Seguridad IPv6: Amenazas, mitigaciones y mejores prácticas

El mito de NAT #

Una preocupación surge constantemente cuando las organizaciones consideran IPv6: «Sin NAT, ¿no estamos expuestos?»

No. NAT nunca fue una característica de seguridad. Fue una solución temporal para escasez de direcciones que casualmente ocultaba direcciones internas. Un firewall con estado proporciona la misma protección—bloqueando conexiones entrantes no solicitadas—sin las desventajas de la traducción de direcciones.

El problema real es diferente: muchas redes tienen IPv6 habilitado pero olvidaron configurar reglas de firewall IPv6. Eso es un problema serio, y es completamente prevenible.

TL;DR - Resumen rápido

Puntos clave:

NAT no es seguridad: Los firewalls con estado proporcionan la misma protección sin traducción de direcciones
IPv6 requiere reglas de firewall explícitas: El mayor riesgo es habilitar IPv6 sin configurar seguridad
ICMPv6 es esencial: A diferencia de IPv4, bloquear ICMPv6 rompe operaciones básicas de red
Los ataques NDP son reales: Despliega RA Guard y seguridad de primer salto en switches
Aplican los mismos fundamentos de seguridad: Control de acceso, monitoreo y parches siguen siendo críticos

Ir a: Configuración firewall | Seguridad NDP | Lista de verificación de seguridad

Qué es realmente diferente sobre la seguridad IPv6 #

IPv6 cambia el panorama de amenazas de formas específicas:

El espacio de direcciones más grande corta en ambos sentidos. Escanear una subred /64 toma siglos con fuerza bruta. Pero los atacantes no hacen fuerza bruta—usan registros DNS, logs de transparencia de certificados y análisis de tráfico para encontrar objetivos. No confíes en la obscuridad de direcciones.

Cada dispositivo es potencialmente accesible. Con direcciones globales en cada host, tu firewall es la única barrera. Esto hace que la configuración del firewall sea más crítica, no opcional.

ICMPv6 es esencial, no opcional. A diferencia de IPv4 donde podías bloquear todo ICMP sin romper cosas, IPv6 requiere ICMPv6 para operaciones básicas. Bloquea los mensajes incorrectos y tu red deja de funcionar.

Nuevos protocolos, nueva superficie de ataque. El protocolo de descubrimiento de vecinos (NDP) reemplaza ARP e introduce nuevos vectores. Los encabezados de extensión añaden complejidad que los atacantes pueden explotar.

Vectores de ataque específicos de IPv6 #

Suplantación de NDP #

El protocolo de descubrimiento de vecinos maneja resolución de direcciones, descubrimiento de router y detección de direcciones duplicadas. Como ARP en IPv4, es confiable por defecto.

Un atacante en la red local puede:

Suplantar anuncios de vecino para redirigir tráfico (man-in-the-middle)
Enviar anuncios de router falsos para convertirse en el gateway predeterminado
Realizar ataques de detección de direcciones duplicadas para denegar direcciones a hosts legítimos

Estos ataques requieren acceso a la red local—no son amenazas a escala de Internet. Pero en redes compartidas (oficinas, centros de datos, WiFi), son riesgos reales.

Mitigación: Despliega RA Guard e inspección ND en switches. En hosts, considera SEND (Descubrimiento de vecinos seguro), aunque la adopción es limitada.

Ataques de anuncio de router #

Un RA malicioso puede convencer a hosts de:

Usar al atacante como su gateway predeterminado
Aceptar un servidor DNS malicioso
Usar un prefijo específico (potencialmente para intercepción de tráfico)

Esto es particularmente peligroso porque la mayoría de los hosts aceptan RAs por defecto.

Mitigación:

RA Guard en puertos de switch (bloquear RAs de puertos no-router)
En hosts Linux: net.ipv6.conf.all.accept_ra = 0 para servidores con configuración estática
Monitorea RAs inesperados con herramientas como ramond o NDPMon

Explotación de encabezados de extensión #

Los encabezados de extensión IPv6 se sitúan entre el encabezado principal y la carga útil. Los usos legítimos incluyen fragmentación, opciones de enrutamiento e IPsec.

Los atacantes pueden usarlos para:

Evadir firewalls que no inspeccionan la cadena completa de encabezados
Ataques de fragmentación para eludir inspección o vulnerabilidades de reensamblaje
Crear paquetes ambiguos que diferentes dispositivos interpretan diferentemente

Mitigación: Usa firewalls que analicen completamente cadenas de encabezados de extensión. Descarta paquetes con encabezados de extensión inusuales o deprecados (como encabezados de enrutamiento tipo 0, obsoletos por RFC 5095).

Técnicas de reconocimiento #

Los atacantes no escanean /64s aleatoriamente. Encuentran objetivos IPv6 a través de:

Transferencias de zona DNS o adivinación (www, mail, ns1, etc.)
Logs de transparencia de certificados (todos los certificados HTTPS son públicos)
Recolección de tráfico (monitoreo pasivo)
Direccionamiento predecible (::1, ::100, EUI-64 basado en MAC)

Mitigación: Usa extensiones de privacidad para direcciones de cliente. Evita direcciones de servidor predecibles. No publiques infraestructura interna en DNS público si no es necesario.

