Diálogo con Enrique Chaparro sobre IPv6
Pillku.org
La respuesta parecía obvia desde un principio, pero para no caer siempre en las mismas personas, le preguntamos entonces a nuestro amigo Federico Heinz, quien enseguida dijo: “la verdad es que no tengo demasiadas críticas a IPv6, pero si querés saber de eso, mejor preguntale al libro gordo del Chapa”.
Así que estábamos de vuelta mandándole un mail al Chapa. “Chapa” es el diminutivo de Enrique Chaparro, matemático y miembro de la Fundación Vía Libre, quien trabajó durante muchos años como asesor en seguridad informática para diferentes organismos nacionales e internacionales. En sus ratos libres, se dedicó a estudiar en general sobre humanidades y ciencias sociales, por lo que siempre resulta la primera persona en la que se piensa para indagar sobre los aspectos técnicos y políticos de algún tema: desde la propiedad intelectual hasta el feminismo, pasando por Internet, IPv6 o la seguridad informática.
Quedamos en el bar Orsai, en San Telmo, pero estaba cerrado. Hacía pocos días había sido el golpe de Estado en Paraguay, y mientras caminábamos hacia la entrevista, escuchábamos en la radio a un compañero de medios de Bolivia que relataba cómo la marcha de los aborígenes del Tipnis esperaba por su ingreso a la ciudad de La Paz, para no mezclarse con el intento golpista de la polícia boliviana, que había iniciado su huelga hacía dos días.
Nos quedamos esperando en una esquina a que Chapa apareciera, mientras en la radio seguía hablando el compañero boliviano. Cuando la entrevista llegó a su fin, apareció el Chapa.
Caminamos un par de cuadras hasta encontrar otro bar que cumpliera con la regla de las tres b: bueno, bonito y barato. Nos sentamos y pedimos una cerveza.
Chapa: Bueno, ¿cuál es la gran pregunta?
Pillku: En realidad, nosotros teníamos pensado para este número tratar el tema de Ipv6. Algunas personas no ven nada malo realmente en la implementación de IPv6.
Chaparro: No, no necesariamente. ¿Vos tenés idea cómo funciona un sistema de comunicaciones? Uno medianamente bien diseñado independiza lo que sucede en una capa respecto de lo que sucede en otra. De modo tal que un mensaje para llegar del dedo de quien lo escribe al ojo de quien lo ve, atraviesa toda una serie de capas para terminar allí. Y se supone que la mejor garantía de éxito está dada por la independencia relativa de cada una de estas capas. Que a una no le importa lo que pasa por arriba ni lo que pasa por debajo. Se limita a ser un conjunto de funciones específicas. De modo tal que lo que lleve es transparente. Cuando estas capas se implementan es un protocolo. ¿Qué es un protocolo? Es una secuencia ordenada de pasos acordados entre por lo menos dos interlocutores. El “por lo menos dos” es la diferencia fundamental entre un protocolo y una receta de cocina que también es una secuencia ordenada de pasos, pero no es un protocolo porque uno actúa sin necesidad de respuesta.
Pillku: O sea que un protocolo de comunicación es un oxímoron en realidad.
– Claro, es un oxímoron. La base de la Internet es una protocolo que se llama “IP”, Internet Protocol. En realidad la Internet es IP. Todo lo demás es, digamos, valor agregado. La Internet es IP y los protocolos asociados a IP que permiten que los paquetes IP viajen. IP está bastante abajo, IP se encarga de normalizar los paquetes de datos, de una dirección de partida a una dirección de llegada. Para eso va con un paquetito que dice “yo soy A, voy para B, tengo esta vida”…
El Chapa saca una agenda y en la agenda empieza a hacer dibujitos de paquetes IP y capas de los protocolos. Algunos asemejan ser trenes, y en algunos de esos vagones va escribiendo: TCP, UDP…
Pillku: ¿Tengo esta vida “útil”? ¿De tiempo que puedo esperar?
– Sí, tengo esta vida útil. O de cantidad de veces que puedo rebotar. Porque si no, por un error de ruta, podría quedarme rebotando infinitamente. Entonces cada vez que reboto le descuento uno a esto. Si salgo con vida 255, pasé por el primer nodo, tengo vida 254, y etcétera. Alguna vez habrás hecho en tu máquina un ping y te contesta con un valor que es TTL, es el “time to live”. Es cuántas vidas había perdido el paquete de vuelta en el camino, es decir, por cuántos puntos pasó antes de llegar hasta donde vos estás. Vos le restás a 255 eso y te dice.
