LLMNR e IPv6: qué es, riesgos en Wi‑Fi público y cómo desactivarlo

Última actualización: 28/10/2025
Autor: Isaac
  • LLMNR y el tráfico IPv6 (DHCPv6, ICMPv6) aparecen en redes locales y pueden ser explotados en Wi‑Fi público si no se controlan.
  • IPv6 tiene prioridad sobre IPv4: RA, SLAAC y túneles (6to4, ISATAP, Teredo) amplían la superficie de ataque si no se gestionan.
  • Desactivar IPv6 cuando no se use y limitar LLMNR reduce MITM y suplantaciones; la VPN es clave en redes no confiables.

Cómo saber cuántos dispositivos están conectados a mi red WiFi en Windows 11

En redes abiertas como las de una cafetería o un aeropuerto, lo normal es que tu equipo empiece a «hablar» en segundo plano para descubrir servicios y resolver nombres. Entre esos mecanismos está LLMNR y, si además tu sistema tiene IPv6 activo, también verás paquetes relacionados con este protocolo. Ambos pueden convertirse en puertas de entrada para ataques oportunistas si nadie los vigila ni están bien configurados.

El objetivo aquí es explicarte qué pinta LLMNR en tu red, cómo se cruza con IPv6 y por qué, si te conectas a Wi‑Fi público, conviene reducir superficie de exposición. Verás ventajas, riesgos reales y pasos prácticos para comprobar y desactivar IPv6 cuando no lo uses, además de entender por qué LLMNR aparece en capturas de tráfico y cómo evitar que te juegue una mala pasada.

LLMNR en pocas palabras y su relación con el tráfico que ves

LLMNR (Link-Local Multicast Name Resolution) es un método que usan sobre todo equipos Windows para resolver nombres en la red local cuando el DNS no responde. Funciona en modo multicast en el enlace local, lo que hace que cualquier host cercano pueda responder. En redes públicas, ese «cualquiera» puede ser un atacante intentando suplantar respuestas y redirigir tu tráfico. En capturas de Wireshark es habitual ver mensajes LLMNR junto a DHCPv6 e ICMPv6: son comunicaciones «de descubrimiento» que, si no están controladas, ayudan a un tercero a colocarse en medio de tus conexiones.

La cosa se complica cuando tu sistema prioriza IPv6 sobre IPv4, porque primero busca resolver con registros AAAA y rutas IPv6. Si no usas IPv6, pero está encendido y sin monitorizar, añades más vías de ataque sin darte cuenta, y LLMNR puede ser una de las señales de ruido que anticipan problemas en redes poco confiables.

IPv6: prioridad por diseño y qué implica en seguridad

Los sistemas actuales dan preferencia a IPv6 cuando es posible. Puedes verlo en Windows ejecutando netsh interface ipv6 show prefixpolicies, donde se aprecia que la precedencia de IPv6 es superior a la de IPv4. Además, al teclear una URL, el navegador intenta primero resolver registros AAAA y solo si falla pasa a A, lo que añade consultas y comprobaciones adicionales.

Para revisar si tienes IPv6 activo en Windows, entra desde el botón Inicio en Panel de control y después en ‘Centro de redes y recursos compartidos’. Desde ahí, accede a tu ‘Conexión de área local’ y pulsa ‘Propiedades’. También puedes abrir una consola y ejecutar ipconfig; entre los datos verás la ‘Vínculo: dirección IPv6 local’ (link‑local), que es la IP FE80:: que se autoconfigura para empezar a operar con el protocolo.

Compatibilidad generalizada, pero configuración desigual

Más allá del PC, prácticamente todo lo que se conecta a la red contempla IPv6: firewalls, IDS, sniffers, móviles, tabletas y equipos de red de múltiples fabricantes; por ejemplo, dispositivos Cisco ofrecen soporte completo desde su iOS 15. La dificultad real no suele ser la compatibilidad técnica, sino la ausencia de configuración y monitorización específica del tráfico IPv6, algo que crea brechas explotables incluso en redes que «solo usan IPv4».

  Cómo reparar un disco duro en Windows usando comandos: guía completa

El mero hecho de que un dispositivo «soporte IPv6» sin una configuración adecuada dispara el número de vectores de ataque, y muchos pasan inadvertidos para administradores y usuarios. De ahí que convenga revisar qué funcionalidades concretas de IPv6 están activas y en qué estado se encuentran.

Ventajas genuinas de IPv6

IPv6 nace para dotar a Internet de espacio de direccionamiento casi ilimitado. Entre sus beneficios destaca que da una dirección IP pública por dispositivo, evitando traducciones NAT; además, integra métodos de autoconfiguración (DHCPv6 y SLAAC) más flexibles que en IPv4, lo que agiliza despliegues.

Este protocolo también proporciona mejor movilidad y soporte nativo para dispositivos como smartphones, permitiendo cambios de red más transparentes y notificaciones independientemente de la ubicación. A nivel de seguridad, puede reforzarse con IPsec de forma natural, y el encabezado simplificado hace más eficiente el tratamiento de paquetes. La filosofía «plug and play» facilita la incorporación de equipos a la red.

