¿Qué es una dirección MAC y por qué te rastrea?

Una dirección MAC (Media Access Control) es un identificador único de 48 bits asignado a cada interfaz de red Wi-Fi o Ethernet por su fabricante. Formato típico: `D4:3B:04:9F:1A:2E`. Los 24 primeros bits identifican al fabricante (OUI, Organizationally Unique Identifier — Apple, Samsung, Intel) mediante la asignación IEEE documentada en la [RFC 7042](https://datatracker.ietf.org/doc/html/rfc7042). Los 24 últimos identifican la tarjeta individual. Esta dirección se difunde en claro en cada asociación Wi-Fi, e incluso en segundo plano mediante las peticiones probe — tu teléfono emite regularmente «¿está la Wi-Fi de casa por aquí?» para reconectarse automáticamente a las redes memorizadas. Cualquier infraestructura Wi-Fi al alcance captura estas peticiones y puede registrar tu presencia, duración y frecuencia de visita. Se ha convertido en un canal masivo de rastreo offline: centros comerciales, aeropuertos, transporte público y muchas grandes cadenas calculan flujos de afluencia y perfiles de retorno a partir de las MACs observadas al pasar por el alcance de sus puntos de acceso.

¿La aleatorización MAC de iOS/Android es realmente suficiente?

Parcialmente, y con límites importantes. iOS 14+ (2020) y Android 10+ (2019) activan por defecto una dirección MAC aleatorizada por SSID: tu iPhone presenta una MAC diferente en la Wi-Fi de casa, en la del trabajo, en la del café — impidiendo que un único operador cruce tus visitas entre distintos lugares. Windows 10/11 ofrece la misma funcionalidad («Direcciones de hardware aleatorias»). Es una mejora importante respecto a la situación anterior a 2019, donde el teléfono difundía su MAC real en todas partes. Pero subsisten tres límites. Primero, en un mismo SSID la MAC aleatorizada permanece constante por defecto — así que tu segunda visita al mismo café puede cruzarse con la primera. Apple introdujo una rotación periódica (24h) en iOS 16+ para mitigarlo. Segundo, algunos modelos de analítica Wi-Fi siguen aprovechando las peticiones probe no aleatorizadas en versiones antiguas de SO. Tercero, la aleatorización no impide que otras señales de fingerprinting (Information Elements Wi-Fi, temporización de probes, comportamiento específico del modelo) identifiquen el dispositivo más allá de la MAC.

¿Cómo cambiar manualmente la dirección MAC según el SO?

Windows 10/11: Ajustes → Red → Wi-Fi → propiedades de la red → Direcciones de hardware aleatorias → Activar (aleatorización nativa) o herramientas de terceros como Technitium MAC Address Changer para spoofing manual preciso. macOS: terminal `sudo ifconfig en0 ether xx:xx:xx:xx:xx:xx` (cambio temporal hasta el próximo reinicio). Linux: `sudo ip link set dev wlan0 down && sudo macchanger -r wlan0 && sudo ip link set dev wlan0 up` para una MAC aleatoria (paquete `macchanger`). Android: requiere root y `adb shell ip link set wlan0 address xx:xx:xx:xx:xx:xx` — sin root, solo está disponible la aleatorización nativa por SSID. iOS: no hay spoofing manual sin jailbreak; la función «Dirección Wi-Fi privada» (Ajustes → Wi-Fi → información de la red) debe ser suficiente. Importante: en el primer byte, mantener el segundo dígito hexadecimal a cero para permanecer en el rango «administrado localmente» y evitar colisiones con MACs asignadas por fabricantes.

¿El MAC spoofing protege realmente mi privacidad?

Marginalmente, y solo frente a una clase específica de rastreo. Hacer spoofing de tu MAC impide que un operador Wi-Fi te reconozca entre visitas — útil contra la analítica offline en tiendas, contra el perfilado por cadenas hoteleras (que cruzan tus estancias en varios establecimientos), contra las ciudades que calculan flujos peatonales a través de su infraestructura Wi-Fi. Es una buena mitigación para estos vectores. Pero el MAC spoofing NO protege contra: (1) el rastreo aplicativo (cookies, Google ID, identificador publicitario iOS/Android), (2) el fingerprinting del navegador, (3) la correlación de IP en el servidor, (4) la identificación por el operador móvil vía IMEI o IMSI en red celular, (5) el captive portal que solicita email o número de teléfono, (6) el fingerprinting por comportamiento del dispositivo (apps instaladas, temporización de conexión, modelo). Para una privacidad seria, el MAC spoofing es una capa útil pero marginal — la prioridad sigue siendo un VPN con kill switch e higiene aplicativa (navegador reforzado, rechazo de cuentas Google en dispositivos de trabajo sensibles).

