Cada vez que abres una página, tu dispositivo y un servidor al otro lado del mundo intercambian datos que tienen que saber a dónde ir. Eso solo funciona porque cada punto de la red tiene una dirección. Detrás de esa idea sencilla se apilan tres piezas —la dirección IP, la subred y el NAT— que casi nadie ve pero que deciden, literalmente, cómo te encuentra internet.
Qué es una dirección IP
Empecemos por lo básico: si no hay dirección, no hay entrega. Una IP cumple para los datos el mismo papel que una dirección postal cumple para una carta.
Una dirección IP es el identificador único de un dispositivo dentro de una red: sirve para que los datos sepan a dónde ir y de dónde vinieron. Sin ella, un paquete no tiene destino.
IPv4 son 32 bits: cuatro números de 0 a 255 separados por puntos, como 192.168.1.10. Se agotaron —el mundo tiene más dispositivos que direcciones—, y por eso existe IPv6, de 128 bits, con muchísimas más combinaciones disponibles.
Hay una distinción que conviene fijar desde ya: no todas las IP son iguales. Una dirección pública es la que te ve internet —única y enrutable en toda la red mundial—. Una dirección privada solo tiene sentido dentro de tu propia red local y no viaja hacia afuera. Volveremos a esto, porque es donde nace la confusión más común de todas.
Subredes: dividir para ordenar
Una red grande de direcciones sin ninguna división sería un caos: todo el tráfico mezclado, sin fronteras y sin control. La subred es la herramienta para poner orden.
Una subred agrupa un rango de direcciones que comparten una misma sección de red. La máscara —o su forma corta, la notación CIDR como /24— define cuántas direcciones caben en ese rango y dónde termina la red y empieza el host.
Un /24, por ejemplo, reserva los primeros 24 bits para la red y deja el resto para los dispositivos: unas 254 direcciones utilizables en ese bloque.
¿Por qué molestarse en segmentar? Por tres razones que se refuerzan entre sí:
- Organización. Cada área, planta o tipo de equipo vive en su propio rango, y la topología se vuelve legible en lugar de una masa plana de direcciones.
- Seguridad. Separar en subredes permite poner reglas entre ellas: qué rango puede hablar con cuál. Aislar es la base de contener un problema.
- Control del tráfico. Cuando la red está segmentada, el tráfico local se queda en su subred y no va a donde no debe, lo que reduce ruido y superficie de exposición.
IP privadas y NAT
Aquí es donde encaja el truco que sostiene el internet de todos los días. Como las IPv4
se agotaron, existen rangos privados —10.x,
172.16–31.x y 192.168.x— que están reservados para uso interno
y se reutilizan en millones de redes distintas a la vez. Tu
192.168.1.10 y el de tu vecino son la misma dirección en dos redes que nunca
se cruzan.
Pero si esas direcciones se repiten en todas partes, no pueden viajar por internet tal cual: no serían únicas. Ahí entra el NAT.
- Tu dispositivo tiene una IP privada asignada dentro de tu red local (por ejemplo,
192.168.1.10). - Al salir a internet, el router aplica NAT y reemplaza tu IP privada por la IP pública de la red —la única que internet puede ver y enrutar—.
- El router recuerda esa traducción para, cuando llegue la respuesta, devolvértela al dispositivo correcto dentro de tu red.
El efecto es directo: toda tu casa u oficina —decenas de dispositivos— sale a internet con una sola IP pública compartida. Internet no ve tu celular, tu laptop y tu televisor por separado; ve una sola puerta, la de tu router, y el NAT se encarga de repartir por dentro lo que entra y sale.
El gateway por defecto
Falta una pieza para cerrar el circuito: ¿cómo decide un dispositivo si el destino está dentro de su red o afuera? Ahí interviene el gateway por defecto.
El gateway por defecto es la puerta de salida de tu red. Cuando el destino de un paquete no está en tu subred, tu dispositivo no sabe cómo llegar directamente, así que se lo entrega al gateway —normalmente el router—, que lo encamina hacia afuera.
La lógica es simple: si el destino cae dentro de tu subred, el tráfico se entrega directo entre dispositivos vecinos. Si cae fuera, se manda al gateway y él decide el siguiente salto. Es la frontera entre "esto lo resuelvo yo" y "esto sale de la red".
Errores comunes
"Mi IP es 192.168.1.5." Esa es tu IP privada, la que tienes dentro de tu red local. La que ve internet es la IP pública de tu router, compartida por todos los dispositivos de tu casa. Búscala con un simple "what is my IP" y verás que no se parece en nada.
- Confundir pública con privada. Es la raíz de casi todo lo demás: si crees que tu IP privada es la que te ve internet, todo lo que deduzcas después estará torcido.
- IP fija vs. dinámica. La IP pública que te da el proveedor suele cambiar cada cierto tiempo, salvo que contrates una fija. No asumas que la de hoy será la de mañana.
- Creer que una IP identifica a una persona. Una IP identifica una salida de red, no a alguien: detrás de esa única IP pública puede haber decenas de dispositivos y varias personas gracias al NAT.
El ángulo banca
En banca, el direccionamiento no es un detalle de infraestructura: es una decisión de seguridad. Cómo se reparten las IP y cómo se dibujan las subredes determina qué sistema puede siquiera intentar hablar con cuál.
- Segmentación por subredes para aislar entornos. La DMZ pública vive en su propia subred; el back-office interno, en otra; las bases de datos, en una subred propia sin salida directa a internet. Cada zona con sus reglas.
- NAT y firewall en el perímetro. Lo que sale y entra pasa por un punto controlado donde se traduce, se filtra y se registra. Nada cruza la frontera por accidente.
- Direccionamiento controlado. IPs estáticas para servicios críticos y allow-lists por IP entre instituciones: solo las direcciones esperadas pueden conectarse, y todo lo demás se descarta de entrada.
En banca, quién puede hablar con quién se decide en el direccionamiento, no después. La subred, la IP estática y la allow-list son la primera frontera —la que se dibuja antes de que llegue el primer paquete—, y por eso el diseño de red pesa tanto como el código que corre encima.