¿Es CG-NAT el nuevo Tor? La Europol no puede identificar a los delincuentes

Redes

La dirección IP es utilizada normalmente por las autoridades para tratar de identificar a un delincuente. Si bien como número no es suficiente, sí que permite aislar a una red o a un hogar un posible delito, pudiendo identificar al titular de la línea o a alguien de su casa que la utilice. El problema viene cuando se está utilizando CG-NAT, con decenas o cientos de usuarios compartiendo la misma IP.

CG-NAT: una solución al grave problema de escasez de IPv4

De esto se ha quejado hoy la Europol, que afirma que los usuarios cuyos operadores utilizan CG-NAT no pueden ser identificados correctamente, poniendo en entredicho a unas autoridades que han conseguido cerrar los mercados negros más populares de la Dark Web.

El NAT, como ya sabréis, es utilizado por los routers multipuerto y WiFi para poder ofrecer direcciones IP locales a dispositivos conectados dentro de una misma red (por ejemplo, un ordenador con una IP 192.168.1.127, y un móvil con IP 192.168.1.128). Así, el router puede redirigir el tráfico a cada dirección IP, pero la dirección IP externa es la misma del router hacia afuera.

cg-nat-ethernet

CG-NAT, o Carrier Grade NAT, consiste en que un operador lleva el NAT un paso más allá de nuestro hogar. Por ejemplo, en un barrio un operador puede asignar la misma dirección IP externa para decenas o incluso cientos de casas, creando una especie de red NAT más grande. En España, operadores como MásMóvil, Pepephone o Yoigo utilizan CG-NAT de serie, y los clientes tienen que llamar para solicitar manualmente que se les pase a poner una dirección IPv4 pública única.

Esto se hace por culpa de la escasez de direcciones IPv4 que hay en el mundo, ya que las direcciones nuevas se agotaron hace ya años, y actualmente se están reutilizando. CG-NAT, además de en banda ancha fija, también se aplica en conexiones móviles. Con IPv6 estos problemas no existen, ya que hay casi infinitas direcciones IPv6, y cada dispositivo puede tener la suya única. Usar CG-NAT tiene unos cuantos inconvenientes a la hora de usar algunos servicios, pero también parece tener una nueva ventaja relacionada con la privacidad.

CG-NAT esconde a los delincuentes de las autoridades

Y es que la Europol está teniendo graves problemas para identificar a delincuentes que utilizan CG-NAT. Al haber muchos hogares y usuarios diversos (no siempre en una zona geográficamente cercana), es prácticamente imposible identificar con certeza quién está cometiendo un delito. Esto, sin quererlo, añade una capa de anonimato a los usuarios que hace las veces de Tor, la red que anonimiza el tráfico de los usuarios (añadiendo bastante latencia y reduciendo la velocidad, al redirigir la conexión por muchos puntos), y es muy usado cuando se va a la Deep y Dark Web con fines delictivos.

Por culpa de esto, la Europol afirma que es prácticamente imposible que un operador pueda identificar al titular de cada línea asociada a una dirección IP. Esto supone que la dirección IP tiene aún menos validez como prueba para inculpar a alguien, o se impide que la dirección IP pueda llevar a obtener más evidencias sobre un delito.

cg-nat

La Europol ha llevado este asunto ante las autoridades y a los legisladores para encontrar una solución, ya que son varios los casos que se han encontrado en los que no han podido avanzar debido a que los usuarios investigados estaban detrás de un CGN. Entre las soluciones que proponen se encuentra fomentar el que no se use el CG-NAT por los operadores, registro de puertos, o la medida más lógica: que se hagan regulaciones para favorecer la expansión y despliegue de IPv6 por toda la Unión Europea. Esto además permitiría identificar a los usuarios con mayor facilidad, pues cada dispositivo tendría su propia IP sin necesidad de usar NAT.

Escrito por Alberto García

Fuente > ADSLZone

Vía > Europol

Continúa leyendo
  • David

    Entiendo que al igual que los ISP guardan un registro de la IP pública que le pertenece en cada momento a un usuario, ahora simplemente hay que añadir unas columnas al registro que también identifiquen la IP interna y los puertos que utiliza en cada momento para comunicarse.
    Es un jaleo para el ISP, pues claro que si; pero eso es problema de ellos.

    • luismg

      tengo mis dudas de que tengan capacidad de guardar la tabla de NAT del router agregado en todo momento.

      • David

        Y yo, pero es lo que están obligados a guardar legalmente si no me equivoco.

        • Uncualquiera

          Si la Europol ha puesto el grito en el cielo es por algo.

      • Mataor de toros

        No tienen que guardar toda la tabla NAT, sólo un registro de cada solicitud PPPoE junto con la IP privada asignada. Esto sólo significa una línea de registro cada vez que se reinicia el router.

        Obviamente para ello hace falta asignar un usuario a cada cliente, en vez de dar uno genérico.

  • Uncualquiera

    Ya se ha avisado de esto públicamente, este tipo de conexiones pueden venir muy bien a pederastas y acosadores, cuando compartas conexión con ellos ya que pasais por la misma ip pública eres tan sospechoso a ojos de la policía como este delincuente.

  • Graku

    Bienvenido el IPv6. Es de vital importancia acabar con el problema del CG-NAT cuanto antes.

  • Eso es lo que creen que con IPv6 siempre una única IP identificará a un único dispositivo. Y precisamente eso sería un potencial problema para la privacidad y la misma seguridad, por eso con IPv6 también se han desarrollado una serie de reglas a cumplir para paliar esto. Llamadas extensiones de privacidad.

    Salu2

  • Pingback: ¿Es CG-NAT el nuevo Tor? La Europol no puede identificar a los delincuentes – Instelestual()

  • Jordipaletm

    Creo que no se ha entendido el problema por parte de algunos de los que comentan. Lo digo con conocimiento de causa, porque yo soy una de las personas que está trabajando con Interpol y la EC en este tema.

    1) El problema no es la privacidad porque identifiquen a una persona con una IPv4, sino que cuando se identifica a un usuario de una IPv4 que es compartida que está delinquiendo, hay que investigar a TODOS los usuarios que tienen esa IP, y por tanto se multiplica por “n” usuarios esa posible infracción de la privacidad, hasta localizar al verdadero culpable.

    2) En IPv6, cada usuario tiene /48, que son solamente 65.535 subredes de 2^64 direcciones IPv6 cada una. Es decir, se mejora la privacidad, porque el usuario puede estar cambiando de IP, o de subred, además que lo normal es que en un hogar hay a menudo múltiples usuarios, y como se ha dicho, IPv6, permite direcciones de privacidad, etc. Pero de cara a una investigación judicial eso da igual, porque lógicamente el ISP tiene que identificar, si le llega una orden judicial “quién” es el que firma el contrato de un determinado /48.

    3) El ISP, por ley, está obligado a conservar los datos que identifican la IP, pero no los puertos, que es lo que identifica, cuando se comparte una misma IP entre varios usuarios. Si lo hace le cuesta dinero y mucho, y es algo voluntario, salvo que se cambie la ley, lo cual demoraría seguramente años, y luego hay que dar un plazo razonable (un año quizás) para implementarlo. IPv6 cuesta menos desplegarlo y se tarda menos. Además, controlar uno a uno los usuarios detrás de IP compartidas, a los ISPs pequeños les podría hundir el negocio por su alto coste. Los grandes, lo hacen o lo harían, porque su coste se reparte entre muchos mas usuarios.

    4) Si es un jaleo de los ISPs, pero lo terminamos pagando todos …