La traducción de direcciones de red es una de las piezas más útiles y menos visibles de una conexión doméstica. Permite que varios dispositivos compartan una sola IP pública y, al mismo tiempo, mantiene separada la red interna de la cara visible en Internet. Entenderla ayuda a diagnosticar problemas reales: puertos cerrados, juegos que no conectan, cámaras inaccesibles o dobles traducciones que rompen la configuración de un router WiFi.
Lo esencial sobre la NAT en una red doméstica
- La NAT traduce IP privadas a una IP pública para que la red local pueda salir a Internet.
- En casa, lo habitual es usar PAT, es decir, varias conexiones compartiendo una sola IP pública mediante puertos.
- WiFi no hace NAT por sí mismo; la traducción la realiza el router o la pasarela de salida.
- CGNAT y doble NAT son los escenarios que más problemas causan con juegos, cámaras y acceso remoto.
- La NAT ayuda a reducir exposición, pero no sustituye un firewall ni unas buenas prácticas de seguridad.
Qué hace realmente la NAT y por qué sigue tan presente
En redes IPv4, las direcciones públicas son limitadas. Cisco la resume como una técnica de conservación de direcciones IPv4: NAT nació para que las redes privadas pudieran salir a Internet sin asignar una IP pública a cada dispositivo. En la práctica, eso significa que tu portátil, tu móvil y tu consola pueden convivir en la misma red local sin consumir recursos públicos por separado.
Yo la explico siempre así: desde dentro, cada equipo habla con su IP privada; desde fuera, Internet solo ve la IP pública del router o del operador. Ese intermediario cambia las cabeceras de los paquetes y recuerda qué respuesta corresponde a cada sesión. Por eso una página web puede devolverte datos aunque tu red local no sea visible desde el exterior.
La idea no es solo técnica, también es operativa. Sin NAT, la administración de una red doméstica moderna sería bastante más costosa y mucho menos flexible. Con ella, la red se simplifica y se vuelve mucho más manejable para el uso cotidiano.
Con esa base, lo importante pasa a ser cómo se hace la traducción en cada caso.
Cómo funciona la traducción de direcciones en un router
El proceso suele ser más simple de lo que parece. Un equipo interno abre una conexión hacia un servicio externo, el router registra esa sesión en su tabla NAT y sustituye la dirección de origen privada por su IP pública, normalmente junto con un puerto distinto. Cuando la respuesta vuelve, el router consulta esa tabla y entrega el tráfico al dispositivo correcto.
- Tu móvil con IP privada, por ejemplo 192.168.1.34, envía una petición a un sitio web.
- El router cambia el origen por su IP pública y asigna un puerto concreto para identificar esa sesión.
- El servidor externo responde a esa IP pública y a ese puerto.
- El router recupera la entrada de traducción y reenvía el paquete al móvil original.
Ese detalle de los puertos es importante. En la mayoría de hogares no hay una NAT pura de una IP a otra, sino una traducción con puertos, porque así muchos dispositivos pueden salir al mismo tiempo sin chocar entre ellos. Cloudflare lo explica de forma parecida cuando habla de compartir una sola IP pública entre varios equipos: la traducción no es un truco cosmético, es lo que permite que la comunicación siga siendo única para cada sesión.
Lo relevante, en el fondo, es que la NAT decide qué sale, qué entra y a qué equipo debe volver cada respuesta.
Tipos de NAT que conviene distinguir
No todas las configuraciones se comportan igual. Cuando alguien me pregunta por la NAT, casi siempre descubro que en realidad está viendo una de estas cuatro variantes.
| Tipo | Cómo traduce | Uso habitual | Qué debes tener en cuenta |
|---|---|---|---|
| NAT estática | Una IP privada se mapea siempre a la misma IP pública | Servidores, cámaras o servicios que deben ser accesibles desde fuera | Es predecible, pero consume una IP pública por equipo |
| NAT dinámica | Asigna una IP pública de un pool cuando hace falta | Entornos corporativos o redes con varias salidas disponibles | La asignación cambia y depende del número de direcciones libres |
| PAT u overload | Muchas IP privadas comparten una sola IP pública usando puertos | Routers domésticos y pequeñas oficinas | Es la forma más común en casa y la más eficiente en IPv4 |
| CGNAT | La traducción se hace en el operador, no solo en tu router | Accesos residenciales y móviles con IP pública compartida | Puede limitar puertos entrantes y complicar accesos desde fuera |
La más importante para un usuario doméstico es la PAT, porque es la que casi siempre encuentras detrás del botón "conectar al WiFi". CGNAT, en cambio, ya no es solo una decisión de tu router: es una capa de traducción del operador para ahorrar IPv4 y repartir una misma IP pública entre varios abonados.
La diferencia práctica entre una y otra se nota cuando sales del uso básico y empiezas a pedirle a la red que reciba conexiones externas.
