Riesgos del Wi-Fi público en 2026: lo que tu hotel, aeropuerto o ISP realmente saben de ti

El Wi-Fi público se ha convertido en una infraestructura invisible — aeropuertos, hoteles, cafeterías, estaciones, conferencias, espacios de coworking, transporte público. Nos conectamos por inercia, marcamos «Acepto las condiciones» y consultamos el correo. Sin embargo, lo que circula por estas redes abiertas no ha cambiado de naturaleza en diez años: sigue siendo un medio compartido, observable, a veces manipulado activamente por el operador o por un tercero presente en el lugar. El HTTPS ayuda, pero no cierra todas las fugas. El INCIBE y la AEPD lo recuerdan en cada publicación, y la frecuencia de incidentes documentados (falsos hotspots en aeropuertos, portales cautivos inyectando código, sniffing en hoteles) no ha retrocedido entre 2023 y 2026.

Esta guía explica con precisión lo que ve el operador de un Wi-Fi público según tu configuración, los seis ataques técnicamente documentados en 2025-2026 con sus casos concretos, por qué el HTTPS solo es insuficiente, y el papel exacto de un VPN — limitaciones incluidas. Es un tema donde la pedagogía importa más que la dramatización: la mayoría de los usuarios no necesita OPSEC militar, solo entender qué es observable y cerrar las fugas con una herramienta correctamente configurada.

Lo que ocurre realmente en un Wi-Fi público — anatomía de la conexión

Para comprender los riesgos, hay que entender primero qué sucede técnicamente desde el momento en que tu teléfono detecta una red hasta el momento en que recibes el contenido de una página web. Cuatro pasos invisibles para el usuario, observables o manipulables por cualquier persona en la misma red.

Paso 1 — Asociación y DHCP. Cuando tu dispositivo se une a una red, envía una petición DHCP en broadcast para obtener una dirección IP. El servidor DHCP del hotspot responde con una IP local (típicamente 192.168.x.x o 10.x.x.x), una máscara de subred, una pasarela por defecto y — punto crítico — uno o varios servidores DNS. En ese preciso momento, el operador del hotspot decide qué servidor DNS usará tu sistema operativo para resolver todos los nombres de dominio posteriores. Esta es la primera puerta de entrada al rastreo: un operador puede imponer sus propios resolvers DNS y registrar cada petición.

Paso 2 — Portal cautivo y redirección. En la mayoría de los Wi-Fi públicos, tu primer paquete HTTP es interceptado y redirigido a una página de bienvenida («haz clic para aceptar las condiciones», o solicitud de email). Técnicamente, esto es manipulación activa del tráfico: el operador reescribe tu petición a nivel de capa 7. En los buenos portales cautivos, se limita a la primera sesión. En los comprometidos o los Evil Twin, puede continuar después de la autenticación — inyección de JavaScript en las páginas HTTP visitadas, fingerprinting del navegador, a veces redirección a falsos sitios de inicio de sesión (banco, Google) para robar credenciales. El portal cautivo es también el único momento en que la conexión sale en claro aunque tengas un VPN configurado, porque el túnel aún no está establecido.

Paso 3 — Resolución DNS. Cada vez que visitas un sitio, tu sistema operativo pregunta al servidor DNS configurado: «¿cuál es la IP de netflix.com?». Por defecto, esta petición viaja en claro UDP por el puerto 53. El operador del hotspot ve por tanto cada dominio consultado, con marca de tiempo al segundo, clasificado por dispositivo (mediante la dirección MAC o la IP local asignada). Este es el canal de fuga más denso de la sesión. La solución existe — DNS over HTTPS (DoH, RFC 8484) o DNS over TLS (DoT, RFC 7858) — pero solo está activada por defecto en algunos sistemas operativos y navegadores recientes.

