Qué es CGNAT y por qué puede darte problemas aunque tu fibra vaya rápida
Contratar fibra de 600 Mbps o 1 Gbps no garantiza que todo en tu red funcione como esperas. A veces la velocidad es correcta, el WiFi va razonablemente bien y, aun así, no puedes abrir puertos, acceder a una cámara desde fuera, montar una VPN en casa o conectarte a ciertas partidas online. En esos casos, el culpable puede ser el CGNAT.
No es una avería ni una trampa escondida del operador. Es una solución técnica muy extendida para gestionar la escasez de direcciones IPv4. El problema aparece cuando el usuario necesita algo más que navegar, ver streaming o usar aplicaciones en la nube.
Qué es CGNAT
CGNAT significa Carrier Grade NAT. Dicho de forma sencilla: es un sistema por el que el operador comparte una misma dirección IPv4 pública entre varios clientes.
En una conexión doméstica tradicional, tu router recibe una IP pública. Esa IP es la dirección visible desde Internet. Dentro de casa, tus dispositivos usan direcciones privadas, como 192.168.1.34, y el router traduce unas a otras mediante NAT.
Con CGNAT aparece una capa adicional. Tu router ya no recibe una IPv4 pública real, sino una dirección privada dentro de la red del operador. Después, el operador agrupa a muchos clientes detrás de una o varias IP públicas compartidas.
Para navegar, ver Netflix, usar WhatsApp o consultar el correo, normalmente no notarás nada. La complicación aparece cuando quieres que una conexión entre desde Internet hacia tu red.
Por qué los operadores lo usan
El motivo principal es simple: las direcciones IPv4 se agotaron. Internet nació con un espacio de direcciones que parecía enorme, pero hoy hay móviles, routers, servidores, cámaras, televisores, sensores, consolas y millones de dispositivos conectados. El agotamiento del pool central de IPv4 de IANA se produjo en febrero de 2011, y desde entonces IPv6 es la solución estructural pendiente de completar.
IPv6 ofrece un espacio de direcciones inmensamente mayor, pero la transición lleva años siendo lenta, incompleta y desigual. Mientras tanto, los operadores necesitan seguir dando servicio a millones de usuarios con un número limitado de IPv4 públicas.
CGNAT permite aprovechar mejor esas direcciones. En vez de asignar una IPv4 pública exclusiva a cada cliente, el operador la comparte entre varios usuarios y gestiona las traducciones internamente. Desde su punto de vista, es eficiente. Para el usuario medio, suele ser invisible.
La cuestión es que “invisible” no significa irrelevante. Igual que ocurre cuando el WiFi va lento aunque tengas fibra, muchas veces el problema no está en la velocidad contratada, sino en la arquitectura real de la conexión.
Qué problemas puede causar en casa
El síntoma más típico del CGNAT es no poder abrir puertos. Entras en la configuración del router, creas una regla para redirigir un puerto hacia un NAS, una cámara IP, un servidor casero o una consola, y nada funciona desde fuera de casa.
La razón es que tu router ya no controla la IP pública final. Aunque abras el puerto en tu equipo, todavía hay otra traducción en la red del operador. Y esa parte no la gestionas tú.
Esto puede afectar al acceso remoto a un NAS, servidores de juegos, escritorio remoto, cámaras de vigilancia, domótica avanzada, autohospedaje de servicios, VPN hacia casa o ciertas funciones de juego online que requieren conectividad entrante.
No significa que todo vaya a fallar siempre. Muchas aplicaciones modernas usan servidores intermedios, relay, NAT traversal o conexiones salientes persistentes. Por eso puedes usar videollamadas, streaming, banca online o mensajería sin notar nada raro.
Pero cuando necesitas exposición directa hacia Internet, CGNAT es una barrera. No por velocidad, sino por diseño.
Cómo saber si estás detrás de CGNAT
La comprobación más sencilla consiste en comparar dos direcciones. Primero mira la IP WAN que aparece en el panel de administración de tu router. Después visita una web que muestre tu IP pública desde Internet. Si ambas coinciden, normalmente tienes IP pública en tu router. Si no coinciden, es muy probable que estés detrás de CGNAT.
También hay pistas claras. Si la IP WAN del router está en rangos privados, como 10.x.x.x, 172.16.x.x a 172.31.x.x, 192.168.x.x o en el rango 100.64.x.x a 100.127.x.x, mala señal para abrir servicios hacia fuera. Este último bloque, 100.64.0.0/10, está reservado como espacio compartido para despliegues de CGN, según el RFC 6598.
No hay que confundirlo con un problema de DNS. El DNS resuelve nombres, como expliqué en cómo funciona el DNS, pero no sustituye a una IP pública alcanzable. Puedes tener un dominio bien configurado y seguir sin acceso si tu conexión está detrás de CGNAT.
Qué soluciones tienes
La solución más limpia es pedir al operador salir de CGNAT. Muchos lo permiten gratis, otros lo ofrecen mediante una opción de IP pública, y algunos lo reservan para tarifas concretas o con coste adicional. Conviene preguntar expresamente por “IP pública fuera de CGNAT”, no solo por “abrir puertos”, porque el soporte puede mezclar conceptos.
Otra opción es contratar una IP fija, aunque normalmente es más cara y no siempre hace falta. Para la mayoría de usuarios avanzados basta con una IP pública dinámica, siempre que el router sea accesible desde Internet. Si además quieres entrar con un nombre fácil de recordar, puedes usar DNS dinámico.
También existen alternativas modernas: VPN inversas, túneles tipo Cloudflare Tunnel, Tailscale, ZeroTier o servicios relay. En vez de abrir tu red directamente, crean conexiones salientes desde tus dispositivos hacia una plataforma intermedia o una red privada superpuesta.
Eso sí, no todo debería exponerse a Internet. Si sales de CGNAT para publicar servicios, toca pensar en seguridad: actualizaciones, contraseñas robustas, doble factor y mínimos puertos abiertos.
Conclusión
CGNAT no es malo por definición. Para navegar, ver streaming, usar redes sociales o trabajar con herramientas cloud, probablemente ni lo notes. Pero si quieres controlar tu red desde fuera, alojar servicios o abrir puertos, cambia por completo el escenario.
La idea clave es esta: más megas no significan más control sobre tu conexión. Si tu fibra va rápida pero algo “desde fuera” no funciona, revisa si estás detrás de CGNAT. ¿Te ha pasado alguna vez?