Qué aporta en casa y en una red WiFi
WiFi solo describe el enlace inalámbrico. La NAT, si existe, la hace el router, la pasarela o el equipo que conecta tu red local con Internet. Eso significa que puedes tener WiFi sin NAT, NAT sin WiFi o ambas cosas a la vez, dependiendo de si el equipo actúa como punto de acceso, router o ambos.
- Reduce el consumo de IPv4, porque varios dispositivos comparten una sola dirección pública.
- Oculta la estructura interna de la red doméstica frente al exterior, lo que limita la exposición directa.
- Simplifica la conexión, porque no necesitas una IP pública por cada móvil, televisor o portátil.
- Encaja con redes domésticas típicas, donde la mayoría del tráfico es saliente y no entrante.
Ahora bien, esa capa no sustituye una política de seguridad. La NAT puede ayudar a que no te lleguen conexiones aleatorias desde fuera, pero no cifra el tráfico, no limpia malware y no reemplaza un firewall, WPA3 o las actualizaciones del router. Si gestionas una red en casa, yo la trataría como una barrera útil, no como una garantía absoluta.
Y justo ahí aparece el punto donde más se nota si la red está bien planteada o si solo “funciona por inercia”.
Cuándo la NAT complica juegos, accesos remotos y VoIP
La NAT deja de ser invisible cuando una aplicación necesita que otro equipo inicie la conexión. Eso pasa con cámaras IP, servidores caseros, algunas videollamadas, P2P, VPNs o juegos online con lobbies estrictos. El síntoma típico es claro: todo funciona como usuario normal, pero falla en cuanto quieres recibir tráfico entrante.
- Juegos online: una NAT estricta puede limitar el emparejamiento o el chat de voz.
- Acceso remoto: una cámara o un NAS no responderán desde fuera si no existe una ruta de entrada.
- Videollamadas y VoIP: algunos flujos necesitan negociación extra para atravesar la traducción.
- Redes dobles: si tu operador ya hace NAT y tu router vuelve a hacer otra, aparecen fallos difíciles de diagnosticar.
En ese punto, abrir puertos o activar UPnP puede resolver el síntoma, pero no siempre el problema de fondo. UPnP da comodidad, sí, pero yo lo mantendría bajo control porque automatiza aperturas que no siempre son obvias. Si estás detrás de CGNAT, por ejemplo, el reenvío de puertos en tu router puede quedarse corto porque la última traducción está en manos del operador. Ahí conviene pensar en una IP pública, una VPN, un túnel inverso o un servicio intermedio seguro antes que insistir en una solución local que no llega a destino.
La forma más rápida de separar un problema de router de un problema de operador es mirar la IP WAN.
Cómo comprobar si tu conexión está detrás de CGNAT o doble NAT
Yo empiezo por lo más simple: comparo la IP que muestra la WAN del router con la IP pública que detecta un servicio externo. Si no coinciden, o si la WAN cae en rangos privados o compartidos como 10.0.0.0/8, 192.168.0.0/16 o 100.64.0.0/10, hay muchas papeletas de que estés ante doble NAT o CGNAT.
- Entra en la interfaz del router y localiza la dirección de la WAN o Internet.
- Contrástala con la IP que ve Internet desde fuera de tu red.
- Si tu router está conectado a otro router o a un equipo del operador, prueba modo bridge o punto de acceso, si el hardware lo permite.
- Si necesitas recibir conexiones entrantes, pide al operador una IP pública o una opción sin CGNAT.
- Si no necesitas exponer servicios, evita abrir puertos por costumbre y prioriza el acceso mediante VPN o servicios de sincronización segura.
En España esto importa bastante en varias conexiones residenciales y móviles. Para navegación normal no suele notarse, pero en administración remota, autoconsumo de servicios o juegos competitivos la diferencia entre salir con una IP propia o compartida cambia la experiencia por completo.
Por eso, antes de tocar puertos, yo miro primero el modelo de red y solo después decido qué conviene abrir, qué conviene cerrar y qué es mejor dejar en manos del operador.
La regla práctica que yo aplico antes de abrir un puerto
Si una conexión doméstica solo necesita salir a Internet, la NAT puede quedarse trabajando en segundo plano sin que te preocupes demasiado. Si necesitas que algo entre desde fuera, el primer paso no es abrir puertos a ciegas: es saber si tu red termina en tu router o en otra capa del operador.Mi criterio es sencillo: cuanta menos exposición directa necesite tu servicio, mejor. Para un hogar normal, eso significa dejar que la NAT haga su trabajo, mantener el firmware al día, usar una buena clave WiFi y reservar los puertos abiertos para casos concretos y bien justificados. A medida que IPv6 gana peso, la dependencia de esta traducción se reduce, pero hoy sigue siendo una pieza central de la conectividad doméstica.