MAC spoofing en Wi-Fi público: lo que realmente cambia para tu privacidad

Q: ¿Cambiar la dirección MAC es legal en España?

Sí, en tu propio hardware. Cambiar la MAC de tus propias tarjetas de red Wi-Fi o Ethernet es una operación técnica estándar documentada por los propios fabricantes de SO (Microsoft, Apple y Google dan soporte a la aleatorización nativa). Ninguna disposición del ordenamiento jurídico español incrimina específicamente el MAC spoofing como tal. Un matiz importante: configurar tu MAC para suplantar la de un tercero identificado (compañero, vecino, víctima concreta) con el fin de sortear un control de acceso Wi-Fi o hacerse pasar por esa persona puede encuadrarse en el artículo 197 bis del Código Penal (acceso ilícito a sistemas informáticos) y en el delito de usurpación de identidad del artículo 401 CP. La frontera no es el spoofing en sí, sino la intención — suplantar la identidad de otra persona. En el marco normal de uso privado — proteger la vida privada contra el rastreo comercial, probar hardware de red, sortear una limitación de tiempo en un hotspot gratuito pagado en un café — la operación es jurídicamente banal. En entornos corporativos, revisar la política TI: algunas la desaconsejan o prohíben por reglamento interno (sanción disciplinaria, no penal).

La dirección MAC es probablemente la pieza menos comprendida del puzle del rastreo offline. Muchos usuarios saben que un sitio web puede instalarles una cookie, que una red publicitaria puede seguirles entre sitios, pero ignoran que su teléfono difunde constantemente un identificador único a toda infraestructura Wi-Fi en su radio — incluso cuando el Wi-Fi no está conectado a ninguna red. Centros comerciales, aeropuertos, cadenas hoteleras, transporte público y algunas ciudades desplegaron este rastreo offline a gran escala entre 2015 y 2022. La situación ha mejorado desde que llegó la aleatorización MAC nativa en iOS y Android, pero el tema sigue siendo poco conocido y las protecciones son parciales.

Esta guía explica con precisión qué es una dirección MAC, cómo se utiliza para rastrearte, qué cierra y qué no cierra la aleatorización nativa, cómo hacer spoofing manualmente por SO si quieres ir más lejos, y los límites estructurales (otras huellas digitales) que hacen que un MAC spoofing solo no equivalga al anonimato en Wi-Fi público.

TL;DR

Una dirección MAC es el identificador único de 48 bits de tu tarjeta Wi-Fi, difundido en claro en cada asociación de red e incluso en segundo plano mediante peticiones probe automáticas («¿está mi Wi-Fi habitual por aquí?»). Se ha convertido en un canal masivo de rastreo offline: tiendas, centros de transporte y cadenas hoteleras correlacionan tus desplazamientos a través de estas señales. iOS 14+ y Android 10+ activan por defecto una MAC aleatorizada por SSID, lo que impide la correlación cruzada de tus visitas entre distintos lugares — una ganancia real. Pero en un mismo SSID la MAC permanece constante (la rotación de 24h de Apple en iOS 16+ mitiga este punto). El spoofing manual se realiza mediante ifconfig/ip link/macchanger en macOS/Linux, mediante los ajustes o herramientas de terceros en Windows, y se limita a la aleatorización nativa en Android/iOS sin root/jailbreak. Legal en España sobre tu propio hardware, ilegal si suplanta la MAC de un tercero (artículo 197 bis del Código Penal). Pero el MAC spoofing solo cubre una clase de rastreo — no neutraliza ni el fingerprinting aplicativo, ni las cookies, ni la IP en el servidor. Combinado con un VPN con kill switch y un navegador reforzado, es una capa útil pero marginal. Consulta los riesgos del Wi-Fi público en 2026 para la pila completa.