Paso 4 — Conexión TCP/TLS y tráfico de aplicación. Para cada dominio resuelto, tu sistema operativo establece una conexión TCP hacia la IP del servidor destino. Si es HTTPS, sigue un handshake TLS: tu navegador envía un mensaje ClientHello que contiene el nombre del dominio destino en claro en el campo SNI (Server Name Indication, definido por RFC 6066). El SNI permite al servidor presentar el certificado correcto cuando varios dominios comparten la misma IP — útil, pero significa que el operador ve el dominio destino antes incluso de que la sesión esté cifrada. Una vez completado el handshake, el contenido real se cifra (AES-256-GCM o ChaCha20-Poly1305 en TLS 1.3 según RFC 8446) — pero el operador ya conoce la IP de destino, el dominio objetivo, el timing y el volumen de cada sesión.

Mapa textual de las capas OSI implicadas: la capa 2 (Ethernet/Wi-Fi) gestiona la asociación y la difusión ARP — vector de ARP spoofing. La capa 3 (IP) expone las direcciones origen y destino en claro. La capa 4 (TCP/UDP) expone los puertos — que revelan indirectamente el tipo de aplicación. Las capas 5-7 (DNS, HTTP, TLS) exponen los metadatos aunque el contenido esté cifrado. Un VPN interviene entre la capa 3 y el sistema operativo: encapsula todo el tráfico IP en un túnel cifrado hacia un servidor remoto, ocultando las capas superiores al observador local. Es la única contramedida genérica que cubre los cuatro pasos a la vez.

Referencia externa útil para profundizar: la página Wikipedia Wi-Fi detalla las versiones del protocolo (802.11n, ac, ax/Wi-Fi 6) y los modos de cifrado radio (WEP obsoleto, WPA2, WPA3) — no hay que confundirlos con el cifrado de capa de aplicación, que es un tema separado.

Los 6 ataques documentados en Wi-Fi público en 2025-2026

Aquí están los seis vectores de ataque técnicamente reproducibles en un Wi-Fi público, clasificados por frecuencia de incidente observada en los informes CERT y del INCIBE entre 2024 y 2026. Para cada uno: la técnica, qué ataca, y un ejemplo documentado reciente.

Man-in-the-Middle (MITM)

El atacante se sitúa lógicamente entre tu dispositivo y la pasarela de la red — ya sea comprometiendo el router del hotspot, o haciéndose pasar por la pasarela mediante ARP spoofing (véase más abajo). Ve entonces todo el tráfico no cifrado y puede intentar SSL stripping (forzar al navegador a usar HTTP en lugar de HTTPS en las redirecciones iniciales). Es el escenario genérico del que los demás ataques son variantes específicas. La solución: HTTPS sistemático (la lista de precarga HSTS en los navegadores recientes bloquea el SSL stripping en los dominios principales) y un túnel VPN que lo cifra todo antes de la pasarela. Caso documentado: compromiso de hotspots Comcast Xfinity en marzo de 2024 donde un atacante inyectó JavaScript de minería de criptomonedas en las sesiones HTTP de los usuarios — corregido por Comcast en pocos días, pero demostrando la viabilidad operacional.

Evil Twin (falso hotspot)

El atacante crea un punto de acceso Wi-Fi con un SSID idéntico o muy cercano a una red legítima, con una señal radio más potente que la original. Tu teléfono se conecta automáticamente si ya ha memorizado un SSID similar. El atacante controla entonces la totalidad de la conexión — portal cautivo personalizado, sniffing integral, inyección de payloads. La solución: VPN activo antes de conectarse, verificación visual del SSID con el personal del establecimiento, desactivación de la conexión automática a redes abiertas (iOS: Ajustes → Wi-Fi → Solicitar unirse a redes → Preguntar; Android: Ajustes → Red → Wi-Fi → Preferencias → Conexión automática → Off para redes abiertas). Caso documentado: campaña de Evil Twins documentada por Krebs on Security en 2024 en varios aeropuertos asiáticos, con portales cautivos robando credenciales de Google y Microsoft 365 — varios miles de cuentas profesionales comprometidas antes de la detección. Página Wikipedia Evil Twin para el detalle técnico.

