El resumen rápido: la amenaza clásica de 2015 de «alguien en el WiFi de la cafetería puede leer tus contraseñas» está prácticamente muerta — HTTPS está en todas partes, la precarga HSTS cubre los sitios más importantes, y los ataques de SSL strip tienen una superficie de ataque mucho menor que antes. Pero tres categorías de ataques siguen funcionando en 2026, y los atacantes se han adaptado: puntos de acceso gemelos maliciosos (evil twin) (recrean una red en la que confías y dejan que tu dispositivo se una automáticamente), explotación del portal cautivo (la pantalla de bienvenida que pide tu correo electrónico o instala malware), y análisis de tráfico a nivel de metadatos (cifrado pero observable: con quién hablas, cuándo, con qué frecuencia y cuánto tráfico). Las medidas que realmente ayudan son: un túnel VPN real (no solo DNS), dejar activada la aleatorización de MAC, ignorar las solicitudes no solicitadas de credenciales en portales cautivos, y los ajustes de seguridad predeterminados de Apple y Google.
Qué ocurre realmente en una red hostil típica
Una «red hostil» no significa necesariamente que la cafetería sea maliciosa. Normalmente significa que ocurre una o más de estas situaciones:
- El operador de red legítimo recopila datos sobre los dispositivos conectados (muy común en comercios, bastante común en hoteles) para marketing o análisis.
- Otro usuario está ejecutando herramientas de observación en la misma subred (menos común que antes, pero trivial con hardware de 200 dólares).
- Un atacante está operando un punto de acceso falso cerca con el mismo SSID que una red de confianza, esperando que tu dispositivo se una automáticamente.
- El portal cautivo sirve contenido malicioso — ya sea inyección de anuncios (molesta), phishing de credenciales (dañino) o distribución de malware (poco frecuente pero de gran impacto).
Para la mayoría de las personas, la mayoría de los días, ninguna de estas situaciones importa en la práctica — el cifrado HTTPS protege tus sesiones activas, y los ajustes predeterminados modernos del sistema operativo se encargan de los casos evidentes. Los casos que siguen importando son cuando estás en una red el tiempo suficiente para que un atacante paciente espere, cuando aceptas ciegamente la solicitud de un portal cautivo, o cuando tu dispositivo se une automáticamente a lo que crees que es tu red doméstica pero no lo es.
Ataque 1 — Evil twin (puntos de acceso falsos)
En qué consiste: Un atacante lleva un punto de acceso portátil (un WiFi Pineapple o simplemente un portátil con el software adecuado) al alcance del objetivo. Emite un SSID que coincide con una red a la que los dispositivos del objetivo se han conectado antes — «attwifi», «xfinitywifi», «Starbucks WiFi», el nombre de tu red doméstica — y con una señal más potente que la legítima (o la legítima no está al alcance).
Tu dispositivo, en tu bolsillo, se une automáticamente porque detecta un SSID «conocido». Ahora el atacante es la red: ve tus consultas DNS (y tu tráfico sin cifrar, aunque ya queda muy poco), puede mostrar prompts de portal cautivo e intentar otros ataques posteriores.
Realidad en 2026: sigue funcionando, con adaptaciones. iOS 14+ y Android 10+ implementan Dirección MAC privada — tu dispositivo presenta una MAC diferente a cada SSID, por lo que el rastreo entre redes es más difícil. Pero eso no detiene el comportamiento de unión automática; el atacante no necesita tu MAC real, solo necesita que tu dispositivo se asocie. Lo que más ha ayudado es que iOS 16+ advierte explícitamente sobre redes con poca seguridad (abiertas, WEP, solo WPA) y cada vez más disuade a los usuarios de unirse automáticamente; Android 13+ hace algo similar.
Qué lo detiene: Desactiva «unión automática» para redes públicas (Ajustes → Wi-Fi → toca la red → Unión automática desactivada en iOS; misma ruta en Android con ligeras diferencias de interfaz). En las redes a las que sí te unes, un túnel VPN significa que el atacante-como-red solo ve bytes cifrados — no puede leer tu tráfico, inyectar contenido ni realizar phishing de credenciales mediante portal cautivo con éxito (porque tu navegador advertirá sobre discrepancias de certificados si lo intenta).
