SHIELD

Conectividad

Wi-Fi público: la paranoia razonable

El nivel de riesgo real en 2025, lo que ha cambiado con el HTTPS generalizado, y las buenas prácticas que siguen siendo pertinentes.

Publicado el 14 min de lectura General

Última revisión:

Cables de red conectados a un switch

Un consultor me enseña orgulloso su montaje en el lobby de un hotel en Singapur: VPN gratuita instalada la víspera, porque «nunca se fía del Wi-Fi de los hoteles». Mientras me habla, su teléfono está empujando sus contactos hacia el servidor de analítica del proveedor de VPN gratuita. La red del hotel, por su parte, era perfectamente banal. La amenaza que temía no existía; la que había invitado giraba en su bolsillo.

Angle de lecture

La trampa habitual

El discurso dominante sobre el Wi-Fi público oscila entre dos caricaturas, y las dos le perjudican. La primera, la de los años 2010, que sobrevive en las formaciones de concienciación copiadas y pegadas: «el Wi-Fi público es mortalmente peligroso, no abra jamás su correo desde una cafetería, un pirata puede verlo todo». Este miedo tiene una raíz real —en 2014, interceptar una sesión en una red abierta era una demostración de magia para principiantes— pero describe un internet que ya no existe. En aquella época, la mayoría del tráfico web circulaba en claro. La extensión Firesheep, en 2010, permitía a cualquiera robar las sesiones de Facebook de los vecinos de mesa en dos clics. Es ese mundo el que ha modelado el reflejo «Wi-Fi público = peligro absoluto».

La segunda caricatura es el contrario exacto, y gana terreno: «HTTPSVersión segura de HTTP, que cifra la comunicación entre navegador y servidor mediante TLS. está en todas partes ahora, todo está cifrado, el Wi-Fi público ya no plantea ningún problema». Es falso en el otro sentido. HTTPS ha hundido efectivamente la superficie de ataque histórica, pero no lo cubre todo, y ciertos vectores residuales son justamente los que nadie vigila porque se ha decretado el asunto zanjado.

La posición justa no es ni el pánico ni la despreocupación. Es la paranoia razonable: saber exactamente qué está protegido hoy, qué no lo está, y calibrar el comportamiento en función del contexto real —una cafetería en Lyon no es el Wi-Fi de una conferencia sectorial en Shenzhen—. El problema de los dos discursos dominantes es que proponen una regla absoluta. Y no hay regla absoluta. Hay un modelo de amenaza, y depende de quién es usted y de dónde está.

Lo que HTTPS ha cambiado de verdad — y lo que no ha tocado

Seamos precisos sobre la mecánica, porque de ahí se deriva todo lo demás. Antes de la generalización de HTTPS —digamos antes de 2018 para la masa crítica— un atacante presente en la misma red podía leer el contenido exacto de sus páginas, capturar sus credenciales en claro, inyectar código en las páginas visitadas, y robar sus cookies de sesión para usurpar su identidad. Era trivial. Hoy, más del 95 % del tráfico web cargado en Chrome y Firefox está en HTTPS. El contenido transita cifrado de extremo a extremo entre su navegador y el servidor. Un atacante que esnifa el Wi-Fi de la cafetería ve ruido cifrado hacia direcciones IP. No lee su correo de Gmail, no roba su contraseña en una conexión HTTPS válida.

Es un avance masivo, real, y hay que decirlo claramente: enviar un correo profesional desde el Wi-Fi de un hotel, en una sesión HTTPS válida, no compromete el contenido de ese correo. No es una aproximación tranquilizadora, es la realidad criptográfica. El miedo genérico «se puede ver todo» es obsoleto.

Pero HTTPS no lo cifra todo, y ahí es donde el matiz cuenta. Lo que deja fugar, incluso cuando funciona perfectamente: los metadatos de conexión. El observador en la red no ve el contenido de su sesión bancaria, pero ve que usted habla con el dominio de su banco, a qué hora, durante cuánto tiempo, y con qué volumen. Esta fuga pasa por dos canales: el DNSSistema que resuelve los nombres de dominio en direcciones IP. Vector de vigilancia y censura muy subestimado., si sus peticiones de resolución de nombres salen en claro —lo que sigue siendo el valor por defecto en muchas configuraciones— y el campo SNI (Server Name Indication) del handshake TLSProtocolo de cifrado de transporte, base de HTTPS y de la seguridad web moderna., que anuncia en claro el nombre del servidor visitado al inicio mismo de la conexión cifrada. Encrypted Client Hello (ECH) empieza a cerrar este último agujero, pero su despliegue sigue siendo parcial en 2026.

