- Técnica de red que permite a las operadoras compartir una única dirección IP pública entre múltiples usuarios para combatir la escasez de IPv4.
- Provoca problemas específicos al intentar abrir puertos, gestionar servidores NAS o mejorar la latencia en videojuegos online.
- Se puede identificar comparando la IP WAN del router con la IP pública visible en internet o revisando el rango 100.64.0.0/10.
Seguramente te ha pasado que intentas configurar un servidor en casa, montar una VPN o simplemente abrir un puerto para que un juego vaya más fluido y, por más que tocas los ajustes del router, nada parece funcionar. Para echar luz sobre este tema, lo primero es saber qué es el CGNAT. Muchas veces no es que estés haciendo algo mal, sino que tu proveedor de internet te tiene en una especie de «red compartida» que te impide tener control total sobre tu conexión.
El término CGNAT es un gran desconocido para la mayor parte de los usuarios. Se trata, básicamente, de la solución que han encontrado las telecos para no quedarse sin direcciones IP. Para el usuario medio que solo quiere ver Netflix o navegar por Twitter, es totalmente invisible, pero para quien busca exprimir al máximo su fibra, puede convertirse en un auténtico dolor de cabeza.
¿Qué es el CGNAT y cómo funciona exactamente?
Las siglas significan Carrier-Grade Network Address Translation. Para entenderlo fácil, piensa en el NAT normal que ya hace tu router: este traduce las IPs privadas de tus dispositivos (móvil, PC, consola) a una única IP pública para salir al mundo. El CGNAT es, básicamente, un NAT pero a lo bestia, gestionado directamente por la operadora.
Como las direcciones IPv4 se han acabado (están agotadas), los operadores ya no pueden dar una IP pública única a cada cliente. Así que montan un router gigante en su central que agrupa a decenas de usuarios bajo una misma IP pública. Tú recibes una IP privada en tu router, pero no es una IP que internet reconozca directamente; es una dirección interna de la red del operador.
Técnicamente, la IETF reservó el bloque de direcciones 100.64.0.0/10 específicamente para este propósito. Si tu router tiene una IP en ese rango, estás oficialmente detrás de una traducción de grado operador, lo que significa que no tienes una IP pública exclusiva para ti.
Diferencias clave entre NAT tradicional y CGNAT
La diferencia fundamental reside en quién tiene el mando. En el NAT de toda la vida, tú eres el jefe de tu router y puedes decidir qué tráfico entra y sale mediante el reenvío de puertos. Con el CGNAT, hay una capa extra de traducción en la infraestructura de la compañía que tú no puedes tocar.
Esto implica que, aunque configures correctamente el port-forwarding en tu equipo doméstico, los paquetes de datos se quedarán atascados en el router del operador antes de llegar a tu casa. Es como si intentaras recibir un paquete en un edificio donde el conserje no sabe a qué piso enviarlo porque todos comparten el mismo buzón.
Inconvenientes de estar bajo CGNAT
Para la mayoría, esto no supone un problema, pero hay perfiles de usuario que sufren bastante. En el mundo del gaming online, la latencia o el PING puede verse afectado, y es muy común encontrarse con el temido mensaje de «NAT estricta», lo que dificulta encontrar partidas o actuar como host de una sesión.
Si eres de los que usan un NAS, servidores FTP o quieres acceder a tu Home Assistant desde la calle, el CGNAT es tu peor enemigo. Al no poder abrir puertos, la conexión entrante es imposible sin recurrir a servicios externos de terceros. Incluso la geolocalización de la IP puede fallar, haciendo que algunas webs crean que estás en una ciudad distinta o, peor aún, que te bloqueen la IP porque otro usuario que comparte tu dirección ha hecho algo malicioso.
Tampoco es ideal para el tráfico P2P, como BitTorrent, donde la falta de una IP pública directa reduce la cantidad de peers conectados y, por ende, estrimpa la velocidad de descarga y subida en ciertos escenarios.
