Peligros del Wi-Fi público (aun con HTTPS en todas partes)

Hace unos años, el consejo para usar la red de una cafetería era simple y sombrío: da por hecho que alguien está leyendo tu tráfico. Luego HTTPS se volvió el estándar casi en todas partes, los navegadores empezaron a alertar sobre los sitios sin cifrar, y mucha gente dejó de preocuparse sin más.

Esa segunda parte es el problema. Los peligros del Wi-Fi público no desaparecieron cuando ganó HTTPS — se desplazaron. El fisgón pasivo que antes capturaba tu contraseña de Gmail del aire quedó, en su mayoría, descartado por el costo. Lo que queda es más interesante, más dirigido y más difícil de notar porque el icono del candado hace que todo parezca en orden.

Este artículo repasa qué arregló realmente HTTPS, qué no, y el puñado de hábitos que cambian de forma significativa tu exposición en redes que no son tuyas.

Qué resolvió realmente HTTPS

Hay que reconocerlo. HTTPS — la versión cifrada del protocolo de la web — sí resolvió la versión más grande y burda del problema del Wi-Fi público.

En 2014, alguien en la misma red del aeropuerto que tú podía ejecutar una herramienta gratuita, ver cómo tu navegador cargaba Facebook y marcharse con tu cookie de sesión. Esa clase de ataque está casi muerta. La combinación de HTTPS por defecto, HSTS (una marca que le dice a los navegadores “nunca vuelvas a cargar este sitio por HTTP plano”) y reglas de cookies más estrictas hace que el fisgoneo pasivo casual de los sitios populares no dé gran cosa.

Si tu modelo de amenaza es “no quiero que un adolescente aburrido tres mesas más allá lea mi correo”, HTTPS te llevó hasta ahí.

El modelo de amenaza un escalón por encima es donde se vuelve más honesto.

Qué no cubre HTTPS

HTTPS cifra el contenido de tu conexión a un servidor concreto. No protege los pasos previos a que se establezca esa conexión, y no te protege de ti mismo cuando algo se ve un poco raro. Aquí es donde siguen viviendo los peligros del Wi-Fi público.

Inyección por portal cautivo

La página de “acepta nuestros términos” que aparece en el Wi-Fi de hoteles y aeropuertos se llama portal cautivo. Para que funcione, la red tiene que interceptar tu primera petición web y redirigirla a donde ella elija. Eso es un intermediario por diseño. Autorizado, pero un intermediario al fin y al cabo.

Un portal cautivo bien gestionado es inofensivo. Uno mal gestionado (o deliberadamente hostil) puede servirte JavaScript, empujarte actualizaciones de software falsas, o perfilar en silencio cada dispositivo que se conecta. Tu teléfono suele mostrar el portal en un navegador reducido sin la barra de direcciones completa, lo que hace más difícil saber qué estás viendo en realidad.

Secuestro de DNS en resolutores débiles

Cuando escribes bank.com, tu dispositivo le pregunta al resolutor de DNS de la red “¿cuál es la dirección IP de eso?” En una red pública, ese resolutor lo gestiona quien sea dueño del punto de acceso.

Un resolutor mal configurado o malicioso puede mentir. Puede enviarte a un servidor que no es tu banco y luego presentar su propio certificado. Los navegadores modernos te advertirán — pero solo si el certificado está mal, y solo si lees la advertencia en lugar de hacer clic para saltártela.

SSL stripping en sitios mal configurados

El SSL stripping es un truco viejo que aún funciona en casos puntuales. El atacante se sitúa entre tú y el sitio al que intentas llegar. Escribes example.com (sin el prefijo https://), la red lo intercepta, obtiene ella misma la página HTTPS real y te sirve una copia en HTTP plano.

Los sitios que usan precarga de HSTS son inmunes. Los que no (por lo general servicios más pequeños, herramientas internas, o cualquier cosa a la que llegas por un marcador antiguo) no lo son. La barra de direcciones mostrará en silencio http:// en lugar del icono del candado, y la mayoría de la gente no mira.

Puntos de acceso falsos y gemelos malvados

Este es el que vale la pena entender bien, porque sortea la mayoría de las defensas anteriores.