Qué es una dirección MAC y por qué es rastreable

Toda interfaz de red — el chip Wi-Fi de tu teléfono, la tarjeta Ethernet de tu PC, el chip Bluetooth, incluso algunos adaptadores USB-Wi-Fi externos — se identifica mediante una dirección MAC única. Formato estándar: 48 bits, representados en hexadecimal separados por dos puntos, por ejemplo D4:3B:04:9F:1A:2E. Esta dirección la asigna en fábrica el fabricante del chipset Wi-Fi (Broadcom, Qualcomm, Intel, MediaTek), y se supone que es globalmente única para permitir la identificación sin ambigüedad en cualquier red.

Estructura de la dirección — por qué revela el fabricante. Los 24 primeros bits (3 primeros bytes) forman el OUI (Organizationally Unique Identifier), asignado por el IEEE a cada fabricante. Apple tiene varios OUIs (D4:9A:20, A4:5E:60, etc.), Samsung tiene alrededor de un centenar, Intel igual. Los 24 últimos bits identifican la interfaz individual dentro de la asignación del fabricante. Consecuencia: observar una MAC 04:DB:56:xx:xx:xx revela que es un dispositivo Apple; 48:5D:36:xx:xx:xx revela un Samsung. Las bases de datos OUI son públicas — el IEEE publica la lista oficial, y sitios como Wireshark OUI lookup permiten consultarla en línea. Esta correspondencia permite a los operadores Wi-Fi perfilar la población en su radio: «60 % de iPhones, 30 % de Samsung, 10 % otros».

Difusión en claro de forma permanente. La dirección MAC se difunde en cada trama Wi-Fi enviada. Y de forma más sutil: cuando tu teléfono no está conectado a ninguna red pero tiene el Wi-Fi activado, emite regularmente peticiones probe — paquetes broadcast que preguntan «¿está la red WiFi-Casa por aquí? ¿Está la red WiFi-Trabajo cerca?». Estas peticiones contienen tu MAC real (salvo aleatorización) y los SSIDs que tienes guardados. Una infraestructura Wi-Fi al alcance — punto de acceso de aeropuerto, antena de centro comercial, sensor urbano — puede por tanto identificarte sin que te conectes a nada, simplemente pasando por su radio. Está documentado en la RFC 7042, que formaliza la asignación MAC y las consideraciones de privacidad.

Estabilidad en el tiempo. Sin aleatorización, tu MAC nunca cambia. Es el mismo identificador durante cinco años, en decenas de redes distintas y en miles de interacciones. Un actor con acceso a los registros de varias infraestructuras Wi-Fi (cadena de centros comerciales, operador de sensores urbanos, proveedor de puntos de acceso en aeropuertos) puede reconstruir tu historial de desplazamientos con una precisión impresionante. Precisamente esto es lo que cierran iOS 14+ y Android 10+ con la aleatorización por SSID.

Cómo el Wi-Fi público y los comercios usan tu MAC para rastrearte

El rastreo por MAC es una industria en sí misma, desplegada masivamente entre 2014 y 2020 y parcialmente frenada por la aleatorización del SO. Un panorama de los usos documentados.

Analítica Wi-Fi en tiendas (analítica offline). Varias empresas (Euclid Analytics, RetailNext, Cisco Meraki con su módulo CMX, Cloud4Wi) ofrecen a los comercios minoristas una solución que mide los flujos de afluencia, los tiempos de permanencia y las visitas de retorno mediante las MACs de los smartphones al alcance. El principio: los puntos de acceso Wi-Fi capturan las peticiones probe en segundo plano, registran las MACs observadas y calculan la duración de presencia y la frecuencia de retorno. No hace falta que el cliente se conecte al Wi-Fi de la tienda — basta con que su teléfono tenga el Wi-Fi activado al pasar. Los datos se revenden de forma agregada a los comercios: «cuántos visitantes hoy, de los cuales X% nuevos, tiempo medio de permanencia Y minutos». En MACs no aleatorizadas (anteriores a 2020), la precisión era casi individual.

