Extensiones de privacidad IPv6: Detén el rastreo de direcciones#

Cuando te conectas a una red con IPv6, tu dispositivo podría estar transmitiendo un identificador permanente derivado de la dirección MAC de tu tarjeta de red. Esto te hace rastreable a través de diferentes redes y sitios web.

El problema de privacidad#

El esquema original de direccionamiento IPv6 usa EUI-64 para generar IDs de interfaz desde direcciones MAC. La MAC de tu tarjeta de red 00:1a:2b:3c:4d:5e se convierte en parte de tu dirección IPv6 como 021a:2bff:fe3c:4d5e.

Así funciona la conversión:

Dirección MAC:    00:1a:2b:3c:4d:5e
Insertar FF:FE:   00:1a:2b:ff:fe:3c:4d:5e
Voltear bit 7:    02:1a:2b:ff:fe:3c:4d:5e
ID de interfaz:   021a:2bff:fe3c:4d5e

El volteo del bit 7 (bit universal/local) es parte del estándar EUI-64. El 00 se convierte en 02 porque ese bit indica si la dirección es globalmente única.

Esto crea varios problemas:

• Rastreo entre redes: Tu dispositivo lleva el mismo ID de interfaz estés en casa, en una cafetería o en WiFi público
• Identificación persistente: Los sitios web pueden correlacionar visitas a lo largo del tiempo, incluso si borras cookies
• Revelación de dirección MAC: Tu identificador de hardware está expuesto en cada paquete

A diferencia del NAT de IPv4 que oculta direcciones internas, IPv6 típicamente asigna direcciones enrutables globalmente directamente a dispositivos. Sin extensiones de privacidad, estás transmitiendo el mismo identificador en todas partes.

Cómo funcionan las extensiones de privacidad#

RFC 4941 (actualizado por RFC 8981) introduce direcciones temporales que reemplazan las direcciones derivadas de EUI-64. En lugar de usar tu dirección MAC, tu dispositivo genera IDs de interfaz aleatorios.

El mecanismo crea dos tipos de direcciones:

Dirección estable: Generada desde tu MAC o una semilla aleatoria. Usada para conexiones entrantes y permanece consistente para la red. No se usa para tráfico saliente.

Dirección temporal: Generada aleatoriamente, usada para conexiones salientes, rota periódicamente (típicamente cada 24 horas en la mayoría de los sistemas).

Cuando navegas la web o haces conexiones salientes, tu SO usa la dirección temporal. La dirección estable permanece disponible para servicios que necesitan alcanzar tu dispositivo.

Tu dispositivo mantiene múltiples direcciones IPv6 simultáneamente:

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # Estable (EUI-64 o privado estable)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # Temporal (actualmente activa)
2001:db8:1234:5678:1234:5678:9abc:def0  # Temporal (deprecada, expirando)

La rotación ocurre automáticamente. Las direcciones antiguas entran en un estado «deprecado» antes de expirar completamente, asegurando que las conexiones activas no se rompan.

Habilitar extensiones de privacidad#

Windows#

Las extensiones de privacidad están habilitadas por defecto en Windows desde Vista. Verifica con PowerShell:

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

La salida 2 significa habilitado para conexiones salientes. Configura manualmente:

# Habilitar direcciones temporales
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# Deshabilitar (no recomendado)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Verifica tus direcciones actuales:

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

Las direcciones temporales muestran valores de tiempo de vida Preferred que cuentan hacia abajo.

macOS#

Habilitado por defecto en macOS moderno. Verifica:

sysctl net.inet6.ip6.use_tempaddr

Devuelve 1 si está habilitado. Configura con:

# Habilitar
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# Hacer permanente
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

Tiempo de vida de dirección temporal (en segundos):

sysctl net.inet6.ip6.temppltime  # Tiempo de vida preferido
sysctl net.inet6.ip6.tempvltime  # Tiempo de vida válido

Linux#

La configuración varía por distribución. La mayoría de las distribuciones modernas habilitan extensiones de privacidad por defecto, pero verifica:

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = deshabilitado
• 1 = habilitado, preferir direcciones públicas
• 2 = habilitado, preferir direcciones temporales (recomendado)

Habilita correctamente:

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

Hazlo permanente editando /etc/sysctl.conf o creando /etc/sysctl.d/99-ipv6-privacy.conf:

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

Aplica cambios:

sudo sysctl -p

Verifica direcciones activas:

ip -6 addr show scope global

Las direcciones temporales están marcadas con flag temporary y muestran valores preferred_lft y valid_lft.

Dispositivos móviles#

iOS: Extensiones de privacidad habilitadas por defecto desde iOS 4.3. No hay configuración de usuario disponible.

Android: Habilitado por defecto en Android 8.0+. Versiones anteriores pueden usar direcciones estables. Verifica en Configuración → Acerca de → Estado, aunque típicamente no puedes deshabilitar extensiones de privacidad.

Cuándo NO usar extensiones de privacidad#

Las extensiones de privacidad rompen escenarios que requieren direcciones estables:

Servidores y servicios: Si estás ejecutando un servidor web, daemon SSH o cualquier servicio que necesite conexiones entrantes, deshabilita extensiones de privacidad o configura el servicio para vincularse específicamente a la dirección estable.

# Linux: deshabilitar para interfaz específica
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

Registros DNS: No puedes apuntar DNS a una dirección rotante. Los servidores necesitan IPs estables.

Equipo de red: Routers, firewalls e infraestructura de red deben usar direccionamiento estable para gestión.

Reglas de firewall: Si permites direcciones específicas, las direcciones temporales se romperán cuando roten.

Registro y monitoreo: Correlacionar logs a través de cambios de dirección se vuelve difícil. Para redes internas donde la privacidad no es una preocupación, las direcciones estables simplifican la solución de problemas.

Más allá de las extensiones de privacidad#

Las extensiones de privacidad solo protegen el ID de interfaz. Tu prefijo /64 todavía revela tu ISP y ubicación general. Medidas adicionales:

VPN con soporte IPv6: Hace túnel de todo el tráfico a través del espacio de direcciones IPv6 del proveedor de VPN. Verifica que tu VPN realmente enrute tráfico IPv6; muchas deshabilitan IPv6 completamente, lo que filtra tu dirección IPv6 real.

Prueba fugas en test-ipv6.com mientras estás conectado a tu VPN.

Rotación de prefijo: Algunos ISPs rotan tu prefijo /64 periódicamente. Esto es raro y no estandarizado. La mayoría de las conexiones residenciales mantienen el mismo prefijo indefinidamente.

Tor: Tor soporta IPv6 en nodos de salida, pero muchos relays son solo IPv4. Tu tráfico podría salir sobre IPv4 incluso si tienes conectividad IPv6.

NAT66: La traducción de direcciones de red para IPv6 existe pero rompe el principio punto a punto y es controversial. No recomendado.

La combinación más práctica: extensiones de privacidad habilitadas en dispositivos cliente + VPN para enmascaramiento completo de dirección cuando sea necesario.

Verifica tu postura de privacidad actual visitando ping6.net y notando si tu ID de interfaz cambia con el tiempo (debería con extensiones de privacidad habilitadas).

Las extensiones de privacidad son una medida de seguridad básica que debería habilitarse en todos los dispositivos cliente. No son protección perfecta, pero eliminan el vector de rastreo más obvio en el direccionamiento IPv6.