Migración a IPv6: guía práctica para administradores

El agotamiento de las direcciones IPv4 no es una amenaza futura: es una realidad consolidada. Los registros regionales de Internet (RIRs) completaron el agotamiento de sus pools de IPv4 libre hace años. Las empresas siguen funcionando gracias a NAT, a la reutilización de bloques privados y, en algunos casos, a costosas compras de bloques IPv4 en el mercado secundario. Pero esta situación tiene un límite, y ese límite se acerca para muchas organizaciones, especialmente las que operan en sectores con muchos dispositivos conectados: telecomunicaciones, manufactura, sanidad, retail.

IPv6, el protocolo diseñado para reemplazar IPv4, existe desde 1998. Su adopción ha sido lenta, pero ha acelerado notablemente en los últimos años impulsada por los operadores móviles, los grandes proveedores cloud y los ISPs. Hoy, una fracción significativa del tráfico de Internet ya se transporta sobre IPv6. Sin embargo, muchas redes corporativas internas siguen siendo IPv4-only, con los costes operativos y limitaciones técnicas que eso conlleva.

Esta guía está dirigida a administradores de red que necesitan entender qué implica realmente una migración a IPv6, qué mecanismos de transición existen, cómo planificar el proceso y qué errores evitar. No es una introducción teórica a IPv6: asume conocimientos básicos del protocolo y se centra en la dimensión práctica y empresarial.

Diferencias clave entre IPv4 e IPv6 relevantes para la operativa

Más allá del tamaño de la dirección (32 bits vs 128 bits), IPv6 introduce cambios estructurales que afectan a la operativa diaria. El más importante es la eliminación de ARP y su sustitución por NDP (Neighbor Discovery Protocol). NDP usa mensajes ICMPv6 para resolver direcciones MAC, descubrir routers y autoconfigurar interfaces. Bloquear ICMPv6 indiscriminadamente en firewalls —práctica que sí es aceptable con ICMP en IPv4— rompe IPv6 por completo.

• SLAAC (Stateless Address Autoconfiguration): los hosts IPv6 pueden autoconfigurarse una dirección global sin DHCP, combinando el prefijo anunciado por el router con la EUI-64 derivada de la MAC o con una dirección aleatoria (privacy extensions). Esto simplifica el aprovisionamiento pero complica el tracking de dispositivos.
• DHCPv6: equivalente al DHCP de IPv4, permite asignar direcciones y opciones de configuración de forma stateful. Puede coexistir con SLAAC.
• Multicast en lugar de broadcast: IPv6 elimina el broadcast. Las comunicaciones de descubrimiento usan grupos multicast específicos (all-nodes, all-routers, solicited-node), lo que es más eficiente pero requiere que los switches estén configurados para MLD snooping.
• Encabezado simplificado: el header IPv6 es fijo (40 bytes) con extensiones opcionales en cadena. Facilita el procesamiento en hardware pero requiere soporte específico en equipos de seguridad.
• IPSec integrado: IPv6 tiene soporte nativo para IPSec, aunque en la práctica no es obligatorio y su uso sigue siendo configurable igual que en IPv4.

Mecanismos de transición: el ABC de la convivencia IPv4/IPv6

La migración completa de IPv4 a IPv6 en una red empresarial no ocurre de un día para otro. Durante años, ambos protocolos deben coexistir. Los tres mecanismos principales de transición son dual-stack, tunneling y traducción (NAT64/DNS64).

Dual-stack: el modelo preferido

En un modelo dual-stack, cada dispositivo tiene simultáneamente una dirección IPv4 y una IPv6. Las aplicaciones y el sistema operativo eligen el protocolo según la disponibilidad del destino, siguiendo el algoritmo de selección de dirección de origen definido en RFC 6724. Dual-stack es el mecanismo más limpio y compatible: no requiere traducción ni tunneling, y cada protocolo funciona de forma independiente. El precio es que hay que operar y securizar dos pilas de protocolo en paralelo, lo que dobla la superficie de gestión en transición.

Tunneling: 6in4, 6to4, Teredo y más

El tunneling encapsula tráfico IPv6 dentro de paquetes IPv4 para atravesar tramos de red que solo soportan IPv4. Hay múltiples variantes: 6in4 (encapsulación manual sobre IPv4 unicast, la más predecible), 6to4 (usa un prefijo derivado de la IP pública IPv4, obsoleto en producción), Teredo (tunneling a través de NAT IPv4, solo para clientes), ISATAP (entornos intranet), DS-Lite y MAP-E (usados por operadores para acceso de clientes). En entornos empresariales, el tunneling solo debe usarse como solución temporal de transición; el objetivo final es siempre native dual-stack o IPv6 nativo.