Tu teléfono recuerda las redes. Cuando ve una baliza (un pequeño paquete de difusión que anuncia un nombre de Wi-Fi) que coincide con una a la que se unió antes, puede conectarse de forma automática. Un atacante con hardware común puede difundir una baliza que dice ser Starbucks WiFi o Hotel Guest, enviar una trama de desautenticación para tirar tu teléfono de la red legítima, y ver cómo tu dispositivo salta a la suya sin que tú toques nada.

A partir de ahí, el atacante es la red. Controla el DNS. Gestiona el portal cautivo. Ve qué apps de tu dispositivo intentan llegar a qué servidores, aunque el contenido esté cifrado. Puede servir sus propias páginas de portal cautivo, intentar SSL stripping en cualquier cosa no precargada, y pedirte credenciales dentro de lo que parece un flujo de inicio de sesión normal.

El nombre técnico es “gemelo malvado”, y la parte silenciosa es que nada te avisa de que está ocurriendo. Tu teléfono solo muestra el familiar icono del Wi-Fi.

Condicionamiento ante advertencias de certificado

Los navegadores se volvieron buenos avisando. Los usuarios se volvieron buenos ignorándolos.

Cuando ves una advertencia de certificado a pantalla completa en rojo, casi siempre significa que algo va mal con la conexión. A veces de forma inofensiva (un certificado caducado), a veces no (un intermediario activo). La solución es no hacer clic para saltártela. En la práctica, a la gente la han entrenado años de redes corporativas mal configuradas para machacar el botón de “continuar de todos modos” sin leer.

En la red de una cafetería, ese botón puede ser el ataque entero.

Cómo funciona realmente un ataque de gemelo malvado

Si quieres una imagen concreta de cómo encaja todo esto, el ataque de gemelo malvado es el ejemplo más claro.

El atacante lleva un portátil o un pequeño dispositivo portátil a una cafetería. Ejecuta un software que hace tres cosas en secuencia.

Primero, escanea el aire en busca de redes Wi-Fi cercanas y anota el nombre (el SSID) de la legítima. Digamos que es Cafe Guest. Luego empieza a difundir sus propias tramas de baliza con el mismo nombre, a menudo con más potencia para que los dispositivos la prefieran.

Segundo, envía tramas de desautenticación a los clientes ya conectados a la red real. Las tramas de desautenticación son una parte normal del funcionamiento del Wi-Fi — le dicen a un dispositivo “te han desconectado, vuelve a unirte.” En la mayoría de las redes no están autenticadas, lo que significa que cualquiera puede enviarlas. Los teléfonos de la red real salen expulsados y buscan a dónde reconectarse.

Tercero, el atacante presenta un portal cautivo. Puede pedir un correo y una contraseña “para acceder al Wi-Fi gratis.” Puede imitar la página de inicio de sesión del hotel. Puede simplemente dejarte pasar en silencio, enrutar tu tráfico por su propia conexión y registrarlo todo. Desde la perspectiva de tu teléfono, estás en línea. Desde la del atacante, ahora son tu proveedor de internet.

La defensa no es leer cabeceras de paquetes. Es hacer que el ataque sea poco interesante — no uniéndote de forma automática a redes desconocidas, enrutando tu tráfico sensible a través de algo que la red local no pueda ver, y no introduciendo credenciales en páginas a las que no llegaste de forma deliberada.

¿Es seguro el Wi-Fi público en 2026?

Respuesta honesta: lo bastante seguro para la mayoría de las cosas, no lo bastante seguro para todo.

Leer las noticias, buscar una receta, hacer scroll en redes sociales — bien. El costo de equivocarse con ese tráfico es bajo y las protecciones de los navegadores modernos son reales.

Entrar a tu banco, acceder a un panel de administración del trabajo, aprobar una transferencia, o iniciar sesión en un servicio nuevo que te manda un código de recuperación por mensaje — esos son momentos de mayor valor donde la diferencia entre “probablemente bien” y “sin duda bien” importa. La respuesta barata para cerrar esa diferencia es no hacerlos en redes que no controlas.

Cinco pasos prácticos

Ninguno de estos exige pensar en tramas de paquetes. Son hábitos.

