¿Hotspot móvil o WiFi público, cuál es más seguro?

Hotspot móvil en la gran mayoría de los casos. En 4G o 5G, el tráfico radio entre tu teléfono y la antena está cifrado de extremo a extremo (NEA1/NEA2 en 4G, 5G-EA en 5G) — la escucha pasiva por un atacante en el rango es imposible sin acceder al núcleo de red del operador. En WiFi público abierto o WPA2-PSK con contraseña compartida, cualquier cliente conectado puede potencialmente capturar el tráfico de los demás con una herramienta como Wireshark. La superficie de ataque en el hotspot móvil se limita a tu operador (que ve tu historial DNS como un ISP) y a casos específicos (IMSI catchers, antenas comprometidas) — grave para objetivos de alto valor, marginal para el uso civil habitual. En WiFi público, se añaden el operador del hotspot con su rastreo comercial (Cisco Meraki, Aruba), el packet sniffing por cualquier cliente conectado, los ataques Evil Twin documentados por [Krebs on Security](https://krebsonsecurity.com/), y los portales cautivos comprometidos. Conclusión práctica: para cualquier actividad mínimamente sensible (banca, correo profesional), preferir un hotspot 4G/5G antes que un WiFi público, aunque suponga consumir algo de datos.

¿Puede mi operador móvil ver mi historial de navegación?

Sí, estructuralmente igual que un ISP de banda ancha fija. Los operadores españoles (Movistar, Vodafone España, Orange España, Yoigo, MásMóvil) operan sus propios resolvers DNS que resuelven los nombres de dominio para sus abonados. Cada consulta DNS es técnicamente registrable, y las condiciones generales suelen autorizar su conservación por periodos variables (medidas técnicas, seguridad, obligaciones legales). La LSSI y la directiva ePrivacy enmarcan el uso pero no lo prohíben: los operadores europeos conservan datos de conexión durante 12 meses por defecto (Real Decreto-ley 14/2019 en España, transpuesto del derecho de la UE). En cuanto al tráfico HTTPS, el operador ve los dominios vía SNI y las IPs de destino, sin acceder al contenido cifrado. Un VPN cierra esta fuga — el operador solo ve un túnel cifrado hacia un servidor único. Es exactamente el mismo mecanismo que un ISP fijo con un VPN doméstico.

¿Cuántos datos consume un hotspot por actividad?

Variable según el uso. Referencia aproximada en 2026 para los planes habituales de operadores españoles. Navegación web estándar: ~50–150 MB por hora (según imágenes, vídeos con reproducción automática). Correo electrónico: ~10 MB por hora (sincronización continua, sin archivos adjuntos pesados). Streaming de música (Spotify, Apple Music): ~50–100 MB por hora en calidad estándar, ~150 MB en alta calidad. Streaming de vídeo estándar (480p): ~500 MB por hora; HD 720p: ~1,5 GB/h; 1080p: ~3 GB/h; 4K: ~7 GB/h. Videoconferencia (Zoom, Teams, Google Meet): ~500 MB por hora en HD. Descarga de archivo grande: 1 GB supone unos 5–10 minutos en 5G urbano. Gaming online: moderado, ~50 MB por hora pero sensible a la latencia. Consecuencia práctica: un plan de 100 GB/mes es más que suficiente para uso ocasional del hotspot; un plan ilimitado (Movistar Pro, Vodafone One Ilimitada, Orange GO Ilimitado) elimina la preocupación. El streaming de vídeo HD prolongado sigue siendo el único uso que justifica cambiar al WiFi por motivos de coste o ancho de banda.

¿Es el 5G más seguro que el 4G para el hotspot?

Marginalmente. El 5G introdujo varias mejoras de seguridad respecto al 4G. En primer lugar, el cifrado del IMSI en el momento del registro inicial (SUCI/SUPI), que complica los IMSI catchers — un atacante ya no puede capturar tu identificador de SIM tan fácilmente. En segundo lugar, suites criptográficas reforzadas (5G-EA con AES-256, AES-128 o Snow 3G según configuración). En tercer lugar, la posibilidad de Network Slicing con aislamiento de flujos por caso de uso. Pero en la práctica, el 4G LTE en 2026 ya está cifrado radio de extremo a extremo y no tiene ninguna vulnerabilidad estructural explotable de forma pasiva. La diferencia real entre 4G y 5G para el hotspot se da sobre todo en el caudal (5G fácilmente 200–500 Mbps en zona urbana densa frente a 20–100 Mbps en 4G) y la latencia (5G ~15 ms frente a ~30–50 ms en 4G), no en una seguridad sustancialmente diferente. Si tu teléfono soporta 5G y tienes cobertura, preferirlo por comodidad, no por seguridad notablemente distinta.