Pillku: Bueno, entonces.
– Entonces te dice, “soy de acá, voy para allá”, eventualmente puede tener un indicador que diga “llevo esta carga”, y lleva una cierta carga. Y un furgoncito de cola. Es como un tren. IP puede llevar cualquier carga, a él no le importa qué carga lleva. Por ejemplo, TCP está ahí adentro. Porque IP no es lo que se llama un protocolo orientado a conexión. IP no garantiza que va a llegar a ninguna parte. TCP sí, es un protocolo orientado a conexión, es decir que una vez que se estableció se va a encargar.. TCP habla acá más arriba. Entonces cuando llegó un paquete TCP al ojo, el ojo le va a contestar “lo recibí”.
Pillku: Es decir que IP lo único que va a hacer es mandar el paquete.
– IP lo único que hace es llevar el paquete.
Pillku: Y si hay respuesta o no, no le importa.
– Si hay respuesta o no, no le importa.
Pillku: ¿Y entonces por qué tiene el tiempo de vida útil?
– Para que no se quede boyando. Tiene ese tiempo de vida útil, rebota, y se muere. Se muere sin consecuencias, porque IP no espera ninguna forma de contención ni de respuesta. La contención y la respuesta están dadas más arriba, a nivel del protocolo TCP, que es el que establece un diálogo que no es de sordos.
Problemas estructurales en las vías del tren
Pillku: Bueno, pero si no hay rieles no hay trenes.
– Entonces, la red ferroviaria es la Internet. Los rieles, locomotora, los vendedores de boleto, las señales, la red ferroviaria. Los pasajeros que viajan son los paquetes. Uno podría usar la analogía de que un vagón es un paquete IP, adentro hay un montón de pasajeros, o hay uno muy gordo, que es el portador del mensaje. En general es un paquete TCP, puede ser un paquete UDP. Entonces IP es la piedra angular de este sistema, a pesar de que es un protocolo relativamente simple. La gran cosa de la Internet cuando fue concebida es que los protocolos son simples. Hay dos definiciones de la Internet. La definición técnica cruda: Internet es un sistema que lleva paquetes IP de una dirección IP a otra dirección IP. Y la otra definición que también es cierta es: Internet es un sistema débilmente acoplado y de redes voluntariamente interconectadas. Esto desde el punto de vista de la arquitectura. Desde el punto de vista de la funcionalidad, es lo que dijimos al principio: Internet es una red que lleva paquetes IP desde una dirección IP hasta otra dirección IP. Todo lo demás es 2.0. Entonces, un paquete IP tiene por lo menos dos direcciones. De dónde vengo y a dónde voy. De dónde vengo y a dónde voy siempre son host. Entonces la red no solo está compuesta de host terminales, sino que hay un montón de cosas por el medio, cada uno de los cuales consume direcciones. Entonces, la versión que usamos hasta ahora del protocolo IP, un IP versión 4, tiene…
Pillku: 2 a la 32 direcciones posibles
– Sí, 2 a la 32 direcciones posibles, pero además dos limitaciones serias. Uno es la cantidad limitada de direcciones, sumado al mal reparto entonces de las direcciones que tienen que ver con la política originaria de Internet. Y la otra son déficits estructurales del protocolo.
Pillku: ¿Por qué son déficits estructurales?
– Porque son cuestiones que no fueron contempladas en el diseño, o si fueron contempladas no se consideraron importante en el momento de diseñarla. Y en general parcharlos implica recurrir al mecanismo de las múltiples camisetas agujereadas. Es decir, colocarse una camiseta agujereada por encima de otra camiseta agujereada con la esperanza de que los agujeros no coincidan. Pero esta esperanza es absolutamente aleatoria. Uno de los problemas principales, de los déficits estructurales del sistema, es que los paquetes son de buena voluntad: el receptor tiene confianza intrínseca en que el paquete proviene de donde dice provenir.
Pillku: ¿Y eso se puede cambiar? ¿El paquete puede mentir?
– Ah, sí, por supuesto, yo lo puedo hacer mentir lo que quiera a un paquete. Por supuesto que no lo voy a recibir de vuelta.
Pillku: Digamos, lo va a recibir de vuelta el que figura como origen del paquete.