Por qué no manda todavía

Uno de los escollos es que IPv6 no es compatible directamente con IPv4, por lo que la convivencia exige arquitecturas de doble pila, mecanismos de traducción o túneles. Aunque la idea de migrar usando ambos protocolos en paralelo parecía razonable, la transición completa no ha llegado ni se espera en el corto plazo.

A pesar de que la adopción creció con fuerza al principio, el ritmo se moderó y no llegó al nivel previsto. Ayuda poco que, en la práctica, aún existan direcciones IPv4 disponibles vía mercado secundario (brokers que las revenden a organizaciones), lo que retrasa el incentivo para adoptar IPv6 en el 100% de los entornos.

En paralelo, operadores y organizaciones siguen actualizando su infraestructura, y el auge del IoT empuja hacia IPv6. Pero mientras IPv4 siga «funcionando lo bastante bien», es razonable esperar una adopción incompleta durante un tiempo.

Motivos para deshabilitar IPv6 si no lo necesitas

Si tu operador no tiene desplegado IPv6 o si algunos programas de seguridad no lo soportan bien, puedes toparte con incompatibilidades, errores o bajadas de rendimiento. En entornos donde la red no implementa IPv6, a veces es más prudente apagarlo para evitar sorpresas.

Si dudas de su necesidad o sufres cortes y comportamientos raros, desactivarlo es una opción válida. Ten presente que podrás reactivarlo en cualquier momento, así que no es una decisión irreversible. Eso sí, valora que a futuro podrías necesitarlo para ciertos servicios.

Desventajas de deshabilitar IPv6

  • Escasez de IPv4. Aunque hoy quizá no te afecte, desactivar IPv6 puede ser un retroceso si se agrava el agotamiento de direcciones.
  • Eficiencia de red. IPv6 está diseñado para simplificar el encaminamiento y ciertas operaciones; apagarlo podría restarte rendimiento en escenarios concretos.
  • Nuevas tecnologías. Muchos productos modernos vienen orientados a IPv6; ignorarlo puede limitar funciones o dejar características sin aprovechar.
  • Seguridad y NAT. IPv6 integra mejoras (como el uso natural de IPsec) y evita dependencias fuertes en NAT, mientras que IPv4 se apoya más en traducciones para sobrevivir al límite de direcciones.

Túneles «fantasma» y prioridad de protocolos

cómo acceder al almacenamiento de tu móvil desde el explorador de windows

En Windows, si abres Administración de equipos y entras en ‘Administrador de dispositivos’ (ver/mostrar dispositivos ocultos), al expandir ‘Adaptadores de red’ verás 6to4, ISATAP y Teredo. Estos crean túneles IPv6 sobre IPv4 «a tus espaldas»; podría existir un túnel establecido sin que lo adviertas.

  Cómo gestionar certificados digitales en los distintos navegadores web

La preferencia de protocolos también pesa. Compruébalo con netsh interface ipv6 show prefixpolicies: el sistema prioriza IPv6 y, al escribir una URL, intenta primero resolver AAAA antes que A. Ese «intento previo» consume tiempo y recursos y, sobre todo, abre vías de ataque si alguien manipula el entorno IPv6.

Autoconfiguración: SLAAC, RA y direcciones

La autoconfiguración llega de dos formas: Stateful (DHCPv6), donde un servidor entrega los parámetros, y Stateless (SLAAC), en la que el router anuncia la red y los equipos se configuran solos. Un dispositivo con dirección link‑local FE80:: no enrutará sin una IPv6 global o de sitio, motivo por el que los routers envían RA (Router Advertisement) para indicar el prefijo y la puerta de enlace.

Cuando un equipo recibe un RA con un prefijo (por ejemplo, 2001:2000:a:b::/64), se autogenera una IPv6; puede hacerlo con EUI‑64 (derivada de la MAC) o, como en la mayoría de sistemas modernos, con un identificador aleatorio para mejorar la privacidad. De hecho, el mismo interfaz puede tener varias IPv6 públicas simultáneamente: una aleatoria para navegar y otra estable para accesos controlados.

No hay un límite estricto en el número de direcciones que puede acumular por RA (más allá de los prefijos). Esto permite ataques de denegación de servicio saturando la tabla de direcciones mediante anuncios maliciosos. Además, cuando un nodo se conecta por primera vez, lanza RS (Router Solicitation) por multicast solicitando esos parámetros, y cualquier router lo atenderá si tiene IPv6 activo.

Para reducir exposición en Windows, puedes desactivar la detección de router con netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. También es útil ver quién hay cerca con netsh interface ipv6 show neighbors, donde suelen aparecer decenas de equipos en entornos compartidos. En capturas verás DHCPv6, LLMNR e ICMPv6: tráfico «ruidoso» que merece ser filtrado en redes no confiables.