Optimización de flujos en aeropuertos y estaciones. Varios operadores aeroportuarios y ferroviarios españoles y europeos utilizan desde 2015 soluciones de conteo Wi-Fi para medir los tiempos de espera en los controles, los flujos por terminal y los cuellos de botella. El objetivo es legítimo (mejorar la experiencia del viajero); el método es intrusivo si no se anonimiza. La AEPD ha publicado varios pronunciamientos al respecto, exigiendo la agregación y la no conservación de MACs individuales — el cumplimiento ha sido desigual.

Cadenas hoteleras y perfilado longitudinal. Las soluciones Wi-Fi gestionadas (Cisco Meraki, Aruba, Ruckus) incorporan por defecto un módulo que registra las MACs de los clientes conectados en todos los establecimientos de una misma cadena. Consecuencia: un cliente que se aloja en dos hoteles Meliá distintos en seis meses queda cruzado mediante su MAC, y su perfil de estancia se reconstruye (duraciones, tipos de habitación, servicios usados). Los datos se revenden a proveedores de marketing externos o se usan internamente para la personalización. Con MAC aleatorizada por SSID (iOS 14+/Android 10+), la correlación se rompe — presentas una MAC diferente en cada SSID (potencialmente diferente por establecimiento).

Sensores urbanos. Varias ciudades (Londres ya en 2013 con las papeleras Wi-Fi de Renew Plc — escándalo mediático y fin del programa; Burdeos, Lyon y varias ciudades asiáticas desde entonces) han desplegado sensores Wi-Fi en el mobiliario urbano para medir los flujos peatonales. El sector defiende el uso para el urbanismo (medir dónde caminan las personas); los defensores de la privacidad lo impugnan por razones de proporcionalidad. En España, la AEPD confirmó que estos dispositivos están sujetos al RGPD y que la agregación inmediata de las MACs es obligatoria.

Captive portals con recogida de correo electrónico. Más allá del rastreo pasivo, muchas redes Wi-Fi públicas solicitan un correo o un número de teléfono a cambio del acceso — datos cruzados con la MAC en el momento de la conexión, lo que permite al operador convertir un identificador técnico anónimo (MAC) en un identificador personal vinculado a un email. La mayoría de las cadenas de comida rápida, muchos hoteles y algunos aeropuertos utilizan este modelo.

Aleatorización MAC nativa — iOS 14+, Android 10+, Windows 10+

La presión de los defensores de la privacidad y la llegada de la regulación (RGPD en 2018 en Europa, directiva ePrivacy, LSSI en España) empujaron a los fabricantes de SO a integrar una mitigación nativa. Estado del despliegue en 2026.

iOS 14+ (septiembre 2020). Apple introdujo la función «Dirección Wi-Fi privada» por defecto en iOS 14, extendida a iPadOS y watchOS. El principio: para cada SSID al que se conecta el dispositivo, iOS genera una MAC distinta, persistente para ese SSID. Consecuencia: en casa presentas 02:AB:CD:11:22:33; en el café, 02:EF:01:55:66:77; en el aeropuerto, una diferente. Un operador que solo tiene acceso a una infraestructura ya no puede cruzar tus visitas entre sus distintas ubicaciones. iOS 16 (2022) añadió la rotación automática cada 24h en determinadas redes, lo que rompe también la correlación entre visitas al mismo SSID. Ajustes: Wi-Fi → información de la red (i) → Dirección Wi-Fi privada → Activado.

Android 10+ (septiembre 2019). Google introdujo la aleatorización MAC por defecto en Android 10, con una MAC distinta por SSID. La implementación varía según el fabricante del teléfono — Samsung, Pixel, Xiaomi y OnePlus suelen cumplir con la especificación; algunos fabricantes de gama de entrada tuvieron errores iniciales. Ajustes: Wi-Fi → red actual → Detalles → MAC aleatoria / MAC del teléfono (según la ROM). Android 12+ ofrece una opción de rotación periódica explícitamente configurable.

Windows 10 build 1703+ y Windows 11. Microsoft añadió la aleatorización MAC como opción desde 2017. Activación: Ajustes → Red e Internet → Wi-Fi → Direcciones de hardware aleatorias → Activado. Desactivado por defecto en Windows 10, hay que activarlo manualmente. En Windows 11, la opción aparece más a menudo activada por defecto según la build. Importante: la aleatorización se puede configurar por SSID (Activado para esta red / Desactivado / Cambiar diariamente).