¿Sigue siendo útil el VPN con un hotspot móvil?

Sí, por dos razones. En primer lugar, el operador móvil ve tu historial DNS y las IPs de destino exactamente igual que un ISP fijo — un VPN cierra esta fuga e impide la venta o conservación prolongada de tus metadatos por el operador (legal en España bajo ciertas condiciones, regulado por el RGPD y la LSSI). En segundo lugar, en itinerancia internacional o con un operador asociado menos conocido, tu tráfico puede ser inspeccionado o ralentizado (DPI, throttling de ciertos servicios) — un VPN elude esa discriminación. En tercer lugar, si usas tu hotspot como puerta de enlace para un ordenador u otro dispositivo, el VPN en el dispositivo final añade una capa de cifrado independiente de la conexión móvil. La diferencia principal respecto al WiFi público: en hotspot móvil, el VPN protege principalmente frente al operador y el perfilado de marketing, no frente a un ataque local activo (que es imposible de forma pasiva). Es un uso más defensivo-privacidad que defensivo-seguridad. Consulta [nuestro análisis de NordVPN 2026](/blog/nuestra-opinion-vpn-2026) para mediciones detalladas.

Hotspot móvil vs WiFi público: cuál es realmente más seguro en 2026

La elección entre hotspot móvil (compartir la conexión 4G o 5G desde el smartphone) y WiFi público (red del aeropuerto, el hotel o la cafetería) se ha convertido en un arbitraje habitual para el teletrabajador en movilidad, el viajero, o simplemente cualquiera que quiera consultar su correo fuera de casa. La pregunta suele plantearse en términos binarios — «cuál es más seguro» — cuando en realidad las dos tecnologías tienen superficies de ataque profundamente distintas y la respuesta correcta depende tanto del uso como del contexto.

Esta guía compara con precisión lo que cada actor (operador móvil, proveedor del hotspot WiFi, posible atacante local) puede ver y hacer según la tecnología, ofrece cifras concretas de coste de datos en 2026, y presenta el stack más defensivo (hotspot móvil + VPN) para actividades de riesgo elevado.

TL;DR

El hotspot móvil (4G/5G compartido) es estructuralmente más seguro que un WiFi público en la gran mayoría de los casos. En el enlace radio, 4G y 5G cifran el tráfico de extremo a extremo entre tu teléfono y la antena (NEA1/NEA2 para 4G LTE, 5G-EA para 5G) — un atacante en el rango no puede capturar tu tráfico de forma pasiva como sí es posible en WiFi público abierto o WPA2-PSK. La superficie de ataque en el hotspot móvil se limita a tu operador (que ve DNS e IP de destino como un ISP), los casos de IMSI catchers (raros, dirigidos a perfiles de alto valor), y el compromiso a nivel de aplicación en el dispositivo. En WiFi público, se añaden el rastreo comercial del operador del hotspot (Cisco Meraki, Aruba), el packet sniffing por cualquier cliente conectado, los ataques Evil Twin documentados por Krebs on Security, y los portales cautivos comprometidos. Coste de datos: navegación web ~50–150 MB/h, correo ~10 MB/h, videollamada HD ~500 MB/h, streaming de vídeo HD ~1,5–3 GB/h — un plan de 100 GB/mes es suficiente para uso ocasional del hotspot. Stack más seguro: hotspot móvil 5G + VPN con kill switch. El VPN cierra la fuga hacia el operador. Consulta riesgos del WiFi público en 2026 para el stack defensivo completo en los WiFi públicos que no se pueden evitar.

Cómo funciona cada tecnología

Para comparar lo que cada actor puede ver técnicamente, hay que entender primero la topología de cada conexión.