Más allá de los metadatos, varias categorías de tráfico escapan aún a la protección HTTPS. Los portales cautivos, por construcción, se sirven en claro. Ciertas aplicaciones móviles hacen todavía llamadas a APIDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién. internas, de analítica o de actualización en HTTP sin cifrar —la generalización del lado del navegador no dice nada de las apps mal programadas—. Los viejos protocolos de correo sin TLS explícito (IMAP/POP3/SMTP en claro) arrastran todavía en configuraciones de empresa olvidadas. Y los sitios que no implementan HSTSCabecera HTTP que obliga a usar HTTPS en las visitas futuras a un dominio. siguen expuestos a un downgrade SSLstrip: un atacante en posición de MITMAtaque en el que un actor se interpone en una comunicación entre dos partes que creen estar en contacto directo. fuerza la conexión a volver a HTTP antes de que el navegador haya bloqueado el HTTPS. Las grandes plataformas están precargadas en las listas HSTS de los navegadores y por tanto protegidas; el sitio menos común de su proveedor, mucho menos.

El modelo de amenaza real, vector por vector

Dejemos de agitar el miedo abstracto del «hacker de la cafetería» y enumeremos los vectores concretos que siguen siendo explotables en 2026. Se ordenan en unas pocas familias, por orden decreciente de frecuencia real.

El portal cautivo malicioso. Es el vector más subestimado, y con diferencia. Cuando se une al Wi-Fi de un hotel, un aeropuerto o un tren, aterriza en una página cautivaRed Wi-Fi abierta o compartida (hotel, cafetería, conferencia) — modelo de amenaza particular. —bienvenida, aceptación de condiciones, introducción de un código—. Esa página se sirve en HTTP. Una red hostil puede presentar un portal falsificado que le pida «autenticarse» con su dirección de correo y una contraseña, o que le invite a instalar un «certificado de seguridad» para acceder a internet. Ese certificado, una vez instalado, permite descifrar su tráfico HTTPS —convierte su propio dispositivo en cómplice del MITM—. La regla es simple y absoluta: un código de habitación, como mucho. Sus credenciales, jamás. Un certificado, jamás.

El gemelo malvado (evil twin). Un atacante despliega un punto de acceso con el mismo SSID que una red esperada: Airport_Free_WiFi, Starbucks_Guest, ConferenceWiFi. Su dispositivo, si ha memorizado una red con ese nombre, puede conectarse a ella automática y silenciosamente. Una vez en esa red controlada por el atacante, todo lo demás —DNS spoofing, portal falsificado, intento de downgrade— se vuelve trivial porque domina la infraestructura. Por eso la conexión automática a las redes abiertas es una mala idea y por eso purgar las redes memorizadas no es coquetería.

El DNS spoofing. Sin DoHProtocolo que cifra las consultas DNS en HTTPS, ocultándolas al ISP. o DoTVariante de DoH que utiliza TLS directo en lugar de HTTPS. activo, sus peticiones de resolución salen en claro y la red puede responderlas a su antojo. Usted teclea el nombre de su banco, el resolutor hostil le devuelve la IP de una página falsa. En teoría, HTTPS le salva: el certificado de la página falsa no validará, y el navegador mostrará una alerta. En la práctica, una fracción nada despreciable de usuarios pulsa «continuar de todas formas». El cifrado DNS suprime este vector de raíz.

WPA2 con clave compartida. El detalle técnico que casi nadie conoce: en una red WPA2-PSK donde todos los clientes comparten la misma contraseña —el caso estándar de hoteles y cafeterías— un cliente que conoce esa contraseña y que ha capturado el handshake de asociación de una víctima puede derivar su clave de sesión y descifrar su tráfico WPA2. Dicho de otro modo, una red «protegida por contraseña» compartida entre 200 personas no es, frente a esas 200 personas, mucho más privada que una red abierta. WPA3 (con SAE) corrige eso, pero sigue siendo minoritario en el parque hotelero.

El fingerprinting de tráfico. Incluso bajo VPN y HTTPS, un observador pasivo puede analizar los patrones de temporización, los volúmenes y las secuencias de paquetes para inferir su actividad. Es un ataque sofisticado, pertinente para los perfiles realmente expuestos y los adversarios estatales, no para el viajero de negocios cualquiera. Lo cito por honestidad sobre el límite alto del modelo, no para alimentar la angustia.