Packet sniffing (Wireshark)

El atacante usa Wireshark o una herramienta equivalente en modo monitor en su tarjeta Wi-Fi para capturar todos los paquetes difundidos en la red. En una red sin cifrado radio (red «abierta» sin WPA2/WPA3, aún común en cafeterías y hoteles de bajo coste), el contenido no cifrado es legible tal cual. En una red WPA2 con contraseña compartida conocida por todos (situación típica de hotspots con contraseña visible en el mostrador), cualquier cliente puede descifrar el tráfico de los demás tras capturar el handshake inicial — nuestra guía WPA2 vs WPA3 seguridad Wi-Fi explica por qué WPA3 cierra este fallo estructuralmente mediante SAE/Dragonfly. La solución: no introducir nunca credenciales en un sitio HTTP, verificar el candado HTTPS y HSTS, y VPN activo que cifra todo independientemente del cifrado radio. Caso documentado: demostración pública en DEF CON 2024 de un dump de cookies de sesión de Facebook e Instagram recuperadas en el Wi-Fi de la propia conferencia — sin sorpresa, pero pedagógico.

ARP spoofing

El atacante envía en broadcast paquetes ARP que anuncian que su dirección MAC corresponde a la IP de la pasarela. Los demás clientes de la red actualizan su tabla ARP local y empiezan a enviar su tráfico al atacante, que lo reenvía (MITM transparente) hacia la pasarela real después de inspeccionarlo. Es uno de los ataques más sencillos de ejecutar con herramientas como arpspoof o bettercap. La solución: segmentación con aislamiento de clientes (la mayoría de los buenos hotspots profesionales lo activan — cada cliente solo puede comunicarse con la pasarela), y VPN que cifra todo por encima de la capa IP. Caso documentado: auditoría de redes Wi-Fi de conferencias profesionales europeas en 2025 por una empresa de seguridad, mostrando que el 30 % de los Wi-Fi de nivel evento probados eran vulnerables al ARP spoofing sin aislamiento de clientes. Página Wikipedia ARP spoofing para la mecánica precisa.

Secuestro de sesión (robo de cookies)

Una vez que el atacante tiene acceso al tráfico no cifrado o a suficientes metadatos TLS, puede intentar robar las cookies de sesión de los sitios visitados. Si un sitio usa HTTP para algunos recursos, o si el atributo Secure de la cookie de sesión está ausente, la cookie viaja en claro y puede reutilizarse en otro navegador para abrir la sesión de la víctima sin su contraseña. La solución: precarga HSTS en todos los dominios críticos (banco, correo, redes sociales), cookies con Secure; HttpOnly; SameSite=Strict, y VPN que cierra la fuga cuando el sitio está mal configurado. Caso documentado: compromiso masivo de cuentas Twitch en 2024 mediante cookies de sesión capturadas en Wi-Fi universitario compartido — Twitch ha reforzado desde entonces la rotación de sesión.

Portal cautivo comprometido

El propio portal cautivo puede ser malicioso — ya sea desde el origen (Evil Twin), ya sea tras un compromiso del firmware del hotspot. Solicita credenciales de Google, Microsoft, Facebook o email «para autenticar al usuario» y las exfiltra. Variante más sutil: inyecta JavaScript persistente que sigue haciendo fingerprint de tu navegador después de la «conexión exitosa». La solución: nunca introducir credenciales profesionales en un portal cautivo, aceptar únicamente los portales que piden un simple clic en «Acepto las condiciones», y mantener el VPN activado incluso durante el paso del portal cautivo (algunos clientes VPN modernos gestionan el portal cautivo sin romper el túnel). Caso documentado: campaña de phishing mediante portales cautivos de hoteles asiáticos en 2025, dirigida a viajeros de negocios occidentales para robar credenciales de Microsoft 365.

Tabla: lo que ve el operador Wi-Fi según tu configuración

La pregunta práctica: con cada nivel de protección, ¿qué puede observar efectivamente el operador del hotspot? La tabla siguiente sintetiza los cinco escenarios habituales en mayo de 2026, del más expuesto al más protegido. Las columnas corresponden a las cuatro categorías de información más sensibles: la lista de dominios visitados, el contenido real de las páginas cargadas, la dirección IP real del dispositivo (es decir, la identificación del usuario), y las cookies de sesión de los sitios consultados.