Ataque 2 — Explotación del portal cautivo
En qué consiste: La pantalla de bienvenida que aparece al conectarte al WiFi de un hotel, aeropuerto o cafetería («Acepta las condiciones para continuar»). La página del portal la sirve el sistema de autenticación de la red y es, por diseño, lo primero que ve tu dispositivo en esa red — antes de que tu VPN pueda establecerse, antes de que las advertencias HTTPS tengan contexto, antes de que sepas realmente quién la sirve.
Tres variantes de cómo se explota esto:
- Recolección de credenciales: la página de bienvenida pide tu correo electrónico y una contraseña «para autenticarte». Muchas personas introducen la contraseña que usan en otras cuentas. El atacante ahora tiene correo electrónico y contraseña de tu patrón habitual de reutilización.
- Distribución de malware drive-by: la página de bienvenida enlaza a «tu cupón de café gratis», que es una descarga de aplicación maliciosa. La mayoría de los navegadores modernos avisan; los usuarios móviles ignoran las advertencias con más frecuencia que los de escritorio.
- Recopilación de datos personales: la página de bienvenida pide tu número de teléfono «para la conectividad» y tú lo proporcionas. Ahora está en una base de datos de marketing, frecuentemente revendida.
Realidad en 2026: el phishing mediante portal cautivo se ha vuelto más común, no menos. Las protecciones a nivel de SO (MAC privada, VPN) no ayudan aquí porque el usuario introduce los datos voluntariamente. Lo que ha ayudado es que iOS 17+ y Android 14+ presentan los portales cautivos en un mini-navegador con sandbox que limita las vías de exfiltración — pero los datos que el usuario escribe siguen enviándose.
Qué lo detiene: Nunca introduzcas en un portal cautivo una contraseña que uses en otro sitio. Nunca introduzcas un número de teléfono que uses para algo importante. Trata los portales cautivos como adversariales por defecto. Si una red requiere un «registro» que pide información relevante, abandónala y usa datos móviles durante la siguiente hora. La detección de amenazas con IA de Casper puntúa los dominios de portales cautivos igual que los SMS de phishing — los portales conocidos como maliciosos se marcan antes de que escribas nada.
Ataque 3 — Análisis de tráfico a nivel de metadatos
En qué consiste: Incluso cuando tu tráfico está cifrado (HTTPS, TLS, todos los protocolos modernos), un observador en la misma red puede ver con quién hablas, cuándo, con qué frecuencia y cuántos datos fluyen. No puede leer el contenido, pero puede construir un perfil de tu comportamiento.
En una red WiFi hostil, esto significa:
- El operador local puede ver que visitas tu banco, tu proveedor de salud, tu aplicación de citas, etc. — aunque no pueda ver qué haces allí.
- Los patrones de volumen de tráfico revelan lo que estás haciendo (el streaming de vídeo tiene una forma característica; la mensajería tiene otra; la banca tiene otra).
- Las consultas DNS (a menos que uses DoH/DoT/DNS sobre VPN) filtran los destinos a nivel de nombre de host.
- La indicación de nombre de servidor TLS (SNI) históricamente revelaba el destino incluso cuando el DNS estaba cifrado — Encrypted Client Hello (ECH) está cerrando esta brecha a partir de 2025-2026.
Realidad en 2026: la adopción de ECH es significativa (Cloudflare lo activó por defecto a finales de 2024, los principales navegadores lo admiten en versiones estables) pero la cobertura es parcial. Para los sitios que no han habilitado ECH, el SNI sigue filtrándose. Incluso con ECH, el destino de la conexión a nivel de IP sigue siendo observable, y las asignaciones de IP a servicio son públicas — conectarse a un grupo de IPs propiedad de Meta le indica al observador que usaste WhatsApp o Instagram, incluso con todo cifrado.
Qué lo detiene: Un túnel VPN completo. Tu tráfico sale de la red local con destino a una sola IP (el endpoint VPN); la red local puede ver que usas una VPN pero no puede ver nada más allá. Esta es la protección más eficaz contra el análisis de tráfico en redes hostiles. Las protecciones solo de DNS (NextDNS, Cloudflare 1.1.1.1) ayudan con el canal de consultas DNS, pero no abordan el SNI ni la observación a nivel de IP — para eso necesitas el túnel. Nuestro análisis en profundidad sobre los límites del filtrado a nivel DNS cubre exactamente esta brecha.