El enfoque correcto: calibrar, no ritualizar

El giro pragmático consiste en dejar de buscar LA regla universal y razonar por nivel de riesgo del momento. El Wi-Fi público no es peligroso o seguro en abstracto; lo es en función de lo que usted transporta, de quién es, y de la jurisdicción donde está. Tres medidas cambian realmente algo, y casi no cuestan nada; el resto es folclore.

Primero, cifrar su DNS a nivel de sistema. Es la medida más rentable y la más descuidada. DoHProtocolo que cifra las consultas DNS en HTTPS, ocultándolas al ISP. o DoTVariante de DoH que utiliza TLS directo en lugar de HTTPS. activado hace desaparecer de golpe el DNS spoofing y la fuga de sus peticiones de resolución hacia el operador de la red. Se configura una vez, a nivel del SO, y le protege en todas las redes después —no solo el Wi-Fi público—. Es seguridad que no depende de su disciplina del momento, por eso aguanta.

Segundo, tratar el portal cautivo como una zona hostil por defecto. No introducir jamás una credencial reutilizada en otro sitio, no instalar jamás un certificado, e idealmente abrir el portal en una ventana dedicada en lugar de dejar que el navegador principal se pasee por él. La mayoría de las compromisiones «vía Wi-Fi público» no son proezas criptográficas: son personas que han tecleado su contraseña en una página falsa.

Tercero, elegir el canal correcto según lo que está en juego. Para una sesión realmente sensible, el Wi-Fi público no es el problema a resolver —es el canal a evitar—. El compartir conexión 4G/5G o una eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. local le da una red que usted domina, sin gemelo malvado ni portal cautivo. La VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. tiene su papel —cifra el tránsito y cierra el vector de la red local— pero con dos condiciones a menudo olvidadas: debe activarse antes de unirse a la red (si no, su IP y sus primeras peticiones DNS ya han salido en claro), y no debe ser una VPN gratuita, cuyo modelo económico es precisamente monetizar lo que usted cree proteger.

Lo esencial de este enfoque cabe en una idea: no se asegura el Wi-Fi público añadiendo rituales ansiosos, se asegura instalando dos o tres protecciones que funcionan sin que haya que pensar en ellas, y reservando luego las medidas pesadas a los contextos que de verdad las justifican.

Lo que implica en concreto

Para usted, como particular

El nivel de riesgo real en 2025 es moderado, no catastrófico. Aquí están las tres cosas que valen la pena, realizables esta semana, por bastante menos de 200 €.

1. Active el DNS cifrado en todos sus dispositivos. En iPhone y Android recientes, en los ajustes de red o mediante un perfil de configuración; en macOS y Windows, a nivel de sistema. Elija un resolutor serio (Quad9, Cloudflare, o el de su proveedor de confianza). Es gratuito, lleva diez minutos, y suprime el vector DNS en todas las redes que cruce después. El detalle en el artículo dedicado al DNS.

2. Corte la conexión automática a las redes abiertas y purgue la lista de redes memorizadas. Ajuste activado por defecto en la mayoría de los teléfonos, y es exactamente lo que vuelve tan eficaz al gemelo malvado. De paso, desactive el Wi-Fi cuando no lo use: un teléfono con el Wi-Fi encendido difunde permanentemente los nombres de las redes que conoce, lo que sirve tanto al rastreo comercial como al gemelo malvado.

3. Reserve la 4G/eSIM para las sesiones sensibles. Banca, acceso profesional, firma de documento: pase por el compartir conexión móvil en lugar del Wi-Fi del hotel. Una eSIM local en viaje cuesta unos euros y le da un canal que nadie a su alrededor controla. Si insiste en una VPN, contrate un proveedor de pago y serio, y actívela antes de unirse a la red, jamás después.

Para usted, CISO / Dirección de TI / dirección general

Las conferencias y ferias profesionales son objetivos predilectos para los actores de inteligencia competitiva. El razonamiento es mecánico: una sola sala concentra, durante dos días, a responsables de un sector entero con sus dispositivos de trabajo y la guardia baja. El Wi-Fi de la conferencia debe tratarse por defecto como una red no fiable.

1. El Wi-Fi de conferencia es una red no dominada, punto. Usted no sabe quién lo opera, quién más está conectado, ni si un gemelo malvado gira en la sala. El modelo de amenaza no es «un script kiddie», es un competidor o un proveedor de inteligencia económica con presupuesto. Consecuencia directa: dicte una política «4G/eSIM únicamente» para todo dispositivo que lleve datos sensibles en desplazamiento a eventos, y proporcione las tarifas de datos que hagan esa regla aplicable sin fricción.