Hotspot móvil — compartir 4G o 5G a través del teléfono. Cuando activas la conexión compartida (Personal Hotspot en iOS, Punto de acceso móvil en Android), tu teléfono se convierte en un router Wi-Fi. En el lado de la radio celular, el teléfono establece una conexión cifrada hacia una antena de tu operador (Movistar, Vodafone España, Orange España, Yoigo o MásMóvil en España) mediante los estándares 4G LTE o 5G NR. En el lado de la Wi-Fi local, el teléfono emite un SSID privado con contraseña WPA2 o WPA3, y los demás dispositivos (tu portátil, tu tableta) se conectan a él como a cualquier router. El tráfico de esos dispositivos pasa por el teléfono, luego por la antena, luego por el núcleo de red del operador, y finalmente hacia Internet. Dos enlaces cifrados en cadena: Wi-Fi local (WPA2/WPA3) + radio celular (NEA2/5G-EA).

WiFi público — operador centralizado. Te conectas al SSID del aeropuerto, la cafetería o el hotel. Autenticación mediante contraseña compartida en mostrador, o red abierta con portal cautivo. El tráfico pasa por el router Wi-Fi del establecimiento, luego por la conexión a Internet del establecimiento (fibra, banda ancha profesional o a veces 4G/5G como respaldo). En el lado de la radio Wi-Fi, el cifrado depende de la versión: WPA3 (raro en 2026 fuera de instalaciones grandes y recientes), WPA2-PSK con contraseña compartida (el más frecuente), o abierto sin cifrado (cafeterías simples, algunos aeropuertos). En el lado de la infraestructura interna, el operador del hotspot puede registrar y analizar el tráfico — ese es el uso comercial de soluciones como Cisco Meraki, Aruba o Ruckus.

Diferencia estructural principal. En hotspot móvil, un atacante en el rango radio no puede hacer nada de forma pasiva — el enlace celular está cifrado por diseño. En WiFi público abierto o WPA2 con contraseña conocida por todos, otro cliente conectado a la misma red puede potencialmente capturar el tráfico de los demás clientes en modo promiscuo. Esa es la base técnica por la que un hotspot móvil es por defecto más seguro que un WiFi público — el ataque local pasivo es simplemente imposible en celular.

Detalles técnicos: el 4G LTE utiliza los algoritmos EEA1 (Snow 3G), EEA2 (AES-128 en modo contador), EEA3 (ZUC, optimizado para China) para el cifrado de la capa radio, descritos en las especificaciones 3GPP. El 5G NR añade el 5G-EA con suites reforzadas (AES-256 posible) y el cifrado del IMSI en el registro inicial (SUCI). El artículo de Wikipedia sobre seguridad 5G cubre los detalles de la pila.

Superficie de ataque comparada — quién puede hacer qué

La tabla siguiente resume los actores y sus capacidades según la tecnología. Lectura por fila — cada actor tiene un acceso diferente en cada caso.

Actor	Hotspot 4G/5G	WiFi público abierto	WiFi público WPA2-PSK	WiFi público WPA3
Tu operador móvil	Ve DNS + IP de destino	—	—	—
Operador del hotspot	—	Ve DNS + IP + rastreo comercial	Ve DNS + IP + rastreo comercial	Ve DNS + IP (cifrado cliente/AP)
Otro cliente conectado	Ningún acceso	Puede capturar (Wireshark)	Puede capturar (PSK compartida)	No puede capturar (OWE/SAE)
Atacante pasivo en rango radio	Ningún acceso (cifrado radio)	Puede capturar (radio en claro)	Ningún acceso directo	Ningún acceso directo
Atacante activo en rango radio (Evil Twin)	Muy difícil (BTS falso = IMSI catcher, costoso)	Fácil (SSID falso)	Fácil (SSID falso + misma PSK)	Más difícil
Rastreo comercial (Meraki, analytics MAC)	Limitado (solo el operador)	Rastreo completo por OUI/MAC	Rastreo completo	Parcial (OWE cifra por cliente)
Portal cautivo comprometido	No aplicable	Posible	Posible	Posible

Lectura de la tabla. En hotspot móvil, la lista de actores con acceso a tu tráfico se reduce drásticamente respecto al WiFi público. Solo tu operador móvil tiene una visión significativa — y es exactamente la misma visión que tiene un ISP fijo en casa. Los vectores de ataque local (sniffing, Evil Twin, portal cautivo comprometido, rastreo comercial por MAC) se vuelven inaplicables o muy costosos para el atacante. En WiFi público WPA2-PSK con contraseña escrita en la pizarra (el caso más frecuente en 2026), la superficie de ataque incluye a todos los demás clientes conectados a la misma red — lo que potencialmente incluye a un atacante oportunista con un equipo mínimo.

