¿Qué es el CGNAT (NAT de nivel de operador)?

CGNAT (NAT de nivel de operador), también conocido como NAT a gran escala (LSN), es una técnica que utilizan los proveedores de servicios de Internet (ISP) en las redes IPv4 para compartir un pequeño conjunto de direcciones IPv4 públicas entre cientos de abonados, lo que permite prolongar la vida útil del espacio de direcciones IPv4 (Wikipedia (NAT de nivel de operador), 2025). Una dirección IP pública puede dar servicio a cientos de clientes a la vez. Esta agrupación resulta invisible para los usuarios finales, pero tiene consecuencias reales para cualquier sistema que utilice direcciones IP para identificar, geolocalizar o limitar el ancho de banda de los usuarios.

Cómo funciona el CGNAT

El RFC 6598 de la IETF reservó el bloque 100.64.0.0/10 (del 100.64.0.0 al 100.127.255.255) como espacio de direcciones compartido dedicado para el enlace entre los dispositivos CGN y los equipos de las instalaciones del cliente, manteniéndolo separado de los rangos privados del RFC 1918 (IETF RFC 6598, 2012). Cuando un abonado envía una solicitud, el dispositivo CGN del operador reescribe la dirección de origen del rango 100.64.x.x por una IP pública compartida y registra la traducción. Las respuestas vuelven a través del mismo dispositivo y se traducen a la inversa para llegar al abonado correcto.

Esto da lugar a una configuración de doble NAT: un NAT dentro del router doméstico y otro a nivel del operador. Los números de puerto permiten distinguir las sesiones entre los distintos usuarios que comparten la misma dirección IP pública.

Cómo afecta el CGNAT a los sistemas basados en IP

Dado que cientos de usuarios comparten una misma dirección IP pública, cualquier sistema que bloquee o clasifique en función de la dirección IP los trata a todos como una sola entidad. Un bloqueo dirigido a un usuario malintencionado afecta a todos los demás abonados del mismo grupo. La precisión de la geolocalización también disminuye: la dirección IP pública se asocia a la ubicación de la infraestructura del operador, no a la ciudad o barrio real del abonado.

La reputación de IP funciona de la misma manera. Un solo remitente de spam en un grupo CGNAT puede perjudicar las puntuaciones de cientos de usuarios que no tienen nada que ver con él. Los operadores de telefonía móvil son los principales usuarios de CGNAT, ya que la mayoría de las redes 4G y 5G sitúan los teléfonos móviles detrás de este sistema. Los dispositivos reales en redes de proxy residenciales y móviles reflejan este comportamiento de CGNAT, razón por la cual sus patrones de tráfico difieren de los de las direcciones IP de los centros de datos, que cuentan con direcciones públicas dedicadas.

Casos de uso

  • Análisis de redes móviles. CGNAT explica por qué la geolocalización mediante IP móvil es aproximada y por qué muchas sesiones comparten una única dirección pública.
  • Obtención de direcciones IP y servidores proxy. Las redes de proxies residenciales, como Massive, obtienen direcciones IP de origen de dispositivos reales de consumidores, muchos de los cuales se encuentran detrás de CGNAT. Su tráfico de salida se asemeja mucho al comportamiento habitual de los abonados, en lugar de al tráfico de salida de un centro de datos.
  • Detección de fraudes y abusos. Los equipos de seguridad tienen en cuenta el CGNAT antes de bloquear de forma masiva una dirección IP compartida, lo que reduce el impacto colateral sobre los usuarios legítimos del mismo grupo.
  • Planificación de IPv6. CGNAT es una solución provisional mientras los operadores implementan IPv6. IPv6 asigna a cada dispositivo una dirección pública única, lo que elimina por completo el problema de las direcciones IP compartidas.

Preguntas frecuentes

CGNAT oculta su dirección privada tras una IP pública compartida, pero eso no equivale al anonimato. Su proveedor de servicios de Internet registra el estado de la traducción y puede vincular cualquier sesión a su cuenta. Muchos proveedores de servicios de Internet están obligados por ley a conservar dichos registros.

Los servicios externos ven la dirección IP pública del operador, no la dirección de su dispositivo. Las bases de datos de geolocalización asocian esa dirección IP a la ubicación de la infraestructura del operador, que puede estar lejos de donde se encuentra usted realmente.

Si un suscriptor que se encuentra detrás de un grupo CGNAT activa las reglas de abuso, la dirección IP pública compartida queda marcada. Los demás usuarios que comparten esa misma dirección IP heredan esa mala reputación y pueden verse afectados por bloqueos por falsos positivos o tener que resolver CAPTCHAs.

Un router doméstico realiza la traducción NAT entre sus dispositivos locales y la dirección asignada por su proveedor de servicios de Internet (ISP). El CGNAT constituye una segunda capa en el operador, que traduce la dirección 100.64.x.x asignada por su ISP a una dirección IP pública. El resultado son dos traducciones NAT consecutivas antes de que su tráfico llegue a su destino.