– Esa es la base de los ataques de la denegación de servicio. Por ejemplo, le mando a Megaupload los paquetitos que hacen falta para decirle “descargame el último episodio de Game of Thrones”. Pero te lo mando a vos, a mí no me importa Game of Thrones, yo sólo quiero joderte a vos.
Pillku: Entonces a mí me va a descargar la serie todo el tiempo.
– Es una explicación simplista, pero esa es la idea central. Es decir, yo puedo hacerle mentir al paquete lo que yo quiera. Y es un protocolo bastante tonto, se deja engañar con facilidad por los routeadores, no asegura la carga.
Pillku: Pero, entonces, esto es un deficit estructural del sistema, ¿pero efectivamente está tan implementado? ¿Hay tanta gente haciendo cambios de la dirección IP como para que realmente sea considerado un déficit?
– Es un déficit, porque alguien puede llegar a necesitar certeza de que lo que viaja no sea una tarjeta postal en una botella tirada al mar sino que sea una carta certificada.
Pillku: Pero, por ejemplo, ¿quiénes necesitan eso?
– Sistemas de control.
Pillku: ¿Un banco, por ejemplo?
– Sí, sistemas de control en donde vos controlás remotamente. Suponete que vos tenés el control de lo que está sucediendo en un gasoducto a través de Internet. Los sensores de gasoducto te mandan la información del flujo, y tenés una aplicación que si ve que el flujo es creciente o que la presión aumenta o alguna cosa por el estilo va a disparar una alarma, va a prender luces de colores, antes de que el gasoducto estalle. Pero yo lo que podría hacer en cualquier routeador por el cual ese paquete pasa es interceptar el paquete, y enviar en reemplazo de ese paquete uno que diga “acá está todo bien”, o “acá está todo mal”, disfrazando la dirección de origen. Ese aseguramiento es crítico en muchísimas aplicaciones. Para eso hubo que inventar un parche, que es el protocolo IPsec, que hace el aseguramiento de los paquetes, dentro de IPv4. Es un protocolo que envuelve los paquetes IPv4, garantiza las rutas, hay montones de protocolos adicionales de seguridad que son requeridos por los déficits de confianza intrínseca de los protocolos versión 4.
Pillku: Básicamente IPSec está puesto ahí donde hay un problema crítico respecto de la certeza de la dirección.
– La certeza de la dirección, la confianza de los contenidos, etcétera.
Pillku: Y todo el resto de los sitios no implementan IPsec.
– Pero vos lo podrías implementar. Nada te lo impide. Hay protocolos que son oportunistas, es decir, establecen una conexión cifrada donde sea posible establecer una conexión cifrada y no lo hace en donde no obtengan respuesta. Pero básicamente implica una negociación de una clave de sesión entre el emisor y el receptor, y una vez establecida la clave todos los paquetes se cifran y se autentican ente el emisor y el receptor. Esto significa una carga adicional en todo el sistema, no sólo en términos de volumen de tráfico sino de necesidades de procesamiento, porque en realidad, una vez que vos hiciste todo el proceso de autenticación tenés que abrir el paquete y rescatar el paquete IP que está adentro. Entonces, estas dos cuestiones son las que hacen necesario el surgimiento de un protocolo IP que sea más robusto, por un lado, y que además resuelva el problema de la escasez de direcciones.
Escasez de direcciones
Pillku: ¿Y resuelve el problema de la mala asignación de las direcciones o no?
– En realidad no lo resuelve.
Pillku: ¿Cuál es exactamente el problema de la mala asignación de direcciones?
– El problema es que el MIT tiene asignadas más direcciones IP que muchos países.
Pillku: Pero eso, entonces, es un problema político.
– Eso es un problema político. Además, la cantidad de direcciones disponibles no es 4 mil millones, es un poco menos, porque tenés las redes privadas, las red 10. Diez punto cualquier cosa, punto cualquier cosa, punto cualquier cosa, es una red privada. 192.168, 176.174, son direcciones para redes privadas, con lo cual te van quitando espacio. Está todo el conjunto de direcciones asignado a broadcast, y el espacio de direcciones únicas es un poco más chico. Esto no significó mayor problema mientras no había tantos miles de millones de personas conectadas a la Internet. El problema se acelera cuando se empieza a pensar que cada ciudadano de la Tierra podía necesitar más de una dirección IP y probablemente varias.
Pillku: Porque tiene la computadora y otros dispositivos.