NAT64 y DNS64: acceso IPv6-only a recursos IPv4

NAT64 es un mecanismo de traducción que permite a hosts IPv6-only comunicarse con servidores IPv4. El gateway NAT64 traduce los paquetes entre ambos protocolos. DNS64 es el complemento necesario: cuando un cliente IPv6-only resuelve un nombre que solo tiene registro A (IPv4), DNS64 genera un registro AAAA sintético mapeando la dirección IPv4 al prefijo NAT64. Este modelo es usado por operadores móviles (donde la red interna ya es IPv6-only) y es relevante para empresas que quieren deprecar IPv4 en su red interna manteniendo acceso a recursos IPv4 legacy.

Plan de migración empresarial: fases recomendadas

Una migración a IPv6 bien ejecutada sigue un plan estructurado en fases. El objetivo no es hacerlo todo a la vez, sino ir habilitando IPv6 de forma incremental, validando en cada paso y reduciendo el riesgo de interrupciones.

1. Fase 0 - Inventario y análisis de brechas: documenta todos los sistemas de red (routers, switches, firewalls, balanceadores, proxies), aplica un análisis de soporte IPv6 en cada uno e identifica los que requieren actualización o sustitución. Incluye también el software de gestión: IPAM, NMS, SIEM, sistemas de tickets.
2. Fase 1 - Infraestructura de direccionamiento: solicita un bloque de direcciones IPv6 a tu proveedor o a tu RIR. En Europa, RIPE NCC gestiona las asignaciones. Diseña el plan de direccionamiento IPv6 interno: prefijos por sede, por VLAN, por función. IPv6 tiene espacio de sobra; no repitas los errores de escasez de IPv4.
3. Fase 2 - Habilitación en la infraestructura de routing: activa IPv6 y OSPFv3 o IS-IS con soporte IPv6 en el backbone de la red. Configura BGP para IPv6 (MP-BGP, familia de direcciones IPv6) si tienes peering externo. Actualiza las ACLs y políticas de seguridad para incluir IPv6.
4. Fase 3 - Dual-stack en servidores y servicios críticos: habilita IPv6 en los servidores de aplicaciones, DNS autoritativo, proxies inversos y balanceadores. Prueba la accesibilidad y rendimiento de los servicios en IPv6.
5. Fase 4 - Dual-stack en clientes y dispositivos de usuario: habilita RA (Router Advertisements) en las VLANs de usuarios. Configura DHCPv6 si necesitas control centralizado de asignaciones. Valida que los endpoints (Windows, macOS, Linux) funcionan correctamente en dual-stack.
6. Fase 5 - Monitorización y seguridad IPv6: actualiza todas las herramientas de monitorización para incluir métricas IPv6. Revisa reglas de firewall para asegurarte de que el tráfico IPv6 pasa por los mismos controles que el IPv4.
7. Fase 6 (opcional) - Deprecación de IPv4: en redes internas donde todos los sistemas son nativos IPv6, puedes comenzar a deprecar IPv4. Usa NAT64/DNS64 para el acceso a recursos IPv4 legacy.

Diseño del plan de direccionamiento IPv6

Uno de los mayores regalos de IPv6 es la abundancia de espacio de direcciones. Una asignación típica para una empresa de tamaño medio es un prefijo /48 de su ISP, lo que da 65.536 subredes /64. No tiene ningún sentido replicar en IPv6 las chapuzas de subnetting de IPv4 diseñadas para conservar espacio. Cada VLAN, cada función, cada zona de seguridad debe tener su propio /64 sin restricciones.

Una convención de nomenclatura clara es crítica. Por ejemplo: el tercer grupo de la dirección puede representar el número de sede (0001 para la sede central, 0002 para la segunda sede), el cuarto grupo la función o VLAN (0001 para servidores, 0002 para usuarios, 0003 para gestión, 0100 para IoT). Documentar este esquema en el IPAM desde el principio evita el caos que a menudo caracteriza los esquemas de IPv4 heredados.

Seguridad en IPv6: diferencias respecto a IPv4

IPv6 introduce nuevos vectores de ataque que muchos equipos de seguridad no tienen en cuenta. El primero y más crítico es la autoconfiguración: si no se implementa RA Guard (protección contra Router Advertisement falsos) en los switches, un atacante puede enviar RAs maliciosos y redirigir el tráfico IPv6 de toda la red a través de su máquina. RA Guard es el equivalente a DHCP Snooping en IPv4 y debe habilitarse en los switches de acceso en todos los puertos de usuario.