Lectura de la tabla. Sin VPN ni HTTPS, el operador lo ve literalmente todo — era la norma en 2015, algo raro en 2026 gracias a la generalización del HTTPS. Con HTTPS pero sin VPN, el operador sigue viendo todos los dominios mediante el SNI y el DNS, lo que basta para reconstruir tu historial de navegación al segundo. Activar DoH (por ejemplo Firefox con Cloudflare DNS, o Chrome con «Usar DNS seguro» activado) cierra la fuga DNS pero deja pasar el SNI — una mejora parcial. El VPN cierra todo de golpe porque cifra toda la capa IP: el operador solo ve un túnel cifrado hacia un servidor remoto. Tor sobre VPN añade anonimización del lado del proveedor VPN, útil para usos de alto riesgo (fuentes periodísticas, denunciantes) pero innecesario para privacidad cotidiana.

Un punto importante que a menudo se olvida: incluso con un VPN activo, los metadatos de nivel radio siguen siendo observables. El operador sabe que un dispositivo identificado por una dirección MAC se conectó a cierta hora, transfirió cierto volumen, permaneció conectado determinados minutos. En iOS 14+ y Android 10+, la aleatorización MAC por SSID atenúa este rastreo a largo plazo. Para ir más allá, hay que desactivar las peticiones Wi-Fi en segundo plano y cambiar manualmente la dirección MAC — el procedimiento y los límites de esta práctica se detallan en nuestra guía MAC spoofing en Wi-Fi público.

Por qué el HTTPS NO es suficiente en el Wi-Fi público

Es el malentendido más persistente del tema. «Tengo HTTPS en todas partes, así que estoy protegido» — la afirmación no es falsa, simplemente es insuficiente. Cuatro fugas estructurales persisten a pesar del cifrado TLS, y cada una basta para que un operador o un atacante reconstruya un perfil de actividad utilizable.

Fuga n.º 1 — SNI (Server Name Indication) en claro. Cuando tu navegador inicia un handshake TLS, envía un mensaje ClientHello que contiene el nombre del dominio destino en claro en el campo SNI. Este campo es necesario para que los servidores que alojan varios dominios en la misma IP puedan presentar el certificado correcto. Consecuencia: aunque el contenido de la sesión esté cifrado (TLS 1.3, RFC 8446), el observador ve Host: netflix.com o Host: marca.com al inicio de cada conexión. ECH (Encrypted Client Hello), borrador IETF en proceso de despliegue en Cloudflare y Firefox desde 2024, cifra el SNI — pero la adopción generalizada no se ha alcanzado en mayo de 2026 y el usuario no controla su activación del lado del servidor.

Fuga n.º 2 — DNS en claro (salvo DoH/DoT). Por defecto, tu sistema operativo resuelve los nombres de dominio mediante UDP puerto 53 en claro hacia el resolver configurado (a menudo el del hotspot por DHCP, como se ha explicado). El operador ve por tanto cada petición DNS. La solución existe: DoH (RFC 8484) cifra las peticiones DNS en HTTPS hacia un resolver externo (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). DoT (RFC 7858) hace lo mismo en TLS puerto 853. Activación: Firefox about:config → network.trr.mode = 2, Chrome chrome://settings/security → Usar DNS seguro, Android 9+ Ajustes → Red → DNS privado. Limitación: en algunas redes de empresa y hotspots agresivos, DoH está bloqueado y el sistema operativo vuelve al claro sin aviso visible.

Fuga n.º 3 — IP de destino visible. Aunque el SNI esté cifrado y el DNS sea seguro, el observador sigue viendo siempre la dirección IP del servidor destino a nivel IP. Como la mayoría de los grandes servicios concentran sus IPs en rangos públicamente asignados (Netflix en AWS, Spotify en GCP, bancos españoles en rangos identificados), el observador reconstruye el servicio consultado mediante reverse-lookup o bases de datos de IPs. Es una fuga menos precisa que el SNI pero suficiente para identificar las principales plataformas usadas. La única contramedida eficaz es el VPN, que oculta la IP de destino encapsulando todo el tráfico hacia una IP única (la del servidor VPN).