– Por la computadora, la portable, tiene un dispositivo móvil, tiene un auto con GPS, teléfono, etcétera. El protocolo IPv6 fue imaginado hace ya bastantes años, no es una novedad. La transición de IPv4 a IPv6 ha sido muy lenta, por diversas razones. El primer problema es maximización de las inversiones, tenés que deshacerte de tus routeadores IPv4 e instalar nuevos o bien adaptarlos. No es un problema de costos, sino un problema de maximización de la inversión. La otra razón es que las direcciones IPv4 son un bien escaso, y en IPv6 no.
Pillku: Y entonces ahí hay un problema económico. Sin embargo, sigo sin entender cuál es la rentabilidad económica de esta escasez artificial.
– Bueno, la razón para que sea escasa son las limitaciones de números impuestas por el protocolo. ¿Cuál es la razón para no cambiarlo antes? Una vez más, la burocracia de control de la Internet está sentada sobre un número limitado de direcciones que administran con cierta parsimonia. Hoy día, “Cooperativa telefónica de conchilaló”, si quiere darle a sus abonados un servicio de acceso a la Internet con direcciones fijas, necesita un rango de direcciones IP, que tiene que ir a negociar con el que reparte las direcciones.
Pillku: Es decir, que se las tiene que comprar.
– Sí, tiene que negociarlas. Lo que significa en cierta forma comprárselas, es decir, pagar un cierto canon. Por ejemplo, para ir a un caso real, Telefónica de Argentina le compra direcciones a LACNIC. Los RIR, “Regional Internet Registres”, Lacnic, Afrinic, etcétera, se crearon por delegación de ICANN (Internet Corporation of Assigned Names and Numbers), que es la corporación que asigna los nombres y los números. ICANN es un organismo burocrático, no tiene nada de organismo técnico. De todas formas, ICANN ha dejado de ser un subcontratista del Departamento de Comercio de los Estados Unidos que es el dueño de la Internet, y de hecho el Departamento de Comercio, decidió dejar de ser el dueño a través de una carta de intención con ICANN, así que en realidad siguen siendo los dueños. ICANN a su vez creó otros registros regionales a los que ICANN les asigna bloques, y esos registros asignan bloques a los que quieran adquirir, a los operadores, digamos, a las redes. Porque Internet es un conjunto de redes.
Pillku: Es decir que, básicamente, es un sistema que del modo que está pensado, con escasez y todo, desacelera de algún modo la competencia.
– Porque la barrera de competencia es muy grande, efectivamente. Lo que hace que además a través de los registros regionales, el interés corporativo esté sobrerepresentado. Porque quien más pesa en Lacnic es Telefónica, que es el que corta el bacalao en Lacnic, y también pesa mucho en Ripe, que es el RIR de Europa, porque es un gran operador de comunicaciones. Se supone que hay representación at large… pero es todo verso, todo verso.
Pillku: Entonces todo eso de Internet Governance Forum también es todo verso, según esta perspectiva. – Eso es más verso todavía. En realidad es un mecanismo de sostenimiento de vagos que se creen que están haciendo algo útil para la humanidad.
Pillku: ¿Los de IGF o los de ICANN? ¿O los dos?
– Los dos. La Internet podría funcionar perfectamente con 80% menos de burocracia de la que tiene. Y con IPv6, mejor aún. Porque con una fracción microscópica del rango de direcciones de IPv6 vos le podés dar un “barra 64” a cada mujer, hombre y niño del planeta. ¿Qué es un “barra 64”? Los bits de este lado están fijos, los bits de este lado son variables. Y eso lo hacés con una fracción que no llega a ser la cien mil millonésima del espacio de direcciones de IPv6. El espacio de IPv6 es 2 a la 128. Es un número muy grande.
Pillku: Bueno, pero a muchos no les dice nada. La diferencia entre 2 a la 32 y 2 a la 128.