Configuración de firewall para IPv6 #

Tipos ICMPv6 esenciales para permitir #

Bloquea estos y tu red se rompe:

Tipo	Nombre	Requerido para
1	Destino inalcanzable	Descubrimiento de MTU de ruta, manejo de errores
2	Paquete demasiado grande	Descubrimiento de MTU de ruta (crítico)
3	Tiempo excedido	Traceroute, detección de bucles
128/129	Solicitud/Respuesta de eco	Ping (opcional pero útil)
133	Solicitud de router	Host encontrando routers
134	Anuncio de router	Router anunciándose
135	Solicitud de vecino	Resolución de direcciones
136	Anuncio de vecino	Respuesta de resolución de direcciones

Los tipos 133-136 solo se necesitan en el enlace local—no los reenvíes a través de routers.

Reglas de firewall con estado #

Un conjunto de reglas mínimo para un host:

# Permitir conexiones establecidas
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Permitir ICMPv6 (ser más específico en producción)
-A INPUT -p ipv6-icmp -j ACCEPT
 
# Permitir link-local solo para NDP (más seguro)
-A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 133:136 -j ACCEPT
 
# Permitir servicios específicos
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
 
# Descartar todo lo demás
-A INPUT -j DROP

Para nftables, el equivalente:

table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
 
    ct state established,related accept
    ip6 nexthdr icmpv6 accept
    tcp dport { 22, 443 } accept
  }
}

No olvides el filtrado de egreso #

Las reglas de salida también importan. Pueden:

Prevenir exfiltración de datos sobre protocolos inesperados
Bloquear tráfico de comando y control
Limitar daños de hosts comprometidos

Como mínimo, registra conexiones salientes inesperadas.

IPsec en IPv6 #

IPsec era originalmente obligatorio para implementaciones IPv6 (RFC 2460). Esto se relajó posteriormente (RFC 6434) porque el despliegue universal nunca ocurrió.

Aún así, IPv6 hace IPsec más limpio:

Sin complicaciones de traversal de NAT
Encabezados de extensión diseñados con IPsec en mente
ESP y AH funcionan como se pretende

Si necesitas cifrado entre hosts o sitios específicos, IPsec en IPv6 es directo—más que en IPv4 con NAT.

Características de seguridad de primer salto #

Los switches modernos ofrecen protecciones contra ataques locales:

RA Guard: Bloquea anuncios de router de puertos no autorizados. Esencial en todos los switches de acceso.

DHCPv6 Guard: Limita respuestas de servidor DHCPv6 a puertos autorizados.

Inspección ND: Construye una tabla de vinculación de mapeos MAC-a-IPv6 y valida tráfico NDP.

Source Guard: Descarta paquetes con direcciones de origen suplantadas basándose en la tabla de vinculación.

Estas características están disponibles en switches empresariales de Cisco, Juniper, Arista y otros. Configúralas—están deshabilitadas por defecto.

Errores comunes #

Habilitar IPv6 sin configurar el firewall. Si tus reglas de firewall solo cubren IPv4, estás completamente abierto en IPv6. Esta es la vulnerabilidad #1 en el mundo real.

Bloquear todo ICMPv6. Esto rompe el descubrimiento de MTU de ruta y causa fallos misteriosos de conectividad, especialmente para paquetes grandes y a través de túneles.

Ignorar IPv6 en redes «solo IPv4». La mayoría de los sistemas operativos habilitan IPv6 por defecto. Sin infraestructura adecuada, pueden usar link-local o hacer túnel a endpoints aleatorios.

Asumir que NAT64 proporciona seguridad. Las tecnologías de traducción no añaden seguridad. Solo traducen. Aún necesitas reglas de firewall.

Usar las mismas reglas de firewall para IPv4 e IPv6. Algunas reglas se traducen directamente; otras (como manejo de ICMP) necesitan atención específica.

Lista de verificación de seguridad #

Antes de poner en vivo IPv6:

Las reglas de firewall cubren explícitamente tráfico IPv6
Los tipos ICMPv6 esenciales están permitidos
RA Guard habilitado en switches de acceso
DHCPv6 Guard configurado si usas DHCPv6
Firmas de IDS/IPS actualizadas para IPv6
El registro captura direcciones de origen IPv6
Registros DNS revisados (no publiques registros AAAA innecesarios)
Extensiones de privacidad habilitadas en clientes
Monitoreo implementado para RAs maliciosos

Resumen #

La seguridad IPv6 no es más difícil que IPv4—es diferente. Los fundamentos permanecen: firewalls con estado, control de acceso adecuado, monitoreo y mantener sistemas parcheados.

El mayor riesgo no es la complejidad técnica. Es el período de transición donde IPv6 existe pero no está gestionado adecuadamente. Trata IPv6 como un ciudadano de primera clase en tu arquitectura de seguridad, no como una idea tardía.

Prueba tu configuración

Usa nuestras herramientas IPv6 Ping y Traceroute para verificar tu conectividad IPv6 y verificar que tu firewall permita el tráfico que esperas.