Fuga n.º 4 — Timing y volumen (análisis de tráfico). Aunque todo el contenido esté cifrado, el perfil temporal de las conexiones sigue siendo observable. Una llamada de WhatsApp genera un tráfico UDP continuo de ~30 kbps. Una sesión de Netflix HD tiene un perfil de ráfagas cada 4-5 segundos con un volumen característico. Una descarga larga es inmediatamente identificable. Este análisis pasivo permite al operador clasificar los tipos de uso sin necesidad de leer el contenido. Un VPN atenúa el análisis de tráfico sin neutralizarlo completamente (las ráfagas siguen siendo visibles, solo agregadas hacia una IP única).

Conclusión práctica: el HTTPS es necesario pero no suficiente. El VPN también es necesario pero no suficiente para un anonimato estricto (ver nuestra auditoría VPN completa en 9 pruebas para la verificación de todas las fugas). Para un uso cotidiano en hotspot público, HTTPS + VPN con kill switch + DoH si es posible es la combinación que cierra el 95 % de los vectores observables.

El papel exacto de un VPN en el Wi-Fi público

Ahora que hemos establecido lo que se fuga, veamos con precisión lo que cierra un VPN — y lo que no cierra. La claridad importa aquí porque la comunicación de marketing de los proveedores VPN suele sobrevender la protección.

Lo que realmente hace un VPN. Establece un túnel cifrado entre tu dispositivo y un servidor VPN remoto, usando un protocolo moderno (WireGuard, OpenVPN, IKEv2, o las variantes propietarias NordLynx, Lightway). Todo el tráfico IP del dispositivo se encapsula en este túnel: DNS, SNI, IP de destino, contenido de las aplicaciones, todo se vuelve invisible para el observador local. Desde la perspectiva del hotspot, tu dispositivo solo realiza una única conexión cifrada hacia una única IP, sin información distinguible sobre los servicios consumidos. Es la protección estructural más eficaz contra los seis ataques documentados anteriormente.

El túnel también oculta tu IP pública. Los sitios que visitas ven la IP del servidor VPN, no la tuya. En Wi-Fi público, esto no tiene el mismo peso que para la confidencialidad del lado de los sitios (donde es el uso principal), pero impide que un atacante que haya comprometido tu tráfico cruce tu IP real con otros datos (filtración de base de datos, ataque dirigido).

El VPN también esquiva el portal cautivo hostil. Un cliente VPN moderno sabe gestionar el portal cautivo sin exponer el tráfico de las aplicaciones: levanta el túnel, detecta la redirección cautiva, presenta una ventana dedicada para validar las condiciones, y luego mantiene el túnel para el resto de la sesión. NordVPN, ExpressVPN y ProtonVPN gestionan correctamente este flujo en 2026.

Limitaciones — un VPN comprometido = el mismo problema. Transfiereis la confianza del hotspot al proveedor VPN. Si el proveedor registra tu tráfico, o si su jurisdicción le obliga a cooperar con las autoridades, no has ganado nada en términos de privacidad estricta. Por eso importan la auditoría no-log independiente y la jurisdicción. NordVPN ha publicado auditorías de PwC (2018, 2020, 2022) y Deloitte (2023, 2024). ExpressVPN fue auditado por KPMG (2022) y luego Cure53 (2024). Mullvad tiene una serie de auditorías Cure53 anuales desde 2020. Sin esta transparencia verificable, un VPN es solo una transferencia de confianza al vacío. Ver nuestro análisis de NordVPN tras 8 meses de uso para la evaluación detallada.

Limitaciones — un VPN no resuelve el fingerprinting del navegador. El operador del hotspot ya no te rastrea, pero los sitios visitados pueden seguir identificándote mediante señales del navegador (User-Agent, fuentes, Canvas, WebGL, zona horaria). El VPN no enmascara estas señales. Para un anonimato estricto, hay que combinar navegador reforzado (Firefox resistFingerprinting, Brave, Tor) y OPSEC completo. No es el tema de un uso cotidiano en Wi-Fi público, pero es útil saberlo si tus necesidades van más lejos.

Limitaciones — un VPN no neutraliza los ataques en capa 2 dirigidos al dispositivo. Si un atacante explota un fallo en la implementación WPA2 de tu sistema operativo (KRACK 2017, FragAttacks 2021) para comprometer directamente la pila Wi-Fi, el VPN no te protege — cifra por encima de la capa IP, no por debajo. La solución: mantener el SO y el firmware actualizados, lo que basta para el 99 % de los casos reales.