– Bueno, pero es muy grande. Y permitime un ejemplo. Viste las viejas chapas de los autos, precedidas por una letra, C para capital, B para Buenos Aires, y seis dígitos después. En algún momento se enfrentaron con el problema de que se les habían acabado los números, que en la provincia de Buenos Aires había más de un millón de autos. Entonces tuvieron que inventar el B1, después en la capital, el C1. Se aprovecharon de un proceso de reforma del registro de propiedad del automotor para pasar a un código alfanumérico, conservando la primera letra como indicador de la jurisdicción, después dos letras más, y tres números. Cuando pensaron esto, ninguno tenía una calculadora a mano. Porque dos letras excluyendo la “o” que es igual que el cero, serían 25 letras. 25 por 25 son 625, es decir que el nuevo sistema permitía menos números que el anterior. Te permitía 625 mil autos patentados por provincia en lugar de 1 millón. Así que sobre la marcha tuvieron que cambiar y liberar el tercer dígito, lo que de todos modos sigue siendo bastante problemático porque nos va a obligar a cambiar el sistema del registro automotor en pocos años más. Ya estamos por la L. Y de la R en adelante están ocupados, que son los reempadronamientos de los autos viejos. Así que queda M, N, P y Q. ¿A qué viene todo esto? Con las direcciones de la Internet pasan más o menos lo mismo. Lo que era suficiente en su momento, dejó de serlo, independientemente de que parezcan cantidades monstruosas.
Cambios y adaptaciones
Pillku: ¿Y ya están hechos todos los cambios necesarios para que funcione IPv6?
– Sí, sí. De hecho, IPv6 está operando desde hace mucho tiempo, sólo que en segmentos de la Internet. Mucha gente se comunica por IPv6 dentro de IPv4. Es decir, se meten paquetes IPv6 adentro de varios paquetes IPv4.
Pillku: ¿Pero no había un problema de comunicación entre los dos protocolos, un problema de interoperabilidad?
– No, IPv4 lleva la carga que le dijeron. Entonces yo puedo hacer IPv6 adentro de IPv4. Sirve a propósitos de diversión, porque tengo una ineficiencia relativa en el transporte. O sirve como aseguramiento de la comunicación. Algunos países tienen toda su infraestructura interna en IPv6. Y usan IPv4 para comunicarse hacia fuera, o para comunicarse con los usuarios. Los usuarios hablan IPv4 con su proveedor de servicios, el proveedor de servicios encapsula ese IPv4 en paquetes IPv6. Todo el ruteo interno en Corea es IPv6. Y creo que en toda China también. Si mañana se implementa IPv6 en este rincón del mundo, van a pasar algunos años hasta que esté generalizado a nivel de usuario.
Pillku: Pero qué es lo que habría que generalizar, por ejemplo a nivel de software, para que se pueda implementar IPv6.
– Hay que implementar los protocolos en el stack TCP/IP, que es la pila, es la implementación a nivel del sistema operativo de los protocolos de Internet. Algunas versiones de Windows, no me acuerdo cuándo lo implementaron pero no hace mucho, creo que XP no tiene IPv6. Así que millones de usuarios de XP todavía no pueden entrar al mundo IPv6, salvo mediante un parche, que debe haber. Lo que pasa en esos casos es que se comunican en el primer salto en IPv4. Lo encapsulan, le asignan una dirección. Se rearma el paquete. Todo circula en IPv6, y cuando vuelve, se parte, y se pasa a IPv4 para que entre en mi dirección.
Pillku: Pero esto no solamente es ineficiente sino que además la comunicación entre el proveedor de servicios y el usuario no es tan segura como si tuviera IPv6. En última instancia el proveedor de servicio sí puede tener fallas de seguridad.
– Sí, pero es inevitable por la distancia.
Pillku: Bueno, pero en ese caso el proveedor de servicio tendría un motivo para pasar al usuario a IPv6.
– Claro, es un “adáptese”.
Pillku: ¿Y para adaptarse tiene que cambiar el router o es sólo software?
– Depende. En principio, los usuarios domésticos van a tener que cambiar el firmware de sus módems ADSL o módems router ADSL, que implica descargar la nueva versión del firmware. Supongo que los centenares de miles de módemos ADSL de Alcatel que ha proporcionado Telefónica a sus usuarios, lo mejor que uno puede hacer es tirarlos a la basura. Yo, de hecho, ya lo hice.
IP para todos
– Otra de las razones que también es de índole comercial y por las cuales todavía no se había implementado IPv6 es que IPv6 permite asignar direcciones. Permite que, por ejemplo, que los dispositivos tengan dirección. Tu teléfono celular puede venir con su dirección IP, entonces eso te convierte a la portabilidad de número, de facto.
Pillku: Sin tener que hacer el trámite…
– Si el servicio de un cierto proveedor de internet no te convence, muchas veces uno no lo cambia porque tiene que cambiar un montón de cosas. Ahora tenés tu propio número IP, ¿qué te importan los cambios? Entonces irás a decirle al proveedor de al lado, cooperativa telefónico de conchilaló, quiero que ahora me dé el servicio usted.