Caso importante: WiFi público en WPA3 con OWE (raro pero emergente en 2026) elimina la posibilidad de captura entre clientes conectados — cada cliente tiene una clave efímera única con el AP. Pero el operador del hotspot sigue viendo el tráfico y puede rastrear usuarios. Así que WPA3 mejora la situación del WiFi público sin equipararla al hotspot móvil en materia de privacidad frente al operador.

Casos prácticos — cuándo preferir hotspot, cuándo preferir WiFi

Más allá de la seguridad bruta, varios criterios prácticos entran en la decisión: velocidad, batería, coste de datos, contexto. Aquí los perfiles típicos.

Perfil 1 — Correo + navegación web estándar en movilidad. Caso habitual: viajero en tren, teletrabajador en cafetería, asistente a una conferencia. Recomendación: hotspot móvil por defecto. El consumo es moderado (~50 MB/h de navegación, ~10 MB/h de correo), así que incluso un plan modesto (10 GB/mes) aguanta una jornada completa de movilidad. La seguridad es notablemente mejor que en WiFi público. La batería del teléfono se agota más rápido — llevar una batería externa o buscar un punto de carga. En 5G urbano denso, el caudal es más que suficiente para trabajar con comodidad.

Perfil 2 — Videollamadas prolongadas (Zoom, Teams) en movilidad. Caso típico: jornada de reuniones en un Airbnb sin WiFi fiable. Recomendación: según la cobertura 5G. En zona 5G estable, el hotspot móvil sigue siendo viable (~500 MB/h en HD, unos 4 GB para una jornada completa). En zona 4G con cobertura intermitente, la latencia y los cortes hacen la experiencia irregular — puede ser necesario cambiar al WiFi público. Si el WiFi público es inevitable, activar siempre el VPN con kill switch (ver riesgos WiFi público 2026).

Perfil 3 — Streaming de vídeo prolongado (Netflix, YouTube). Recomendación: WiFi doméstico o WiFi público fiable. El coste de datos en hotspot resulta prohibitivo (3 GB/h en 1080p, 7 GB/h en 4K). Un plan de 100 GB/mes se evapora en pocas horas de streaming. El WiFi público sigue siendo técnicamente viable, siempre que tengas un VPN activo y no introduzcas credenciales sensibles en el portal cautivo.

Perfil 4 — Acceso a banca o espacio profesional sensible. Recomendación: hotspot móvil sin dudarlo. La superficie de ataque reducida y la imposibilidad de sniffing local lo convierten en el medio adecuado para operaciones de alto riesgo. Añade el VPN para cerrar la fuga hacia el operador. El sobrecoste en datos es despreciable (la banca consume pocos MB). Esta práctica la recomiendan varios CSIRT corporativos para operaciones sensibles en desplazamiento.

Perfil 5 — Descarga de archivo grande (actualización de SO, ISO de sistema, vídeo pesado). Recomendación: WiFi. El hotspot móvil resulta demasiado caro en datos, y el 5G urbano sigue sujeto a políticas de uso justo de los operadores (throttling a partir de un umbral en ciertos planes). Usar el WiFi doméstico o esperar a estar en la red de un socio de confianza.

Perfil 6 — Viajero internacional con operador asociado. Recomendación: depende del plan de roaming. Dentro de la UE, la itinerancia «como en casa» hace que tu plan nacional funcione de forma idéntica en el extranjero — preferir el hotspot móvil. Fuera de la UE, las tarifas de roaming pueden hacer que el hotspot móvil resulte catastrófico (tarifas significativas por MB en algunos países). Adquirir una eSIM local (Airalo, Holafly) resuelve el problema y restaura la ventaja del hotspot móvil. Si no es posible, el WiFi público con VPN se convierte en la opción económicamente viable.