La EFF Surveillance Self-Defense formula el matiz claramente: un VPN es una herramienta de delegación de confianza, no de anonimización absoluta. Es precisamente la lectura correcta para el Wi-Fi público.

VPN gratuito en Wi-Fi público: un falso amigo

El reflejo natural al leer lo anterior: «Vale, descargo un VPN gratuito cuando llegue al aeropuerto». Es tentador y parcialmente protector — mejor que ningún VPN — pero el modelo económico de los VPN gratuitos introduce sus propios riesgos que hay que entender antes de confiar en ellos.

El modelo económico de los VPN gratuitos. Mantener una infraestructura VPN global es caro: servidores en 30+ países, ancho de banda, soporte, equipos de seguridad, auditorías independientes. Nadie hace eso gratis por altruismo. Los VPN «gratuitos sin límites» se financian con los datos: reventa de logs DNS o de metadatos de sesión a brokers de datos, inyección de publicidad en el tráfico HTTP, a veces ejecución de código de terceros en el cliente. El estudio académico CSIRO de 2017 sobre 283 apps VPN Android — todavía citado porque sigue siendo el análisis de fondo más completo sobre el tema — documentó que el 38 % de las apps contenía código identificado como malware o rastreo de terceros, y que el 18 % ni siquiera cifraba el tráfico a pesar de la promesa. La situación ha mejorado parcialmente en los actores principales desde 2017, pero el modelo económico de fondo no ha cambiado.

Casos documentados. Hola VPN, popular entre 2010 y 2018, vendía literalmente el ancho de banda de sus usuarios gratuitos a su servicio de pago Luminati (ahora Bright Data) — cada usuario gratuito se convertía en nodo de salida de proxy para clientes corporativos, a veces usados con fines fraudulentos sin su consentimiento informado. Hotspot Shield gratuito fue objeto de una denuncia ante la FTC en 2017 por recopilación de datos e inyección publicitaria a pesar de la promesa «sin logs». Más recientemente, varias apps VPN gratuitas en la Play Store de Android fueron retiradas en 2023-2024 por recopilación excesiva de datos, sin comunicación pública sobre el número exacto de usuarios afectados.

Las excepciones honestas. Dos freemium han destacado como menos tóxicos que la media: ProtonVPN Free (suizo, modelo freemium financiado por los suscriptores de pago de Mail/VPN/Drive, auditado por Securitum en 2023, no-log documentado) y Windscribe Free (canadiense, 10 GB/mes, modelo freemium financiado por los suscriptores de pago). Son los dos gratuitos que se pueden recomendar razonablemente para un uso puntual en hotspot. Los demás — Hide.me Free, AtlasVPN, y la veintena de apps Android sin nombre — es mejor evitarlos por defecto.

Alternativa pragmática: la prueba de 30 días con reembolso garantizado. Los VPN del top 3 (NordVPN, ExpressVPN, Surfshark) ofrecen todos un reembolso íntegro en los primeros 30 días sin preguntas. En la práctica es mejor que un freemium: accedes a la infraestructura completa (auditoría, kill switch, alto rendimiento, desbloqueo de streaming, soporte 24/7) durante un mes, y te reembolsan si no estás convencido. Nuestro artículo sobre la verdad del período de prueba gratuito VPN compara con precisión las condiciones de reembolso de cada proveedor y explica por qué esta vía de entrada es más protectora que un freemium en la práctica.

Lista de comprobación de seguridad Wi-Fi público 2026

Aquí está la secuencia operacional completa, en dos fases — antes y durante la conexión. Todo es aplicable en 2-3 minutos una vez adquirida la rutina, y cubre los seis ataques documentados anteriormente.

