¿Actúa el NAT como cortafuegos y protege tu red?
Respuesta breve
No. El NAT (y el PAT) asigna direcciones privadas a una IP pública y, como efecto secundario, descarta las conexiones entrantes no solicitadas porque no existe ninguna correspondencia para ellas. Eso no es una política de seguridad — no hay inspección, ni reglas, ni registro — y la travesía de NAT, el hole punching y el C2 iniciado en salida pasan sin problema. El NAT es una herramienta de direccionamiento; aun así necesitas un cortafuegos real. «NAT = cortafuegos» es la idea equivocada.
Como un router doméstico tras un NAT parece protegido — los escaneos entrantes aleatorios no llegan a tu portátil — mucha gente concluye que el NAT es un cortafuegos. Esta pregunta comprueba si entiendes la diferencia entre un control de seguridad y un efecto secundario del direccionamiento.
Qué hace realmente el NAT
El NAT (y su forma con sobrecarga de puertos, el PAT) resuelve la escasez de direcciones: asigna muchas direcciones privadas RFC 1918 a una sola IP pública, reescribiendo direcciones y puertos de origen a la salida e invirtiendo la traducción en las respuestas. Para ello mantiene una tabla de traducción de los flujos salientes activos. No hay motor de políticas, ni reglas, ni inspección profunda, y normalmente ningún registro.
Por qué se descarta el entrante (y por qué no es seguridad)
Un paquete entrante no solicitado llega sin una entrada coincidente en la tabla de traducción, así que el dispositivo NAT no sabe a qué host interno enviarlo y lo descarta. Eso parece un cortafuegos bloqueando Internet — pero es un accidente del funcionamiento de la traducción, no una política aplicada. No hay concepto de «denegar», ni registro del intento, ni inspección de lo que se permite pasar.
Cómo lo atraviesan los atacantes
La protección es unidireccional y superficial. Las conexiones iniciadas en salida crean correspondencias bajo demanda, así que un malware que llama a un servidor de mando y control pasa directamente — el patrón que usa la mayoría del malware moderno. La travesía de NAT / el hole punching (STUN, el modo en que funcionan las apps P2P y VoIP) abre deliberadamente caminos a través del NAT.
Por qué tientan los distractores
«El NAT es un cortafuegos con estado» confunde el estado de la tabla de traducción con la aplicación de una política. «Las IP internas están ocultas, así que nada puede enrutar hacia ellas» confunde el descarte del entrante con la inaccesibilidad. La opción totalmente negativa se pasa de frenada: el NAT no es un cortafuegos, y el direccionamiento global de IPv6 elimina incluso ese descarte incidental.
Qué buscan los entrevistadores
Un «no» firme, la distinción efecto secundario frente a política, y un ejemplo (C2 saliente o hole punching) que muestre que la protección es ilusoria. La lección: despliega un cortafuegos con estado real.
Posibles preguntas de seguimiento
- ¿Cómo el C2 de un malware iniciado en salida elude la «protección» que parece ofrecer el NAT?
- ¿Qué es el hole punching de NAT y por qué funciona?
- ¿Por qué IPv6 con direcciones globales hace peligroso el hábito de «NAT como seguridad»?