAT, se puede solicitar al ISP la opción de IP fija o cambiar a una conexión IPv6 IPoE.

NAT en la era IPv6

En IPv6, al asignarse una dirección global a cada dispositivo, NAT como traducción de direcciones ya no es necesario en principio. Esto resuelve los problemas que causaba NAT (la molestia de abrir puertos, obstáculos en la comunicación P2P, problemas de compatibilidad de aplicaciones).

Sin embargo, algunas organizaciones implementan NAT66 (IPv6-to-IPv6 NAT) en entornos IPv6 con fines de seguridad. Tiene el efecto de ocultar la estructura de direcciones de la red interna al exterior, pero como perjudica la comunicación extremo a extremo, que es la filosofía de diseño de IPv6, se recomienda sustituirlo por control mediante firewall.

Actualmente estamos en un período de transición donde IPv4 e IPv6 coexisten, y el conocimiento de NAT sigue siendo importante. Especialmente en la resolución de problemas de red, es esencial comprender las tablas NAT y el mapeo de puertos.

Conceptos erróneos comunes

NAT es una función de seguridad
NAT tiene el efecto secundario de bloquear el acceso directo desde el exterior, pero no es una tecnología diseñada con fines de seguridad. NAT es un mecanismo para la traducción de direcciones y no sustituye las reglas adecuadas de un firewall.
Con NAT no se puede ser atacado desde el exterior
Incluso detrás de NAT, se es vulnerable a ataques que se originan desde comunicaciones internas hacia el exterior, como la descarga de malware, phishing y ataques vía DNS. Además, si UPnP está habilitado, el malware puede abrir puertos automáticamente.

Diferencia entre NAT y firewall

NAT

Su propósito original es la traducción de direcciones IP. Bloquea secundariamente el acceso directo desde el exterior. No inspecciona el contenido de la comunicación.

Firewall

Función de seguridad que controla la autorización o denegación de comunicaciones. Filtra las comunicaciones basándose en reglas de origen, destino, puerto y protocolo.

Términos relacionados

Dirección IP Un identificador único asignado a cada dispositivo conectado a internet. Existen… IPv6 Un protocolo de internet de nueva generación diseñado para resolver el problema … DHCP (Dynamic Host Configuration Protocol) Un protocolo que asigna automáticamente detalles de configuración como dirección… Firewall Un mecanismo de seguridad ubicado en los límites de la red que inspecciona y con… VPN (Red Privada Virtual) Una tecnología que encripta el tráfico de internet y lo enruta a través de un se…

Artículos relacionados

¿Qué es una dirección IP? Cómo funciona y cómo verificar la tuya Aprende los fundamentos de las direcciones IP, las diferencias entre IPv4 e IPv6, IP pública vs. pri… Fundamentos de IPv6 - Guía para principiantes del protocolo de Internet de nueva generación Una introducción accesible a la estructura de direcciones IPv6, su notación, la coexistencia con IPv…
← Glosario