Límites conocidos de la aleatorización nativa. Primero, la MAC permanece constante por SSID salvo rotación explícita — así que tu segunda visita al mismo café es correlacionable con la primera (salvo Apple 24h o Windows «cambiar cada día»). Segundo, las peticiones probe pueden filtrar la MAC real en algunas versiones de SO antiguas o con errores — investigadores demostraron en 2020-2022 que ciertos modelos seguían emitiendo la MAC real en segundo plano en casos específicos. Tercero, otras huellas digitales (Information Elements Wi-Fi, temporización de probes, modelo del fabricante visible mediante OUI) pueden identificar el dispositivo más allá de la MAC. Para llevar la protección más lejos, desactivar el Wi-Fi cuando no se usa sigue siendo la medida más sencilla — sin probes emitidas, sin rastreo posible.

Spoofing manual — cómo cambiar la MAC por SO

Si la aleatorización nativa no es suficiente (versión de SO antigua, necesidad específica, OPSEC deliberada), aquí tienes los comandos por SO. Nota: en un dispositivo reciente y actualizado, la aleatorización nativa es generalmente más práctica y suficiente.

macOS — temporal hasta el próximo reinicio.

sudo ifconfig en0 ether 02:11:22:33:44:55

en0 es habitualmente la interfaz Wi-Fi (verificar con networksetup -listallhardwareports). Importante: desconectar el Wi-Fi antes de cambiarla (Wi-Fi → Desactivar), ejecutar el comando y luego volver a conectar. El prefijo 02: indica una dirección «administrada localmente» (bit U/L a 1) — convención recomendada por la RFC 7042 para evitar colisiones con MACs asignadas por fabricantes.

Linux — con macchanger (paquete habitual).

sudo ip link set dev wlan0 down
sudo macchanger -r wlan0    # -r para aleatoria; -m XX:XX:XX:XX:XX:XX para un valor concreto
sudo ip link set dev wlan0 up

En Ubuntu/Debian: sudo apt install macchanger. Para hacer el cambio permanente, crear un script de systemd que se ejecute al arranque. En NetworkManager (escritorio Ubuntu moderno), la aleatorización por conexión es configurable de forma gráfica.

Windows 10/11 — mediante los ajustes o herramientas de terceros. Para la aleatorización nativa: Ajustes → Red → Wi-Fi → propiedades → Direcciones de hardware aleatorias → Activado. Para un spoofing preciso (dirección elegida), utilizar una herramienta de terceros como Technitium MAC Address Changer (gratuita, código abierto) o la modificación del registro. Nota: algunos drivers Wi-Fi de Windows rechazan MACs cuyo primer byte sea impar (bit multicast a 1) — preferir un primer byte par (02, 06, 0A, 0E, ...).

Android — aleatorización nativa o root. Sin root, se está limitado a la aleatorización nativa por SSID descrita anteriormente. Con root y ADB: adb shell ip link set wlan0 address 02:11:22:33:44:55 (comandos específicos del fabricante, puede variar). Varias aplicaciones de la Play Store afirman cambiar la MAC sin root — la mayoría solo modifica la visualización, no la MAC realmente difundida.

iOS — sin spoofing manual sin jailbreak. La función «Dirección Wi-Fi privada» es la única opción soportada. Apple lo ha limitado deliberadamente por razones de seguridad y simplicidad.

Verificación. Una vez cambiada la MAC, comprobar que se está difundiendo correctamente capturando el propio tráfico desde otro dispositivo (Wireshark en modo monitor). O bien a través del router Wi-Fi (interfaz de administración, tabla DHCP) — la MAC que aparece debe coincidir con la esperada.

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

Complementar el MAC spoofing con un VPN — capa IP cifradaAuditoría no-log Deloitte 2024 · Kill switch de sistema · 30 días satisfecho o reembolsado→

Límites del spoofing: otras huellas digitales que persisten

Este es el punto más importante a entender. Hacer spoofing de tu MAC cierra una puerta, pero no todas — un actor determinado puede identificarte mediante otras señales. Tres capas residuales merecen conocerse.