Ataques que en su mayoría ya no funcionan
Tres amenazas clásicas de WiFi pública con las que se obsesionaban las guías de 2015 pero que en gran medida están resueltas en 2026:
SSL strip / SSL split
sslstrip (la herramienta de Moxie Marlinspike de 2009) degradaba HTTPS a HTTP en la red y reescribía formularios — durante años fue un clásico en cafeterías. Hoy en día: la precarga HSTS cubre prácticamente todos los sitios que manejan credenciales (banca, proveedores de correo electrónico, redes sociales, etc.). Los navegadores se niegan a degradar los dominios preconfigurados. Existen sitios sin HSTS, pero rara vez manejan nada que un atacante quiera leer.
ARP spoofing para MITM general
El ARP spoofing en una subred compartida permite a un atacante insertarse entre tu dispositivo y la puerta de enlace. Sigue funcionando en el segmento LAN, pero lo que obtienen es tráfico cifrado — el mismo problema que el ataque de análisis de tráfico mencionado anteriormente. La recompensa de «ver tus contraseñas» ha desaparecido a menos que también puedan vulnerar TLS, lo que normalmente no pueden en sitios con precarga.
DNS spoofing en la red local
Un operador de red hostil puede devolver respuestas DNS falsas para los nombres de host que consultas, redirigiéndote a clones de phishing. Esto era efectivo cuando el DNS no estaba cifrado y los certificados TLS eran fáciles de falsificar. Hoy en día: los registros de transparencia de certificados y la precarga HSTS significan que el clon de phishing tendría que obtener un certificado válido para el dominio objetivo (extremadamente difícil para los sitios populares) — y DNS-over-HTTPS / DNS-over-TLS / DNS enrutado por VPN neutralizan el spoofing en la capa DNS. Sigue funcionando para usuarios poco precavidos en sitios pequeños y oscuros; rara vez es un problema para el consumidor medio.
Valores predeterminados por plataforma: lo que hace cada sistema operativo por ti
iOS / iPadOS
- Dirección MAC privada activada por defecto para nuevos SSID desde iOS 14
- Advertencias para redes WPA2 e inferiores (impulso hacia WPA3) desde iOS 16
- Comportamiento de unión automática controlable por SSID
- iCloud Private Relay (suscriptores de iCloud+) cifra el tráfico de Safari — consulta nuestro análisis en profundidad de Private Relay para ver qué cubre y qué no
- Compatibilidad con VPN bajo demanda para activar Casper automáticamente en SSID no confiables
Android
- Dirección MAC privada (llamada «Usar MAC aleatoria») activada por defecto desde Android 10
- Compatibilidad nativa con DNS privado (DoT) desde Android 9
- Enrutamiento VPN por aplicación (más flexible que iOS)
- Alertas de «Verificar redes guardadas» desde Android 13 — advierte cuando un SSID conocido tiene un perfil de seguridad diferente al anterior (posible evil twin)
- Detección de amenazas a nivel de red en Play Protect
macOS
- Dirección Wi-Fi privada desde macOS Sequoia (paridad con iOS)
- iCloud Private Relay (iCloud+)
- Cortafuegos integrado + Modo Invisible (desactivado por defecto — consulta nuestra guía de privacidad de macOS)
- Cifrado FileVault (activado por defecto en los Macs nuevos)
Flujo de trabajo práctico: qué hacer realmente al conectarte al WiFi de una cafetería
- Verifica el SSID con el establecimiento. «¿Cómo se llama tu WiFi?» — una comprobación de 3 segundos que frustra la mayoría de los ataques evil twin. El AP falso suele tener un nombre casi idéntico al legítimo, pero no exactamente igual.
- Acepta el portal cautivo sin introducir datos relevantes. «Aceptar condiciones» — bien. «Introduce tu correo electrónico y contraseña» — cierra la pestaña y usa datos móviles. «Introduce tu número de teléfono» — solo si confías en que esos datos no se venderán.
- Activa tu VPN antes de hacer cualquier cosa sensible. Algunas configuraciones (la app de Casper para iOS, activación automática por NetworkExtension) hacen esto automáticamente al unirse a nuevos SSID. La ventana entre unirse a la red y la conexión VPN es cuando los ataques de análisis de tráfico están más expuestos; minimízala.
