Blog
Arquitectura

APN privado: cuándo lo necesitas y cuándo es sobreingeniería

Un APN privado es la respuesta más vendida para 'quiero conectividad segura'. A veces es lo correcto; a veces multiplica el coste sin añadir seguridad real. Aquí el árbol de decisión.

5 de febrero de 20266 min

Un APN (Access Point Name) es el nombre lógico del túnel GTP que conecta tu SIM con una red IP determinada. Por defecto, un MNO te da un APN público (internet.operador.es o similar), que sale directamente a Internet con NAT. Un APN privado es un APN dedicado a tu proyecto, cuyo tráfico termina en tu propia infraestructura por una interconexión dedicada (típicamente MPLS, IPsec o VPLS).

Qué te da de verdad un APN privado

  • Aislamiento del resto de Internet. Los dispositivos no son alcanzables desde fuera si tu interconexión no los expone.
  • Plan de direccionamiento IP propio. Puedes asignar IP fija por dispositivo (estática o cuasi-estática por IMSI) dentro de un rango privado.
  • Control del routing. El tráfico va de la red móvil a tu DC sin pasar por Internet pública — reduces latencia y superficie de ataque.
  • Puerta abierta hacia el dispositivo. En APN público normalmente no puedes iniciar sesión desde tu servidor al dispositivo (hay NAT). En APN privado sí, si diseñas el routing para ello.

Qué NO te da

  • Cifrado de aplicación. El GTP y el MPLS no cifran a nivel de paquete — tu operador puede ver tu tráfico. Si quieres confidencialidad frente al operador, sigues necesitando TLS o IPsec extremo a extremo.
  • Protección frente a un dispositivo comprometido. Si atacan un endpoint dentro del APN, están dentro de tu red. Segmenta igual que en tu LAN.

Alternativas más baratas que suelen bastar

  • APN público + TLS mutuo. Autenticación por certificado de cliente, tráfico TLS 1.3, pinning del servidor. Para la mayoría de sensores con tráfico saliente, esto es suficiente.
  • APN público + VPN IPsec iniciada desde el dispositivo. El dispositivo levanta un túnel contra tu VPN concentrator. Tienes IP interna y encriptación sin pagar APN privado.
  • SIM con IP fija pública. Si el problema es solo "quiero saber la IP del dispositivo para montar ACLs", una IP fija dentro del APN público estándar puede resolverlo.
Costes orientativos: un APN privado suele implicar cuota de setup (unos miles de euros), cuota recurrente, y un mínimo de volumen de SIMs. Para flotas por debajo de ~1.000 dispositivos suele ser más rentable TLS mutuo o VPN cliente.

Árbol de decisión

  • ¿Necesito iniciar sesión desde mi DC hacia el dispositivo con su IP? → APN privado o IPsec desde dispositivo.
  • ¿El tráfico es saliente y el operador puede ver paquetes sin problema? → APN público + TLS.
  • ¿El regulador o el cliente exige que el tráfico no toque Internet pública? → APN privado con interconexión dedicada.
  • ¿Son pocos dispositivos y coste cuenta? → TLS mutuo; revisa APN privado a partir de ~1.000 SIMs.
  • ¿Dispositivos críticos, vida útil de 10+ años, exposición mínima deseada? → APN privado, y además TLS extremo a extremo.

Seguir leyendo

¿Trabajas en un proyecto así?

Escríbenos y un ingeniero de red te responde en menos de 24 h.

Hablar con un ingeniero