Information Elements (IE) Wi-Fi — huella digital del modelo. Las peticiones probe Wi-Fi contienen, además del SSID solicitado y la MAC, Information Elements que describen las capacidades del dispositivo: versión 802.11 soportada, velocidades, funcionalidades, opciones de QoS. La combinación de estos IEs forma una huella característica del modelo de smartphone — un Pixel 7 tiene un perfil IE distinto al de un iPhone 14, un Samsung S22 o un OnePlus 10. Investigadores (Vanhoef et al., PoPETs 2016) demostraron que una huella IE sola permite identificar el modelo en la mayoría de los casos. Hacer spoofing de la MAC no modifica los IEs. La contramedida sería modificar la pila Wi-Fi del dispositivo — prácticamente imposible sin modificar el kernel.

Capturadores de IMSI e identificadores celulares. En red móvil (4G/5G), el equivalente a la MAC es el IMSI (International Mobile Subscriber Identity) — vinculado a tu tarjeta SIM. Un falso capturador de IMSI (Stingray, dispositivos usados por las fuerzas del orden en varios países) captura el IMSI cuando tu teléfono se registra en una antena. El 5G añadió cifrado del IMSI en el momento del registro, pero muchas antenas siguen en 4G o son vulnerables a ataques de degradación. El MAC spoofing no tiene ningún efecto sobre este vector — es un identificador ortogonal.

Comportamiento aplicativo y temporización. Más allá de los identificadores técnicos, el comportamiento de tu dispositivo lo hace identificable. Las aplicaciones instaladas realizan conexiones características (servicios Apple iCloud en iOS, servicios Google Play en Android), la temporización de conexión sigue tu rutina diaria (mañana/mediodía/noche), los volúmenes intercambiados firman los usos. Un actor con múltiples señales (MAC + IPs visitadas + horarios + IEs) puede re-identificarte incluso con MACs aleatorizadas por sesión. Contramedida: compartimentar (dispositivo dedicado a actividades sensibles).

Captive portals e identificadores aplicativos. Si te conectas al Wi-Fi del café y recibes un email o SMS de autenticación, tu correo o número queda vinculado a tu MAC en la base del proveedor, independientemente de si estaba falsificada. Para romper este vínculo, hay que no autenticarse (rechazar el Wi-Fi que pide email) o usar un alias de correo desechable.

Cookies e identificadores del navegador. El MAC spoofing no afecta en absoluto al rastreo aplicativo — una cookie de terceros de DoubleClick te sigue independientemente de tu MAC. La contramedida es un navegador reforzado, el bloqueo del rastreo y la eliminación de los ID publicitarios de iOS/Android, no el spoofing de red.

Marco legal y zona gris en España

El MAC spoofing es jurídicamente banal en España para uso personal. Algunas precisiones importantes para delimitar el marco.

En tu propio hardware — totalmente legal. Cambiar la MAC de tu propia tarjeta Wi-Fi o Ethernet es una operación técnica estándar, documentada por los fabricantes de SO (Microsoft, Apple y Google ofrecen la funcionalidad nativa). Ninguna disposición del ordenamiento jurídico español incrimina específicamente el MAC spoofing. Tiene el mismo estatus que cambiar el User-Agent del navegador o usar un proxy — herramienta técnica sin calificación jurídica particular.

Para suplantar la MAC de un tercero identificado — penal. Configurar tu MAC para que coincida con la de una persona identificada (compañero, vecino, víctima concreta) con el fin de saltarse un control de acceso Wi-Fi, hacerse pasar por esa persona o enmascarar tu identidad en una actividad ilícita puede encuadrarse en el artículo 197 bis del Código Penal (acceso ilícito a sistemas informáticos, pena de hasta 2 años) y potencialmente en el artículo 401 CP (usurpación de estado civil). La frontera no es el spoofing en sí, sino la intención — suplantar la identidad de otra persona.

En entornos corporativos — revisar la política TI. Muchas políticas informáticas internas prohíben o desaconsejan el spoofing en los equipos de trabajo, bien por razones de trazabilidad TI, bien para no perturbar las soluciones de NAC (Network Access Control). La sanción no es penal sino disciplinaria — amonestación, sanción o incluso despido según la gravedad. En tu dispositivo personal utilizado en modalidad BYOD, el margen es mayor, pero la política puede igualmente imponer normas.