- No actives la unión automática para futuras visitas a menos que confíes en el operador. El coste de 5 segundos de unirte manualmente cada vez vale la pena ante la probabilidad del 0,01% de un ataque evil twin en esa ubicación más adelante.
- Desactiva Bluetooth / AirDrop si no los necesitas en redes verdaderamente hostiles. Estas son superficies de ataque separadas del WiFi pero frecuentemente se atacan de forma conjunta.
- Olvida la red cuando te vayas. Ajustes → Wi-Fi → toca la red → Olvidar. Reduce la exposición a la unión automática en el futuro.
¿Cuándo es realmente necesaria una VPN frente a ser simplemente útil?
Con sinceridad: en una visita típica de 5 minutos a una cafetería haciendo correo electrónico y Slack en servicios HTTPS-everywhere, la amenaza práctica es baja. Las protecciones TLS están haciendo el trabajo. Una VPN proporciona defensa en profundidad, pero la mayoría de las veces no estás siendo atacado visiblemente sin ella.
Los casos en que una VPN importa de manera significativa:
- Redes internacionales hostiles (WiFi de hotel en el extranjero en jurisdicciones con vigilancia estatal activa a nivel de red, o redes de conferencias conocidas como hostiles).
- Sesiones largas en la misma red (trabajar desde una cafetería durante horas, WiFi de hotel durante una estancia de varios días) — le da tiempo y un objetivo estático a los atacantes.
- Redes de origen desconocido (el WiFi en la pequeña oficina de alguien, la red en un Airbnb pequeño, el WiFi de una conferencia gestionado por quién sabe quién).
- Cuando las actividades sensibles importan — acceder a información de salud, hacer operaciones bancarias reales, cualquier cosa que no te gustaría que un observador perfilara.
- Para neutralizar el análisis de tráfico por parte del operador de red, que casi siempre registra al menos los metadatos.
Para estos casos, un túnel VPN real (no solo filtrado a nivel DNS) es la intervención adecuada. La capa de protección contra amenazas de Casper combina el túnel WireGuard con detección de phishing de día cero basada en IA, filtrado de listas de bloqueo y controles de enrutamiento por aplicación. El túnel está activo; el cifrado es de extremo a extremo; la red local ve bytes cifrados y nada más.
¿Qué pasa con el punto de acceso del teléfono frente al WiFi público?
El punto de acceso de tu teléfono (conexión compartida por móvil) es drásticamente más seguro que el WiFi público aleatorio porque:
- Eres el único dispositivo en él (no hay otros usuarios ejecutando herramientas de observación)
- El operador de telefonía es el único operador ascendente (una entidad conocida, regulada, generalmente confiable a nivel de metadatos)
- El cifrado es la configuración WPA3 de tu teléfono, que tú controlas
- Es temporal — no hay exposición continua cuando te mueves
El coste es el consumo de datos. Para sesiones sensibles (banca, salud, trabajo confidencial), la conexión compartida es generalmente una mejor opción predeterminada que el WiFi de hotel o cafetería — especialmente si no tienes una VPN configurada. La mayoría de los operadores incluyen algo de datos para punto de acceso en los planes modernos; compruébalo antes de depender de él para sesiones largas.
Conclusión
El WiFi público en 2026 no es la zona de desastre de 2015, y el consejo estándar («nunca uses WiFi público») está cada vez más desconectado del modelo de amenazas real. El enfoque pragmático para 2026: HTTPS protege el contenido de tu tráfico; lo que sigue expuesto son los metadatos, el portal cautivo y la superficie de ataque de la unión automática. Una VPN cierra la brecha de metadatos y análisis de tráfico. La disciplina ante el portal cautivo (no escribas contraseñas ni correos electrónicos en ellos) cierra la brecha del phishing. La verificación del SSID antes de unirte resuelve el caso del evil twin.
Si quieres todo eso automatizado — VPN activada, detección de amenazas activada, filtrado DNS activado, enrutamiento por aplicación donde lo desees — eso es lo que hace Casper en cada red a la que te unes. Prueba gratuita, aplicaciones para iPhone, Mac y Android.