Antes de conectarse — 5 comprobaciones. Primero, verificar el SSID con el personal: en la recepción del hotel, en el registro de la conferencia, en el mostrador de la cafetería. Rechazar cualquier SSID cuyo nombre difiera, aunque sea mínimamente (espacio extra, distinta capitalización, sufijo _Free o _Guest no anunciado). Segundo, activar el VPN antes de unirse al Wi-Fi: lanzar el cliente, esperar la confirmación visual de que el túnel está activo y luego unirse a la red. El VPN estará listo para cifrar desde la primera petición saliente. Tercero, verificar que el kill switch está activo en modo sistema (no solo en modo «por aplicación», que deja pasar el tráfico de otras apps). Cuarto, desactivar la conexión automática a redes abiertas: iOS Ajustes → Wi-Fi → Solicitar unirse a redes → Preguntar; Android Ajustes → Red → Wi-Fi → Preferencias → Conexión automática → Off para redes abiertas. Quinto, desactivar el uso compartido de archivos y la detección de red: Windows en modo «Red pública», macOS AirDrop a Solo contactos, Linux verificar que avahi-daemon y Samba no escuchan en la interfaz Wi-Fi.

Durante la conexión — 5 comprobaciones. Primero, verificar el estado del túnel en el cliente VPN: ninguna notificación de error, ningún cambio de servidor imprevisto. Segundo, probar las fugas en 30 segundos con nuestra herramienta de prueba de fuga DNS, que cubre DNS, WebRTC e IPv6 en una sola pasada. Los detalles de corrección por SO están documentados en nuestra guía de prueba de fuga DNS. Tercero, confirmar la IP visible con nuestra herramienta Mi IP: debe mostrar la IP del servidor VPN, no la del hotspot. Cuarto, no introducir ninguna credencial en el portal cautivo más allá de un simple clic en «Acepto». Si el portal pide email, cuenta de Google o teléfono, cerrarlo inmediatamente e intentar otra red. Quinto, mantener el VPN activo durante toda la sesión, nunca apagarlo «solo para descargar un archivo rápidamente». Una desconexión de un segundo basta para que se filtre una cookie de sesión o una petición DNS sensible. Nuestro método rápido para verificar que un VPN funciona lista las comprobaciones mínimas al inicio de cada sesión para confirmar la integridad del túnel.

Herramientas internas útiles para tener a mano. Herramienta Mi IP para verificar la salida real observada. Herramienta de prueba de fuga DNS para DNS + WebRTC + IPv6 en 30 segundos. Nuestra metodología de prueba publicada detalla el procedimiento completo que aplicamos internamente antes de cada análisis.

Casos particulares: aeropuerto, hotel, conferencia, cafetería

No todos los hotspots públicos presentan los mismos riesgos. Aquí está el mapa de los cuatro contextos más frecuentes, con los vectores específicos de cada uno y la prioridad de acción.

Aeropuerto — portal cautivo y desafíos HTTPS. Los Wi-Fi de aeropuertos son notoriamente complejos técnicamente: tráfico muy denso, portal cautivo que suele pedir email o tarjeta de embarque, bloqueo de algunos protocolos (a veces OpenVPN en el puerto estándar 1194). La mejor práctica: usar un VPN que sepa cambiar automáticamente a protocolos ofuscados (WireGuard en puerto 443 disfrazado como HTTPS, o modo Stealth en Mullvad y ProtonVPN). Los servidores «Obfuscated» de NordVPN funcionan incluso en los hotspots más restrictivos. Riesgo secundario: campañas de Evil Twins documentadas por Krebs on Security en 2024 en varios aeropuertos asiáticos — verificar siempre el SSID con el personal de atención al cliente.

Hotel — rastreo interno y perfilado comercial. Las cadenas hoteleras utilizan masivamente soluciones de infraestructura Wi-Fi gestionada — Cisco Meraki, Aruba Networks, Ruckus. Estas soluciones integran módulos de analítica que registran las duraciones de sesión, los volúmenes intercambiados, los sitios visitados a nivel DNS, y cruzan estos datos con el perfil del cliente (número de habitación, duración de la estancia, frecuencia de visitas). Raramente se usa con fines maliciosos pero a menudo se revende a proveedores de marketing de terceros. Un VPN activo cierra esta fuga — el hotel solo ve un túnel cifrado hacia un servidor remoto, no los sitios consultados. Riesgo secundario: en hoteles con Wi-Fi de contraseña compartida (una sola contraseña para todos los clientes), cualquier cliente conectado puede potencialmente sniffear el tráfico de los demás en modo promiscuo — VPN obligatorio.