Para sortear un control de acceso — zona gris. Caso clásico: una Wi-Fi pública ofrece 1 hora gratuita por MAC; cambias tu MAC para tener una segunda hora gratis. En sentido estricto es eludir una medida técnica de acceso (artículo 197 ter CP sobre el acceso sin autorización mediante la elusión de medidas de seguridad), pero en la práctica no resulta perseguible penalmente para un uso puntual y banal. El operador puede técnicamente banearte y el establecimiento puede pedirte que te vayas. Evitable por las formas, pero sin riesgo penal serio.

Caso especial — wardriving y sniffing de terceros. Capturar las MACs de otros usuarios Wi-Fi al alcance para análisis (investigación, periodismo, auditoría) es técnicamente lícito si se limita a la observación pasiva de señales de radio en claro, pero se aplica el RGPD: las MACs se consideran datos personales (TJUE 2016, asunto Breyer, y AEPD España), por lo que la recopilación masiva requiere una base jurídica y una finalidad documentada. Para uso privado didáctico con tu propio hardware, ningún problema.

Síntesis: el valor real del MAC spoofing en 2026

El MAC spoofing sigue siendo una capa de protección útil pero marginal en 2026. Tres conclusiones resumen la situación práctica.

La aleatorización nativa de iOS/Android cubre el 95 % de los casos. En un dispositivo actualizado (iPhone iOS 14+, Android 10+), la MAC aleatorizada por SSID ya neutraliza el rastreo entre ubicaciones por parte de las cadenas comerciales y los operadores Wi-Fi. Es la medida de mayor impacto con cero esfuerzo. Verifica que la función está activada por defecto en tus redes Wi-Fi habituales — suele ser así, pero conviene confirmarlo.

El spoofing manual sirve para casos específicos. Pruebas de penetración en tu propia red, investigación en seguridad, OPSEC avanzada para perfiles de riesgo, eludir un control de acceso razonable en tu propio hardware. Para el uso corriente del gran público, el beneficio es marginal frente a la aleatorización nativa.

La prioridad sigue siendo el VPN y la higiene aplicativa. En Wi-Fi público, el MAC spoofing no cierra ninguna de las principales fugas (SNI, DNS, IP de destino, fingerprint del navegador). El VPN con kill switch sigue siendo la medida estructural — cifra todo el tráfico saliente, con independencia del identificador MAC observado localmente. El navegador reforzado (Brave, Firefox resistFingerprinting, uBlock) cierra la capa aplicativa. Sin estas dos piezas, hacer spoofing de la MAC es como echar el cerrojo a la puerta de entrada mientras la ventana está abierta.

Para ir más lejos

El MAC spoofing es la pieza más visible del rastreo offline, pero ni mucho menos la única. Para controlar realmente lo que las infraestructuras Wi-Fi ven de ti, hay que combinar: aleatorización MAC nativa activada, Wi-Fi desactivado cuando no se usa, VPN con kill switch en todos los hotspots públicos y navegador reforzado para la web. Las demás señales (IEs Wi-Fi, comportamiento aplicativo, identificadores celulares) quedan fuera del control ordinario del usuario — su impacto es residual para la mayoría, estructural para los perfiles con mayor exposición. Para verificar que tu configuración VPN funciona realmente y que ninguna fuga contradice la protección esperada, sigue nuestra auditoría VPN completa en 9 tests de forma trimestral.

Privacidad y seguridad de red — guías relacionadas

Artículo publicado el 29 de mayo de 2026. Metodología: síntesis de la especificación IEEE 802 (asignación MAC, formato EUI-48), de las RFC IETF (RFC 7042 sobre asignación y consideraciones de privacidad), de publicaciones académicas sobre fingerprinting Wi-Fi (Vanhoef et al. PoPETs 2016, varios trabajos de USENIX y NDSS sobre aleatorización), de las recomendaciones de la AEPD sobre rastreo Wi-Fi (2018, 2021) y de la documentación oficial de Apple (Dirección Wi-Fi privada), Google (Android Compatibility Definition) y Microsoft (aleatorización Wi-Fi Windows 10).