2. La protección no puede reposar sobre la vigilancia individual. Sus colaboradores tecleará sus credenciales en un portal cautivo creíble e instalarán un certificado si una página bien hecha se lo pide. Es un hecho observado, no una hipótesis. Consecuencia directa: empuje el DNS cifrado y una VPN de empresa por configuración gestionada (MDMGestión centralizada de identidades y accesos a los recursos.), con activación automática en red no reconocida, en lugar de contar con una checklist que nadie sigue.

3. La separación material es la única garantía sólida para los perfiles expuestos. Para un directivo en M&A o un jurista con expediente sensible en jurisdicción con interceptación madura, ninguna configuración de Wi-Fi sustituye a un dispositivo que no contiene nada crítico. Consecuencia directa: integre el canal de red en el modelo de amenaza del viaje y alinee la política Wi-Fi con una lógica zero trustPrincipio: nunca confiar por defecto, verificar cada solicitud. —la red nunca es de confianza, la identidad y el cifrado portan la seguridad—.

Errores que se ven todo el tiempo

  • «El hotel de cinco estrellas es más seguro que una cafetería.» Ninguna relación. Los grandes hoteles que acogen a perfiles interesantes son objetivos más atractivos, no más protegidos. La calidad del servicio de habitaciones no dice nada de la seguridad de la red.
  • «La red tiene contraseña, así que está cifrada para mí.» En WPA2 con clave compartida, los demás clientes que conocen la contraseña pueden potencialmente descifrar su tráfico. Una contraseña compartida por 200 personas no le aísla de esas 200 personas.
  • «Activo la VPN una vez que voy a un sitio importante.» Demasiado tarde. Su IP real y sus primeras peticiones DNS ya han salido. La VPN se activa antes de unirse a la red, si no llega después de la batalla.
  • «HTTPS está en todas partes, ya no tengo nada que hacer.» HTTPS protege el contenido, no los metadatos, no el portal cautivo, no las apps que hacen HTTP a escondidas, no los sitios sin HSTS frente a un SSLstrip.
  • «La VPN gratuita me protege.» El modelo económico de una VPN gratuita es monetizar su tráfico. Usted reemplaza una amenaza hipotética en la red local por una amenaza cierta en el proveedor.
  • Instalar el «certificado de seguridad» del portal para ganar tiempo. Es ofrecer al atacante la capacidad de descifrar todo su HTTPS. Jamás.

Checklist accionable

  • N1 Verificar el candado y la validez del certificado HTTPS antes de introducir cualquier credencial
  • N1 No introducir jamás una credencial reutilizada ni instalar un certificado en un portal cautivo
  • N1 Activar el DNS cifrado (DoH o DoT) a nivel de sistema en todos los dispositivos
  • N1 Cortar la conexión automática a las redes abiertas y purgar las redes memorizadas
  • N1 Desactivar el Wi-Fi cuando no se usa (anti-rastreo y anti-gemelo-malvado)
  • N2 Activar la VPN ANTES de unirse a la red, jamás después — y de pago, jamás gratuita
  • N2 Privilegiar el compartir conexión 4G/5G o una eSIM local para las sesiones sensibles
  • N2 Verificar la ausencia de DNS leak cuando la VPN está activa
  • N2 Empujar DNS cifrado y VPN de empresa por MDM con activación automática fuera de la red corporativa
  • N3 Política 4G/eSIM únicamente para los dispositivos con datos sensibles en contexto conferencia/feria
  • N3 Dispositivo dedicado sin datos críticos para los perfiles expuestos en jurisdicción con interceptación madura

Para profundizar

La Wi-Fi Alliance documenta las aportaciones de WPA3 (SAE) frente a WPA2, útil para entender por qué la contraseña compartida no aísla a los clientes entre sí. INCIBE publica recomendaciones sobre redes Wi-Fi públicas, claras y factuales, que alinean la postura Wi-Fi con el resto de la higiene digital —a leer si construye una política de empresa—.

Tres artículos completan este sobre los mismos vectores. DNS: reforzar la resolución de nombres detalla la configuración DoH/DoT que cierra el vector más rentable. VPN: el 95 % del marketing es falso explica con precisión lo que una VPN protege, lo que no toca, y qué proveedores merecen su confianza. Y eSIM de viaje cubre el canal de reemplazo más simple cuando quiere sencillamente evitar la red del hotel. La paranoia razonable no es un estado de ánimo, es una configuración: una vez puestas estas tres piezas, el Wi-Fi público vuelve a ser lo que siempre debió ser —un servicio banal, ni milagroso ni aterrador—.

Fuentes y lecturas complementarias

Artículos relacionados