Coste real de datos por actividad — cifras 2026

Órdenes de magnitud para planificar el consumo mensual del hotspot. Datos medidos internamente y contrastados con los informes de la CNMC y las comunicaciones públicas de los operadores.

Actividades ligeras (< 100 MB/h).

Correo profesional con sincronización continua: ~5–10 MB/h
Mensajería (WhatsApp, Signal, iMessage): ~5–15 MB/h
Navegación web con texto (prensa, búsquedas): ~30–80 MB/h
Banca, espacios administrativos (Hacienda, Seguridad Social): ~10–30 MB/h
Redes sociales con scroll moderado (Twitter/X, LinkedIn): ~50–100 MB/h

Actividades medianas (100–500 MB/h).

Navegación web estándar con imágenes: ~100–200 MB/h
Streaming de audio (Spotify, Apple Music, podcasts): ~50–150 MB/h según calidad
Vídeo estándar 480p (YouTube, formación online): ~250–400 MB/h
Videollamada HD (Zoom, Teams, Google Meet): ~500 MB/h
Redes sociales con reproducción automática de vídeo: ~300–600 MB/h

Actividades pesadas (> 1 GB/h).

Streaming de vídeo HD 720p: ~1,5 GB/h
Streaming de vídeo HD 1080p: ~3 GB/h
Streaming de vídeo 4K: ~7 GB/h
Descarga de actualización de SO o ISO: variable, con frecuencia 3–10 GB para una actualización mayor
Gaming en la nube (GeForce Now, Xbox Cloud): ~10–15 GB/h

Planes habituales de operadores españoles en 2026 (orden indicativo).

Planes de 100–150 GB: ~15–25 €/mes (suficiente para uso ocasional del hotspot)
Planes de 200–300 GB: ~20–35 €/mes (uso regular del hotspot)
Planes ilimitados 5G: ~30–50 €/mes (uso intensivo, teletrabajo itinerante — Movistar Pro Ilimitado, Vodafone One Ilimitada, Orange GO Ilimitado)

Consejo práctico. Para un teletrabajador que usa el hotspot 2–3 días al mes en actividades de correo, web y videollamadas moderadas, 100 GB es más que suficiente. Para un nómada digital a tiempo completo, pasar a un plan ilimitado 5G elimina la angustia presupuestaria y permite trabajar exclusivamente en hotspot móvil.

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

Complementa tu hotspot móvil con un VPN auditadoAuditoría no-log Deloitte 2024 · Kill switch de sistema · 30 días satisfecho o reembolsado→

Combinar hotspot móvil + VPN — el stack más seguro

Para usos donde la seguridad es prioritaria (banca sensible, teletrabajo con datos confidenciales, periodismo en movilidad, viaje a jurisdicciones de riesgo), combinar el hotspot móvil con un VPN cierra prácticamente todos los vectores de ataque local y oculta tu actividad a tu operador móvil. Es el stack defensivo más completo accesible a un usuario ordinario.

Configuración recomendada. Paso 1: activar la conexión compartida en tu teléfono (Personal Hotspot en iOS, Punto de acceso en Android), con WPA2 o WPA3 y una contraseña robusta. Paso 2: conectar tu ordenador o tableta al SSID privado del teléfono. Paso 3: activar el cliente VPN en el dispositivo final (ordenador, tableta), con el kill switch en modo sistema. Paso 4: verificar la ausencia de fugas mediante nuestra herramienta de prueba de fuga DNS. Paso 5: confirmar la IP visible con nuestra herramienta de IP.

Por qué esta configuración gana. El hotspot móvil cierra los ataques locales (sniffing, Evil Twin, portal cautivo). El VPN cierra la fuga hacia el operador móvil (que normalmente ve DNS e IP de destino). Capa celular cifrada + capa Wi-Fi local cifrada + túnel VPN cifrado = triple capa defensiva. Un atacante que quisiera romper este stack debería comprometer tu dispositivo, comprometer el servidor VPN o comprometer el núcleo de red del operador — tres objetivos distintos y costosos.