Ventajas (sobre todo para las operadoras)
Siendo honestos, el usuario no gana mucho aquí, salvo quizás una capa de seguridad extra, ya que al estar «oculto» tras la red del operador, es mucho más difícil que alguien intente atacar tu router directamente desde internet.
Para las empresas, el beneficio es económico y logístico. Les permite ahorrar costes al no tener que comprar más direcciones IPv4 y simplifica la gestión de sus redes internas. Gracias a esto, pueden ofrecer tarifas más competitivas, aunque a veces te cobren un extra si quieres salir de este sistema.
Cómo saber si tienes CGNAT paso a paso
No hace falta ser un ingeniero de redes para descubrirlo. Existen varios métodos, pero el de comparar IPs es el más fiable y rápido. Primero, entra en la configuración de tu router (normalmente en la IP 192.168.1.1 o 192.168.0.1) y busca el apartado WAN o Estado de la conexión.
Anota la IP que aparece ahí. Después, ve a cualquier web de cuál es mi IP pública. Si la IP de tu router es exactamente la misma que la que te da la web, felicidades: tienes IP pública. Si son diferentes, es muy probable que estés en CGNAT. De hecho, si la IP de tu router empieza por 100.64 hasta 100.127, no hay ninguna duda, estás bajo CGNAT.
Otro método es hacer un traceroute (o tracert en Windows) a tu propia IP pública. Si el camino tiene un solo salto hasta llegar a la IP, estás fuera de CGNAT. Si ves que hay dos saltos (el tuyo y otro router del operador), entonces sí estás dentro de la red compartida.
Situación de las operadoras en España
El panorama varía mucho según la compañía. Movistar y O2 son las más claras al respecto, ya que generalmente no usan CGNAT en sus líneas de fibra, ofreciendo IP públicas dinámicas. Vodafone suele seguir la misma línea, aunque hay rumores de que podrían meter en CGNAT a quienes no abran puertos durante meses.
Por otro lado, el Grupo MásMóvil (incluyendo Yoigo y Pepephone) y Digi utilizan CGNAT por defecto. En el caso de Digi, ofrecen un servicio llamado «Conexión Plus» por un euro al mes para darte una IP exclusiva. En MásMóvil, normalmente basta con llamar al servicio técnico y solicitar que te saquen de CGNAT, un proceso que suele ser gratuito pero tarda un par de días en aplicarse.
Adamo también suele aplicar CGNAT, pero permite obtener una IP pública gratis mediante una llamada. Otras operadoras más pequeñas o virtuales pueden tener políticas más restrictivas donde no permiten la salida de CGNAT bajo ningún concepto.
El caso de DS-Lite e IPv6
A veces escucharás hablar de DS-Lite (Dual-Stack Lite). Es una tecnología de transición para que el operador pueda trabajar internamente con IPv6 pero que tú sigas pudiendo navegar por la web IPv4. Básicamente, encapsula el tráfico IPv4 dentro de túneles IPv6.
El problema es que DS-Lite suele ir de la mano con el CGNAT. Aunque tengas conectividad IPv6 nativa (que no tiene estas restricciones), todo el tráfico IPv4 seguirá pasando por el filtro del operador, manteniendo los mismos problemas para abrir puertos que hemos comentado antes.
La realidad es que el CGNAT es una herramienta necesaria para que internet siga funcionando mientras terminamos de migrar a IPv6. Si solo navegas y consumes contenido, ni te preocupes; pero si eres un usuario avanzado que quiere dominar su propia red, saber identificarlo y solicitar una IP pública es fundamental para evitar frustraciones técnicas.
Redactor especializado en temas de tecnología e internet con más de diez años de experiencia en diferentes medios digitales. He trabajado como editor y creador de contenidos para empresas de comercio electrónico, comunicación, marketing online y publicidad. También he escrito en webs de economía, finanzas y otros sectores. Mi trabajo es también mi pasión. Ahora, a través de mis artículos en Tecnobits, intento explorar todas las novedades y nuevas oportunidades que el mundo de la tecnología nos ofrece día a día para mejorar nuestras vidas.