Antes de ir al kit de la cuestión, vamos a hablar brevemente de teoría de redes …
Internet, así como las Intranets, ya sea la de tú casa o la de una red corporativa funcionan con TCP/IP, esa parte de IP que utilizamos habitualmente es IPv4 y se trata de una dirección lógica con la cual se pueden comunicar un equipo con otro (tanto cuando hace de cliente, como si hace de servidor).
El IPv4 utiliza direcciones de 32 bits, separadas en 4 octetos, obviamente cada octeto puede tener un valor posible de 2^8, es decir, entre 0 y 255, así formamos las conocidas direcciones tipo 192.149.252.76 (por poner un ejemplo). Así en global, podemos generar 2^32 direcciones IP únicas, lo que supone teóricamente 4.294.967.296 direcciones posibles, que en la práctica y debido al funcionamiento de las redes, a los rangos reservados, al subnetting, etc. etc. son menos, pero bueno, aunque puedan parecer muchas direcciones, hace mucho mucho tiempo que ya quedó desfasado (años) y no hay direcciones suficientes para asignar una dirección única a cada dispositivo que se quiera conectar a la red y además teniendo en cuenta que hoy en día todo se conecta a Internet, casi cualquier dispositivo y con las redes 5G se promete aún mayor conectividad a más dispositivos y cada uno debería tener una dirección IP única para estar conectado a la red (Internet).
Explicado muy brevemente ese era el panorama hasta que apareció IPv6 que incorpora nuevas funciones al protocolo IP y además amplia enormemente el espacio de direcciones únicas a 128 bits, es decir, podemos generar un máximo de 2^128 o lo que es lo mismo 340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones posibles, como se puede ver por los puntos, son muchas muchas. Aunque bueno, a alguien también le parecieron muchas cuando se creó IPv4, así que nunca digas muchas, la cuestión es que este protocolo se empezó a desarrollar en 1998 (hace más de 25 años) y todavía hoy sigue sin despegar, los motivos no vienen al caso y en Internet a partir de 2012 se esta utilizando oficialmente en nodo trocales (routers, enlaces de red, etc.), así como en algunos sites que tienen dirección IPv6.
Según una estadística publicada en agosto de 2024, aprox. un 25% de Internet estaría utilizando IPv6, pero en general y con diferentes bypass al problema de falta de direcciones IP, seguimos utilizando IPv4, incluso algunos “sites” como pueden ser google.com que resuelven IPs de tipo IPv6, siguen utilizando mayoritariamente IPv4. Aunque nuestros dispositivos, la gran mayoría configuran el adaptador de red para utilizar ambos protocolos IPv4 e IPv6 por defecto, de ahí la pregunta que hacía al inicio, ¿para que tener activado IPv6 en tu equipo?
Para mi, al menos, la respuesta esta clara, actualmente y con la situación actual, para nada. Ya han salido diversas vulnerabilidades que explotan el protocolo IPv6 (esto no es una novedad, constantemente aparecen vulnerabilidades que afectan al software, a los protocolos, etc. y IPv6 no es una excepción, ni es la causa de ningún problema en general), pero cual es la recomendación que se suele hacer siempre desde los equipos de ciberseguridad: “cierra cualquier protocolo o servicio que no sea estrictamente necesario”, para que quieres tener más puertas abiertas de las necesarias ante un posible atacante. La última vulnerabilidad aparecida recientemente y que me ha hecho escribir este post es la CVE-2024-38063 que afecta a todos los Windows que tenga activo el IPv6 y que puede llegar a permitir la ejecución remota de código (RCE), esta valorada a nivel de riesgo con una puntuación CVSS de 9.8.
Cuando aún era un novato en esto de la informática, ahora soy menos novato pero aprendiz siempre, recuerdo que ya teníamos los equipos tanto Windows, como Linux con el protocolo IPv6 activo (no se le asignaba ninguna dirección), aunque no se usaba lo teníamos activo con lo cual y eso en su momento no lo sabía, cada vez que realizamos una operación en IPv4 y funciona correctamente pues adelante tira millas, todo OK. Pero por ejemplo cuando hacemos una busqueda DNS y no encontramos una resolución de un nombre a IP, además de los registros habituales asociados a IPv4 también probamos los registros DNS destinados para IPv6 como puede ser el AAAA (por el hecho de tener el protocolo activo), en una red (aunque interna) grande, la cantidad de consultas al DNS de registros que lo más probable es que no se van a resolver porque no existen era considerable (esto es solo un ejemplo). Si utilizamos DHCP tanto de lo mismo, si no tenemos desactivado el adaptador vamos buscar a ver si se nos asigna una dirección IPv6 (DHCPv6). Y seguro que cualquier técnico en redes se le podrían ocurrir más ejemplos que hacen ineficiente tener activado este protocolo sin usarlo realmente.
En conclusión, solo por el hecho de tener activado el protocolo en el adaptador de red, generamos toda una serie de tráfico de red innecesario, podemos exponernos a ciertas vulnerabilidades, etc. etc. Por lo tanto, donde está la ventaja de tener el IPv6 activo, yo no se la veo y menos en una red local domestica o incluso en una corporativa en la que seguramente no se enrutará el tráfico a Internet, sino que se utilizarán servidores proxy para la navegación por lo general (al menos en grandes redes, donde se quiere tener controlado y analizado por seguridad el tráfico de los usuarios).
En su momento decidí que cada cliente o servidor que montara tanto Linux, como Windows, le desactivaría el protocolo, el día que fuera necesario ya lo activaría, el día en que necesite asignarle una dirección IPv6, mientras tanto mi configuración por defecto es desactivarlo y problemas que me evito. Y así lo estuve haciendo y así se lo estuve transmitiendo a mis equipos, cuando ya era menos novato. Ahora me dedico a ciberseguridad y ya no monto tantos servidores, ni clientes, solo para mis pruebas y proyectitos, pero sigo desactivando dicho protocolo por el mismo motivo por el que lo empecé a hacer.
Hace unos días, como he comentado antes, apareció una vulnerabilidad con nivel de riesgo crítico y muchos sysadmins han tenido que desactivar IPv6 en sus equipos Windows a prisa y con urgencia, Personalmente, sensación agridulce, por una lado, haber acertado en las buenas prácticas y recomendaciones que durante años he hecho (no soy ningún visionario y también me equivoco, solo seguí lo que me dictaba el sentido común) y por otro, toda mi solidaridad con todos los profesionales que estos días han tenido o están teniendo que realizar un trabajo extra y de urgencia desactivando IPv6 o instalando parches, para evitar posibles incidentes de seguridad.
Moraleja, todo aquel protocolo, software o servicio, puerto, etc. que no necesites tenerlo activo para la funcionalidad que estás ofreciendo con ese equipo, no lo tengas.