Cuándo es excesivo. Para navegar por la web de forma ordinaria sin nada en juego, es demasiado. Para consultar el correo personal esperando el metro, es demasiado. El hotspot móvil solo (sin VPN) ya neutraliza los ataques locales — el VPN se añade para la privacidad frente al operador, no para la seguridad bruta. Activar el VPN cuando la actividad lo justifica (banca, correo profesional, teletrabajo) y prescindir de él cuando no es necesario es un enfoque razonable.

Cuándo no es suficiente. Para un periodista con una fuente en un país de riesgo, un denunciante o una actividad de muy alto valor como objetivo de un actor estatal, el stack hotspot + VPN sigue siendo insuficiente. Hay que añadir Tor (idealmente desde Tails en un USB), operar desde un dispositivo dedicado, usar una SIM anónima o de prepago no vinculada a tu identidad y compartimentar estrictamente. Ver Tor vs VPN — diferencias y combinación para los detalles.

Limitación de batería. La conexión compartida consume la batería del teléfono a un ritmo acelerado (radio celular activa + emisión Wi-Fi simultánea). Para uso prolongado, llevar una batería externa o enchufar el teléfono. En 5G, el consumo es mayor que en 4G — cambiar a 4G en los ajustes de red puede prolongar la autonomía si el caudal es suficiente.

Limitación en itinerancia internacional. Fuera de la UE, el coste de datos puede dispararse. Preparar el viaje con una eSIM local (Airalo, Holafly, Nomad), o contratar la opción de roaming específica de tu operador. Si no es posible, el WiFi público con VPN se convierte en la solución pragmática — menos defensiva pero económicamente viable.

Resumen: decisión según tu uso

Tres reglas prácticas resumen la decisión para la mayoría de los casos.

Regla 1 — Por defecto, preferir el hotspot móvil. Salvo caso específico (descarga pesada, streaming HD prolongado, zona sin cobertura 4G/5G), la combinación de seguridad superior + mayor privacidad + despliegue instantáneo hace que el hotspot móvil sea preferible al WiFi público para la mayoría de los usos en movilidad.

Regla 2 — Si el WiFi público es inevitable, VPN activo siempre. Nada de WiFi público sin VPN con kill switch activado. No es negociable para cualquier actividad más allá de la consulta pasiva de información pública. El VPN cierra las fugas principales (SNI, DNS, IP) y neutraliza los ataques locales. Ver kill switch VPN explicado para los detalles de esta pieza crítica.

Regla 3 — Combinación hotspot móvil + VPN para actividades de riesgo. Banca sensible, teletrabajo con datos confidenciales, periodismo, viaje a una jurisdicción de riesgo: combinar ambas capas. Sobrecoste marginal en datos, ganancia defensiva sustancial.

Para saber más

La elección entre hotspot móvil y WiFi público no es una cuestión de moda sino de arbitraje entre seguridad, coste y disponibilidad. Para la mayoría de los usos en movilidad, el hotspot móvil gana en seguridad frente a los ataques locales y en privacidad frente a los operadores comerciales de WiFi — a costa del consumo de datos. Combinado con un VPN auditado con kill switch, es el stack más defensivo accesible a un usuario ordinario en 2026. En los WiFi públicos que no se pueden evitar (avión sin hotspot móvil a bordo, sótano sin cobertura celular, roaming fuera de la UE con costes desorbitados), el VPN sigue siendo la medida estructurante. Para verificar regularmente que tu VPN cumple su función, nuestra auditoría VPN completa en 9 pruebas es el procedimiento de referencia.

Movilidad, hotspot y seguridad de red — guías relacionadas

Artículo publicado el 29 de mayo de 2026. Metodología: síntesis de las especificaciones 3GPP sobre 4G LTE y 5G NR (TS 33.401 seguridad LTE, TS 33.501 seguridad 5G), de los informes de la CNMC sobre el mercado móvil español 2023–2025, de las publicaciones académicas sobre IMSI catchers (trabajos SecureComm 2018–2021), y de las mediciones de consumo de datos realizadas internamente durante tres meses (marzo–mayo 2026) en un Pixel 8 + MacBook + NordVPN. Datos de operadores españoles contrastados con las comunicaciones públicas de Movistar, Vodafone España, Orange España, Yoigo y MásMóvil.