Pillku: Entonces en ese caso ya no es más que tiene que ir el proveedor de servicios a pedir que le asignen un rango de direcciones sino que directamente se la autoasigna la máquina.
– Sí.
Pillku: Pero ¿cómo lo reconoce la máquina? ¿cuál es el proceso?
– Se espera que todo dispositivo venga con lo necesario.
Pillku: Claro, tiene que hacer algo para que se lo reconozca.
– Toda placa de comunicaciones, así como todo teléfono celular, tiene una cosa que se llama MAC.
Pillku: La MAC address.
– Así como le pongo una MAC Address a cada placa de comunicación, le puedo poner una dirección IP.
Pillku: Bueno, está bien, pero ahora van a cambiar las placas de todos esos dispositivos para que tengan además de la MAC Address un IPv6.
– Supongo que irán cambiando progresivamente o adaptarán las MAC Address con una máscara para usarlas como parte componente de la dirección IPv6.
Pillku: Pero se supone que la MAC address es fija, no se puede cambiar.
– No se puede cambiar porque está embebida en el dispositivo. Y no hay aparentemente una razón por la cual yo querría cambiársela al dispositivo. Pero los paquetes los arma un programa, y yo le puedo decir al programa que arma los paquetes que le ponga otra dirección. Y a mi placa, que reconozca como MAC address, otra. No es tan especialmente problemático. Requerirá algún trabajo, pero no es especialmente problemático. Una de las principales objeciones que se plantean en términos de la asignación universal de números IP es que también el número IP es un identificador fijo. Yo puedo saber que esta IP es de fulano, lo cual de todos modos también es posible ahora.
Pillku: Entonces, lo que tiene IPv6 es que ya viene por default con esta cosa de IPsec, entonces eso supondría que si alguien quiere hacer un ataque de denegación de servicio, se le va a complicar más que si está con IPv4.
– Sí.
Pillku: Y eso supone un problema para quien quiera hacer un ataque de denegación de servicio.
– Sí, efectivamente.
Pillku: Y esa es la razón por la cual la Comisión Federal de Comunicaciones de Estados Unidos quiere implementar IPv6. Porque parece que eso entonces viene en relación con el discurso de la ciberseguridad.
– Sí, de todos modos, la escala a la que se están manejando los ataques de denegación de servicio es más bien por secuestro de nodos ajenos y de ponerlos a mandar paquetes, que por hacer esa estrategia de sustitución. La sustitución pude resultar relativamente útil para disfrazar mi dirección de origen. Pero si yo esparzo alguna forma de código malicioso de modo tal que las máquinas conscientemente estén bombardeando determinados sitios, de todos modos tengo la denegación de servicio. De todos modos la preocupación de que cada dispositivo sea perfectamente identificado, es válida. Pero, es un trade off aceptable.
Pillku: ¿Según qué perspectiva? Digamos, ¿nosotros, los usuarios, qué obtenemos a cambio?
– Nosotros, los usuarios del montón, obtenemos comunicaciones más seguras. Y eso es importante. Porque los paquetes en IPv6 pueden viajar y viajan cifrados, o sea que nadie puede andar spuffeando el contenido. Porque nadie puede desarmar el paquete y ver qué hay dentro. No puedo hacer eso con IPv6. Es una característica del protocolo por defecto, todos los paquetes salen cifrados. Entonces la carga está cifrada, a diferencia de lo que sucede en IPv4.
Pillku: ¿Entonces no se va a necesitar más implementar certificados SL?
– En realidad, el certificado te dice quién es el sitio. Esto asegura la comunicación. Lo que sí ya no necesitás es el protocolo de SSL. De todos modos uno podría querer seguir tener protocolos del tipo https. Yo podría querer hacerlo más arriba, para que nadie en mi máquina escuche lo que yo tengo que decir, excepto el protocolo con el que me comunico directamente. Pero en la mayoría de los casos probablemente no lo necesite. En buena medida, sigo tirando botellas al mar, porque IPv6 tampoco maneja contención, no es su propósito. Hay un TCPv6 asociado con IPv6, pero de todos modos cambia menos, los cambios son menos radicales. Todos los protocolos tienen que adaptarse a la versión nueva de IP.
Ventajas técnicas vs trazabilidad de las IP
Pillku: Bueno, entonces hay ventajas técnicas de IPv6.