Riesgos concretos si dejas IPv6 habilitado sin control

Existen ataques IPv6 que te afectan incluso si «no lo usas». Por ejemplo, Neighbour Advertisement Spoofing (equivalente al ARP spoofing en IPv4) permite a un atacante situarse en medio y leer o modificar tu tráfico en marcha.

Otro caso es el SLAAC spoofing, que engaña al equipo para que enrute a través del atacante. Y también el DHCPv6 rogue, en el que un servidor falso entrega la puerta de enlace del atacante. Aunque la versión IPv4 de este último es conocida, en Wi‑Fi público es básico usar VPN y evitar que esas configuraciones te afecten sin darte cuenta.

Segmentación: por qué FE80:: te la juega en redes separadas

En IPv4, la máscara define qué hosts están en la misma red. Por ejemplo, con 255.255.255.0, 192.168.1.10 y 192.168.1.254 comparten red, mientras que 192.168.1.10 y 192.168.66.254 no, por lo que no se «ven» sin un router.

Con IPv6 cambia el juego: aun con subredes distintas, las direcciones link‑local FE80:: permiten que dos equipos se alcancen a nivel de enlace si comparten el mismo segmento físico, lo que rompe algunas expectativas de aislamiento si solo piensas «en IPv4».

  Cómo identificar el sistema de archivos de una unidad desde Windows 11

Con subredes IPv6, fíjate en este ejemplo: 2001:A:B:C:D:E:F:1234/126 y 2001:A:B:C:D:E:F:1235/126 están en la misma red (coinciden los 126 bits iniciales), pero 2001:A:B:C:D:E:F:1238/126 cae en otra. Aun así, un ping a FE80:: entre interfaces enlazados funciona, porque opera al margen de la subred global y se basa en el enlace local.

Cómo desactivar IPv6 por sistema operativo

Windows

Accede a ‘Configuración > Red e Internet > Configuración de red avanzada > Más opciones del adaptador de red’. En la tarjeta que uses, abre ‘Propiedades’ y desmarca ‘Protocolo de Internet versión 6 (TCP/IPv6)’. Pulsa Aceptar y listo. Si lo necesitas más tarde, vuelve a marcarlo.

macOS

Abre Terminal y ejecuta: networksetup -listallnetworkservices para identificar el servicio. Comprueba su estado con networksetup -getv6networkserviceenabled 'Wi‑Fi'. Desactívalo con networksetup -setv6off 'Wi‑Fi'. Verifica que queda en Off y reactívalo cuando quieras con networksetup -setv6automatic 'Wi‑Fi'.

Linux

Edita sysctl con sudo nano /etc/sysctl.conf y añade: net.ipv6.conf.all.disable_ipv6 = 1 y net.ipv6.conf.default.disable_ipv6 = 1. Aplica cambios con sudo sysctl -p y verifica el estado en /proc/sys/net/ipv6/conf/all/disable_ipv6.

Comprobaciones y «limpieza» útil en Windows

Para tener control, abre ‘Administración de equipos > Administrador de dispositivos’, activa ‘Ver > Mostrar dispositivos ocultos’ y expande ‘Adaptadores de red’. Deshabilita si procede 6to4, ISATAP y Teredo si no los necesitas. Así evitas que se levanten túneles inesperados sobre IPv4.

Recuerda también la orden de desactivar descubrimiento de routers: netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled. Esto frena RA inesperados en redes públicas, donde cualquiera podría emitirlos si los switches permiten multicast sin controles.

Buenas prácticas en Wi‑Fi público

En entornos compartidos, usa siempre una VPN confiable y bloquea servicios de descubrimiento innecesarios. Si no usas IPv6, apágalo temporalmente como te hemos mostrado. Monitorea el tráfico con un sniffer si sospechas actividad anómala; ver LLMNR, DHCPv6 e ICMPv6 en exceso puede ser una pista de que hay «ruido» aprovechable por atacantes.

Si administras equipos Windows en un dominio o localmente, deshabilitar la resolución por multicast de nombres (LLMNR) reduce mucho el riesgo de suplantación en redes abiertas. Combina la desactivación de LLMNR con el endurecimiento de IPv6 (sin RA, sin túneles, sin autoconfiguración donde no haga falta) para minimizar vectores de ataque.

Documentación y recursos

Te dejamos algunos enlaces tal y como suelen compartirse en manuales y fichas técnicas. Aunque no están orientados a LLMNR, son típicos ejemplos de documentación PDF enlazada en entornos de soporte técnico:

Si te conectas a una red Wi‑Fi pública, reducir el «ruido» de descubrimiento y autoconfiguración es jugar a favor de tu seguridad: apaga IPv6 si no lo necesitas, limita o desactiva LLMNR y evita que RA, DHCPv6 falsos o anuncios de vecinos manipulados te metan en problemas; cuando de verdad vayas a usar IPv6, actívalo y adminístralo con la misma seriedad que a IPv4.