1. Desactiva la conexión automática a redes desconocidas.En el iPhone, esto está en Ajustes → Wi-Fi → Conexión automática a zona Wi-Fi, y por red en Wi-Fi → (nombre de la red) → Conexión automática. La idea es que tu dispositivo te pregunte antes de unirse a algo con un nombre familiar. Consulta nuestra guía de configuración de VPN en el iPhone para pasos relacionados.
2. Prefiere los datos móviles o tu propio punto de acceso cuando puedas. Una conexión 5G no es perfectamente privada, pero tiene un único operador responsable, y no hay una forma fácil de que un desconocido se inserte en medio de ella. Para cualquier cosa sensible mientras viajas, el punto de acceso de tu teléfono suele ser mejor respuesta que la red del hotel.
3. Usa una VPN para los momentos que importan. Una VPN, que en inglés significa red privada virtual, enruta tu tráfico por un túnel cifrado hacia un servidor en el que confías, de modo que la red local solo ve esa única conexión y nada sobre a dónde va. Esto neutraliza la mayoría de las categorías anteriores: el portal cautivo aún puede fastidiarte, pero no puede ver tus consultas de DNS, no puede aplicar SSL stripping en los sitios que visitas, y no puede perfilar qué apps estás usando. Si la idea es nueva para ti, nuestra introducción sobre qué es realmente una VPN cubre lo básico, y nuestra guía de VPN en los viajes entra en los detalles. Snap es una opción construida en torno a ese enfoque, pero el hábito general importa más que la marca.
4. Nunca te saltes las advertencias de certificado en redes públicas. Si ves una advertencia del navegador a pantalla completa sobre un certificado, cierra la pestaña. En tu red de casa casi siempre es un sitio mal configurado; en el Wi-Fi de una cafetería podría ser alguien activamente en medio. El costo de equivocarse es lo bastante alto como para que “intentar más tarde” sea la opción correcta por defecto.
5. Deja los inicios de sesión y transacciones sensibles para redes de confianza. La banca, los restablecimientos de contraseña, cualquier cosa que implique un código de recuperación o un flujo de doble factor — estas valen la pequeña fricción de esperar hasta que estés de vuelta en datos móviles o en el Wi-Fi de casa. La comodidad de hacerlas en el aeropuerto no compensa la asimetría de lo que puede salir mal.

Qué soluciona una VPN y qué no

Hay mucho ruido sobre este punto, así que vale la pena ser específico.

Una VPN sí soluciona:

• La capacidad de la red local de ver tus consultas de DNS
• El SSL stripping (tu tráfico no atraviesa la red hostil en texto claro)
• El perfilado del portal cautivo después de que has pasado el portal cautivo
• La capacidad de un punto de acceso falso de averiguar algo útil sobre tu actividad

Una VPN no soluciona:

• Una advertencia de certificado que te saltas de todos modos
• Las páginas de phishing en las que inicias sesión activamente
• El malware que ya está en tu dispositivo
• El hecho de que los sitios web que visitas aún pueden identificarte a través de cuentas y cookies

Es una herramienta afilada para una clase específica de peligros del Wi-Fi público. No es un escudo mágico, y los productos que la venden como tal exageran lo que hace. Nuestro repaso de los mitos comunes sobre las VPN entra en más detalle sobre la brecha entre el marketing y la realidad.

En resumen

HTTPS resolvió la versión fácil del problema. La versión más difícil, la capa por debajo de la conexión donde viven el DNS, los portales cautivos y los puntos de acceso falsos, es en su mayoría invisible hasta que algo sale mal.

No necesitas convertirte en ingeniero de redes para ser razonable con esto. Desactiva la conexión automática, desconfía de los portales cautivos, no te saltes las advertencias de certificado, y usa datos móviles o una VPN cuando lo que está en juego es real.

Si quieres la parte de la VPN resuelta de forma limpia en iOS — sin correo al registrarte, sin registros de tráfico, suscripción cobrada en silencio a través de tu Apple ID — Snap está construido justo en torno a ese enfoque. macOS está en camino. En cualquier caso, lo más importante no es qué app instalas; es que dejes de tratar la red de la cafetería como si fuera la tuya.