– Indudables. Son estas que ya mencionamos: es más seguro, facilita la operación. El problema asociado es la trazabilidad de las direcciones IP.
Pillku: Es decir, la posibilidad de identificar a los usuarios.
- Que hoy también existe en realidad.
Pillku: Claro, pero hoy por hoy existen fallos judiciales que dicen que una IP no es una persona, eventualmente eso puede cambiar.
– La cuestión es esta. Yo voy por la calle, y quiero enviarle una nota de amenazas de muerte a la secretaria de estado de los Estados Unidos, voy en el subte, y uso wifi del subte y envío la nota de amenaza. Entonces, qué va a aparecer. La dirección dinámica que me asignó el access point del subte en ese momento. Va a ser difícil encontrarme. En cambio, si el access point lo único que hizo fue tomar mi dirección IP de mi dispositivo, ahí ya no necesita asignarme una dirección porque ya la tiene. Sólo tiene que establecer la ruta. Así que tendremos que salir a afanar notebooks y descartarlas para mandarle mensajes amenazantes a la secretaria de estado de los Estados Unidos.
Pillku: ¿Pero igual existe la posibilidad de enmascararse dentro de IPv6 o es más complicado?
– Sí, es más complicado pero no es imposible.
Pillku: Porque, está bien, uno no siempre quiere mandar una amenaza de muerte, pero puede hacer otras cosas que sí exijan la privacidad del emisor.
– Sí. Hay muchas alternativas, una es encapsular las rutas, usar redes oscuras. Hay muchas cosas que se pueden hacer que están disponibles hoy también. Además de spoofear la dirección. Lo que sí puede resultar problemático en un futuro no demasiado lejano es que haya procesos de autenticación entre los dispositivos de comunicación. Independientes del usuario. También se puede encontrar alguna vuelta.
Pillku: ¿Qué sería eso exactamente?
– Que la dirección IP que porta cierto dispositivo deba ser autenticada con los otros dispositivos. Para eso se requiere, por ejemplo, que esa dirección esté firmada digitalmente por el fabricante. Entonces el dispositivo que recibe el access point del wifi del subte, se fija quién lo fabricó, verifica. No sería extraño, es lo que yo haría si estuviera del otro lado de la fuerza. Con la excusa de que además, precisamente, previene el spoofing. Hay que ver.
Pillku: Bueno, digamos que en definitiva no es todo color de rosas.
– No, no, ninguna tecnología es todo color de rosa.
Pillku: Pero recién dijiste que era un trade off bastante justo, no sé si lo es tanto.
– Es un trade off. A ver, es más justo para la mayoría de los usuarios. ¿Por qué? Porque uno que es paranoico puede preocuparse de la necesidad de cifrar sus comunicaciones. La mayoría de los usuarios no lo hace.
Pillku: La mayoría de los usuarios está en Facebook…
– Claro. Bueno, en ese sentido parece que hay bastante más seguridad para esos usuarios.
Pillku: Pero pensándolo también desde esa perspectiva, que la gran mayoría de los usuarios tampoco necesitan una asignación de rangos IP “barra 64”, con tantas direcciones. Es decir, desde la perspectiva del usuario no hay demasiados cambios.
– No, no cambia demasiado desde el día a día, al usuario de a pie. Por lo menos en su percepción. Pero sí cambia el hecho de tener comunicación autenticada y cifrada entre los extremos. Es particularmente útil a su propia seguridad. La trazabilidad puede ser peligrosa para su intimidad. Desde el uso diario, efectivamente no le cambia gran cosa. El trade off está dado porque es una implementación que hay que hacer porque no queda más remedio.
Pillku: Claro, sacando el hecho de que las direcciones IP se acabaron…
– Pero aún cuando pudiésemos deshacer todas las razones que hacen que esas direcciones estén mal distribuidas, aún así hay un límite físico a esas direcciones. Aunque las repartiéramos más justamente no alcanzan para todos. Se pasa de IPv4 a IPv6, primero por el agotamiento de las direcciones, y en segundo lugar, no porque sea menos importante, por los problemas congénitos de IPv4 y sus protocolos asociados que IPv6 y sus protocolos asociados resuelve. Cada vez que resolvés un problema en general se dan fenómenos de manta corta: si te tapás la nariz se te destapan los pies. Probablemente cada nueva generación de mantas sea un centímetro más larga.
Pillku: ¿Y acá es efectivamente un centímetro más larga?
– Tendremos que ver.