Saltar al contenido principal

Carrier-Grade NAT (CGNAT)

El carrier-grade NAT (CGNAT) es una arquitectura de traducción de direcciones de red a gran escala desplegada por ISPs y operadores móviles para compartir un pool limitado de IPv4 públicas entre miles de suscriptores al mismo tiempo, lo que afecta directamente la precisión de la deduplicación de voto basada en IP en concursos online.

Definición

El carrier-grade NAT —también llamado large-scale NAT (LSN) o NAT444— es una arquitectura de compartido de IPs definida en la RFC 6598 del IETF (publicada en abril de 2012) que permite a un ISP u operador móvil servir a grandes números de suscriptores usando un pool de IPv4 públicas mucho menor del que se necesitaría si cada suscriptor recibiera su propia dirección dedicada. El término “carrier-grade” distingue esta escala del NAT a nivel hogar realizado por un router casero: el CGNAT opera en infraestructura de operador y puede traducir tráfico para decenas de miles de suscriptores simultáneos a través de una sola IP pública.

El CGNAT surgió como respuesta al agotamiento del espacio IPv4. La Internet Assigned Numbers Authority (IANA) asignó los últimos bloques de IPv4 a los Registros Regionales en febrero de 2011. Los operadores móviles, con bases de suscriptores en rápida expansión, enfrentaron la elección de desplegar IPv6 —que resuelve permanentemente el problema— o implementar CGNAT para extender la vida útil de la infraestructura IPv4. La mayoría desplegó ambos.

Cómo funciona el CGNAT

En un despliegue CGNAT, el dispositivo del suscriptor recibe una IP privada del espacio compartido de la RFC 6598 —el bloque 100.64.0.0/10 reservado específicamente para uso CGNAT— o de un rango privado convencional RFC 1918 (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16). Es la dirección del suscriptor dentro de la red interna del operador.

Cuando el suscriptor inicia una conexión saliente, el tráfico pasa por el equipamiento CGNAT del operador, típicamente plataformas de routers grandes de Cisco, Juniper y A10 Networks. El dispositivo CGNAT traduce la dirección privada de origen a una de las IPv4 públicas del operador y asigna un puerto de origen dinámico para distinguir esta conexión del suscriptor de otras simultáneas que comparten la misma IP. Esa técnica se llama port address translation (PAT) o network address port translation (NAPT).

El servidor destino —un sitio de concurso, por ejemplo— recibe un paquete con IP de origen perteneciente al operador y un puerto de origen asignado por el CGNAT. No tiene forma de determinar la dirección privada o la identidad del suscriptor solo con esa información. Todos los suscriptores que comparten la misma IP de salida CGNAT son indistinguibles a nivel IP desde la mirada del destino.

Cuando la sesión termina, el CGNAT recupera la asignación de puerto y puede reasignar la misma combinación de IP pública y puerto a un suscriptor distinto en minutos. Esa reutilización significa que dos suscriptores totalmente distintos pueden parecer venir de la misma IP en momentos distintos del mismo día —o incluso de la misma hora.

La RFC 6264 documenta las implicancias de los enfoques transicionales IPv4-a-IPv6 a gran escala, de los cuales el CGNAT es un componente. El IETF ha publicado varios documentos de guía sobre consideraciones operativas de CGNAT para ISPs.

Dónde aparece

El CGNAT es ubicuo en redes móviles del mundo. T-Mobile, AT&T, Vodafone, Orange, Jio, Telcel y virtualmente todos los operadores grandes lo usan para tráfico IPv4. Los ISPs fijos en regiones con escasez severa de IPv4 —incluidas partes de Asia-Pacífico y África subsahariana— también despliegan CGNAT en conexiones de banda ancha.

En entornos de concurso online, el CGNAT crea una tensión fundamental con la deduplicación de voto basada en IP. Una política ingenua de un voto por IP en un concurso donde la mayor parte de la participación viene desde móviles evitará incorrectamente que varios votantes legítimos que comparten dirección CGNAT emitan votos. Inversamente, un mal actor en una red CGNAT podría teóricamente enviar votos desde muchas IPs privadas que aparecen como la misma IP pública, sin que la plataforma pueda distinguirlas de un solo votante.

Ejemplos prácticos

Una competencia de voto benéfica apuntando a audiencias en India —donde Jio Platforms sirve a cientos de millones de suscriptores— observa que ciertas IPs aparecen cada una en miles de envíos durante la ventana del concurso. La investigación técnica revela que son direcciones de salida CGNAT de la red 4G de Jio. El equipo de análisis antifraude determina que los datos de cookie y sesión muestran instancias de navegador distintas detrás de cada envío, consistentes con participación genuina de varios suscriptores. La señal de clustering por IP que normalmente indicaría fraude se atribuye correctamente al CGNAT y no a manipulación.

Una plataforma en Reino Unido recibe un reclamo de abuso de un concursante que dice que la plataforma bloquea votos legítimos de sus simpatizantes. La investigación revela que los simpatizantes están todos en la red CGNAT del mismo operador móvil y que el rate-limiter de la plataforma aplicó un tope de votos por IP que afecta a todos los suscriptores compartiendo la IP de salida. La plataforma ajusta su lógica para usar deduplicación por cookie como control primario en sesiones donde la geolocalización de IP indica una red de operador móvil.

Un equipo de investigación universitario que estudia fraude en voto online usa los rangos de la RFC 6598 como clasificador en su proceso de etiquetado, separando votos de origen CGNAT de votos genuinamente de IP única antes de entrenar su modelo de detección de anomalías. La separación mejora la precisión del modelo evitando que el patrón de clustering CGNAT se etiquete incorrectamente como conducta fraudulenta en los datos de entrenamiento.

Conceptos relacionados

IP de operador móvil describe las características visibles para el suscriptor de las direcciones móviles, de las cuales el CGNAT es el mecanismo subyacente de compartido. IP residencial abarca tanto direcciones fijas como móviles en contraste con las de datacenter, pero el CGNAT es una característica distintiva del subset móvil. El rate limiting es el control de concurso más directamente afectado por el CGNAT: los rate-limits por IP deben considerar entornos de dirección compartida para no bloquear votantes legítimos.

Limitaciones / advertencias

El amplio despliegue del CGNAT significa que las IPs por sí solas son base poco confiable para deduplicación de voto en cualquier concurso que apunte a una audiencia móvil significativa. La adopción de IPv6 resuelve parcialmente el problema —típicamente IPv6 asigna una dirección global única a cada dispositivo— pero el CGNAT IPv4 seguirá siendo factor importante mientras IPv4 siga siendo el protocolo dominante para el acceso a internet de consumo. Los diseñadores de plataformas deberían tratar la IP como una de varias señales de deduplicación en lugar de un identificador definitivo del votante.

Del blog — guías y casos de estudio

Guías prácticas, análisis técnicos y casos de estudio anonimizados.60+ artículos. La selección rota.

Todos 60 artículos → Explorar por tema
Victor Williams — founder of Buyvotescontest.com
Victor Williams
En línea · respuesta en 5 min

Hola — pásame la URL del concurso y te paso precio en una hora. Aún sin tarjeta.

💬 Abrir chat en vivo ️ Chat en Telegram 📋 Hacer pedido o email a [email protected]