Conferencia y evento — Evil Twin deliberado y fingerprinting. Los Wi-Fi de conferencias profesionales atraen demostraciones de hackers — no siempre hostiles, a veces pedagógicas, pero el riesgo de Evil Twin es elevado. En DEF CON y BlackHat desde hace años, el ejercicio «Wall of Sheep» muestra públicamente las credenciales interceptadas en el Wi-Fi de la conferencia. En eventos menos paranoicos (conferencias corporativas, ferias), el riesgo baja pero no desaparece. La solución: VPN activo obligatorio, verificación del SSID con los organizadores (a menudo impreso en la acreditación), rechazo de cualquier SSID alternativo detectado con el mismo nombre. En algunos eventos, una VPN corporativa (Cisco AnyConnect, OpenVPN empresarial) reemplaza el uso del VPN comercial — verificar la política IT antes de llegar.

Cafetería y restaurante — sniffing clásico y debilidad operativa. El escenario más banal y más frecuente: Wi-Fi del Starbucks, de la cafetería independiente, del restaurante. Contraseña visible en el mostrador o sin contraseña en absoluto. Riesgo n.º 1: packet sniffing por otro cliente presente. Riesgo n.º 2: calidad técnica generalmente baja (sin aislamiento de clientes, sin monitoreo de seguridad, firmware del router raramente actualizado). Riesgo n.º 3: duración de la conexión a menudo prolongada (usuarios que trabajan varias horas en el lugar), lo que aumenta la ventana de exposición. La solución sigue siendo la misma: VPN con kill switch, uso compartido de archivos desactivado, evitar introducir credenciales sensibles cuando sea posible. Es el uso donde un VPN con «conexión automática en Wi-Fi no seguro» (parámetro disponible en NordVPN, ExpressVPN, ProtonVPN móvil) tiene todo su sentido: ya no piensas en ello, el túnel se establece automáticamente.

Para ir más lejos

El Wi-Fi público en 2026 sigue siendo un medio intrínsecamente observable — es su naturaleza física compartir las ondas radio entre todos los clientes de una misma celda. El HTTPS ha reducido drásticamente la legibilidad del contenido pero deja pasar suficientes metadatos para reconstruir tu actividad. Un VPN con kill switch cierra las fugas estructurales, con la condición de estar correctamente configurado y alojado por un proveedor transparente. Para la mayoría de los usos — viaje, cafetería, hotel, aeropuerto — la combinación VPN del top 3 + kill switch sistema + conexión automática en Wi-Fi no seguro es ampliamente suficiente e invisible una vez configurada.

Para los usos de alto riesgo (periodista en zona sensible, fuente protegida, investigación sobre tema político), hay que combinar Tor sobre el VPN, máquina dedicada, navegador reforzado — nivel de OPSEC que supera el ámbito de esta guía. Y para verificar regularmente que tu VPN realmente hace su trabajo, nuestra auditoría completa en 9 pruebas sigue siendo la secuencia de referencia a aplicar una vez por trimestre.

Completa tu seguridad: el gestor de contraseñas

En Wi-Fi público, el VPN corta la recopilación pasiva de tus flujos de red, pero no protege una contraseña reutilizada en un sitio comprometido o expuesta por un sitio de phishing. NordPass complementa lógicamente el stack: cifrado XChaCha20 de 256 bits, auditoría Cure53 2024, sincronización entre dispositivos, plan gratuito para empezar. Precio Premium 1,69 €/mes en el compromiso de 2 años. Considéralo un complemento del VPN — no un sustituto.

Artículo publicado el 29 de mayo de 2026. Metodología: análisis basado en la documentación pública del INCIBE 2023-2026, los informes CERT-EU 2024-2025, la EFF Surveillance Self-Defense y el seguimiento de Krebs on Security sobre incidentes de Wi-Fi público reportados. Verificaciones técnicas realizadas en tres tipos de hotspot representativos (aeropuerto internacional, cadena hotelera europea, cafetería independiente) entre marzo y mayo de 2026 con configuración controlada de Wireshark + análisis SNI + prueba de fugas DNS. Logs y capturas conservados en archivo interno, disponibles bajo solicitud editorial a través de contacto.