• RA Guard: bloquea RAs no autorizados en puertos de usuario. Disponible en Cisco IOS, Aruba, Juniper y la mayoría de switches empresariales.
• DHCPv6 Shield: equivalente a DHCP Snooping para DHCPv6. Bloquea mensajes DHCPv6 server en puertos de usuario.
• IPv6 Source Guard: verifica que el tráfico IPv6 saliente de un puerto usa las direcciones asignadas al dispositivo.
• Neighbor Discovery Inspection (ND Inspection): valida los mensajes NDP para prevenir envenenamiento de la tabla de vecinos (equivalente al ARP spoofing en IPv4).
• Filtrado de ICMPv6: a diferencia de ICMP en IPv4, ICMPv6 es crítico para el funcionamiento de IPv6. Los firewalls deben permitir los tipos necesarios (Neighbor Solicitation/Advertisement, Router Solicitation/Advertisement para interfaces donde aplique, Path MTU Discovery) y bloquear solo los tipos genuinamente peligrosos.

Herramientas y recursos para la migración

La migración a IPv6 se apoya en un ecosistema de herramientas bien establecido. Para la planificación del direccionamiento, herramientas IPAM como phpIPAM, NetBox o Infoblox tienen soporte completo de IPv6. Para el testing de conectividad y diagnóstico, las herramientas estándar (ping, traceroute, dig, nmap, Wireshark) todas soportan IPv6 con flags específicos (ping6, traceroute6, o simplemente pasando una dirección IPv6). Para la auditoría de seguridad, THC-IPv6 toolkit (con fines de pentesting y auditoría legítima) y el escáner de red nmap con soporte IPv6 son los más usados.

Errores frecuentes en migraciones IPv6

• Bloquear ICMPv6 completamente en el firewall: rompe NDP, Path MTU Discovery y el funcionamiento básico de IPv6.
• No implementar RA Guard desde el principio: riesgo real de ataques de redirección.
• Ignorar IPv6 en las reglas de firewall: una ACL que solo filtra IPv4 deja el tráfico IPv6 sin controles.
• No actualizar el SIEM y las herramientas de monitorización: si los logs no incluyen eventos IPv6, la visibilidad de seguridad queda ciega para la mitad del tráfico.
• Usar solo SLAAC sin IPAM: la autoconfiguración es cómoda pero dificulta el tracking de dispositivos. Combina SLAAC con DHCPv6 stateful o usa ND tracking en los switches.
• Subestimar el trabajo de actualización de software: muchas aplicaciones legacy tienen soporte IPv6 deficiente o nulo. Inventaría este aspecto en la fase 0.

IPv6 en entornos cloud y multisede

Los principales proveedores cloud (AWS, Azure, GCP) tienen soporte completo de IPv6. AWS asigna bloques /56 a las VPCs, Azure soporta dual-stack en VNets y GCP tiene soporte IPv6 en subredes. Extender la estrategia de direccionamiento IPv6 corporativa hasta los entornos cloud es un paso natural que simplifica la conectividad híbrida y elimina la necesidad de NAT entre la red corporativa y la cloud.

La migración a IPv6 no es una tarea técnica optativa: es deuda de infraestructura. Cada año que se retrasa aumenta el coste de operación del legacy IPv4 y complica la adopción de tecnologías que asumen IPv6 nativo.

Conclusión

La migración a IPv6 es un proyecto de largo recorrido que requiere planificación, conocimiento técnico y voluntad organizativa. No tiene sentido seguir posponiendo el inicio: el coste de operar redes IPv4-only no hace más que crecer, y muchos proyectos de transformación digital (IoT masivo, 5G privado, arquitecturas zero trust modernas) asumen IPv6 como base.

El mejor punto de partida es la fase de inventario: conoce exactamente qué equipos, aplicaciones y herramientas tienes y cuáles soportan IPv6 ya hoy. Probablemente la mayoría del hardware moderno está listo; las fricciones suelen estar en software legacy y en la falta de conocimiento del equipo. Forma a tu equipo, ejecuta un piloto en una VLAN controlada y construye desde ahí el plan de migración completo. El esfuerzo inicial se amortiza con una infraestructura más limpia, escalable y alineada con el futuro de Internet.